CDN防DDoS原理：隐藏IP、边缘过滤、分散压力

CDN抗DDoS的第一核心：隐藏源站真实IP，DDoS要打得准，必须知道目标IP。
只要源站IP不暴露，绝大多数网络层攻击就无从下手。

CDN如何隐藏IP？

1. 用户访问域名，解析到的是CDN节点IP，不是源站。
2. 源站防火墙/安全组只放行CDN节点IP，拒绝所有其他公网访问。
3. 攻击者扫不到、猜不到、拿不到真实源站IP。
   这一步直接杜绝：

• 直接SYN Flood、UDP Flood、ACK Flood打源站
• 端口扫描、漏洞探测、暴力破解
• 精准压测式攻击

CDN抗DDoS的第二核心：边缘过滤（清洗流量）
用户流量 → CDN节点 → 清洗 → 合法流量回源
攻击流量在边缘就被拦下，根本到不了源站。

CDN边缘过滤主要做三件事：

1. 大流量清洗
   对抗UDP Flood、SYN Flood等L3–L4 层DDoS。
   • 异常包直接丢弃
   • 非业务协议直接拦截
   • 利用高带宽集群硬扛流量攻击
2. 行为识别与CC防护
   对抗高频请求、机器人流量、CC攻击：
   • 单IP请求频率限制
   • 人机验证
   • 异常UA/Referer识别
   • 恶意IP自动拉黑
3. 非法请求过滤
   恶意爬虫、扫描、注入请求在边缘直接拦截，减少源站压力。

CDN抗DDoS的第三核心：分散压力（分布式架构）
传统单机服务器：
1个IP → 1台机器 → 一打就崩。
CDN 架构：
1个域名 → 全国/全球数百个节点 → 流量自动分散。
分散压力体现在三点：

1. 流量分散
   用户按地域、运营商就近接入，不会集中打在一台机器。
2. 带宽压力分散
   CDN 拥有 T 级总出口带宽，能轻松扛住百G级 DDoS。
3. 业务压力分散
   静态资源（图片、JS、CSS、视频）全部由CDN缓存承担，
   源站只负责动态接口，负载大幅下降。
   即使遭遇大规模攻击，也只是个别CDN节点受影响，整体业务依然可用。

完整的CDN抗DDoS流程

1. 攻击者想打源站 → 找不到IP（隐藏IP）
2. 攻击流量打到CDN → 在边缘被清洗（边缘过滤）
3. 大流量攻击 → 被全球节点分散掉（分散压力）
4. 最终回源的只有干净流量 → 源站稳定运行
   这就是为什么只要CDN架构正确，普通DDoS基本无法瘫痪业务。

企业最容易踩的坑

1. 源站IP泄露（DNS解析、邮件、代码泄露等）
   一旦泄露，CDN等于白搭。
2. 源站安全组没限制，允许公网直接访问
   等于留了后门。
3. 只开加速，不开清洗、不开CC防护
   加速不=安全。
4. 使用廉价免费CDN，无抗DDoS能力
   遇到大流量直接节点瘫痪。

CDN 防御DDoS不是玄学，是一套架构逻辑。
真正懂这三点，你就懂了企业抗DDoS体系的基础骨架。