• 0x02 边缘脚本与程序

WeiyiGeek Blog - 为了能到远方，脚下的每一步都不能少。

(友链交换请邮我哟):

A: CDN的全称是 Content Delivery Network 即内容分发网络(互联网世界的物流服务)。是建立并覆盖在承载网之上，由分布在不同区域的边缘节点服务器群组成的分布式网络, 它可以帮助分担源站压力，避免网络拥塞，确保在不同区域、不同场景下加速网站内容的分发，提高资源访问速度。 简单的说：其通过广泛的网络节点分布，提供快速、稳定、安全、可编程的全球内容分发加速服务，支持将网站(动态、静态)、音视频、下载等内容分发至接近用户的节点。 系统将源站内容分发至最接近用户的边缘节点之上, 使用户可就近取得所需内容，提高用户访问的响应速度和成功率。

例如阿里云为直播行业提供了边缘节点服务（ENS-最主要的技术就是CDN）,基于阿里云ENS可以轻松地将业务模块放到边缘运行，在主播的推流时，实现就近节点进行转码和分发，同时支持了高并发实时弹幕的边缘分发。在获得网络低时延的同时，减少了对中心的压力，节省了30%以上的中心带宽成本，并且实现了边缘节点网络连接小于5毫秒延时，提升了主播上行质量，以及用户成功连接占比等数指标，有效提升了用户观看体验;

CDN 原理: 描述: 我们可以将CDN比作天猫超市与菜鸟在全国各地建了本地仓库,当用户购买直营的东西的时候(不在是跨区配送而是同城配送),所以下单购买后，由最近的仓发货就近配送，用户购买的体验明显好太多了;

其实我们在浏览网络的时候其实就和以上这个过程十分相似，我们访问一个网站页面的时候，会向服务器请求很多网络资源，包括各种图片、声音、影片、文字等信息。所以就像天猫超市把货物提前存储在菜鸟建设在全国各地的本地仓库来减少物流时间一样，网站也可以预先把内容分发至全国各地的加速节点。这样用户就可以就近获取所需内容，避免网络拥堵、地域、运营商等因素带来的访问延迟问题，有效提升下载速度、降低响应时间，提供流畅的用户体验。

CDN优缺点 答:您总是希望网页可以尽可能地快，您希望页面的容量尽可能地小，同时您希望浏览器尽可能多地进行缓存这就需要使用到CDN的内容分发网络。就像前面提到的"全国仓配网络"一样，解决了因分布、带宽、服务器性能带来的访问延迟问题，适用于站点加速、点播、直播等场景。 优点:

• 。 您需要在您的DNS解析服务商添加一条CNAME记录，将自己的加速域名指向*.*kunlun*.com的域名。记录生效后，域名解析的工作就正式转向CDN服务，该域名所有的请求都将转向CDN节点达到加速效果。

• 它可以有效协助Internet应用软件提升通讯时的资料完整性以及安全性。标准化之后的SSL名称改为TLS（Transport Layer Security，传输层安全协议），因此很多相关的文档将二者并称（SSL/TLS）。

• 回源: CDN节点未缓存请求资源或缓存资源已到期时，回源站获取资源，返回给客户端。
  • 例如：您访问某个URL时，如果解析到的CDN节点未缓存该资源，则您的访问请求会直接到源站获取资源，并根据URL请求返回给您。
• 回源HOST: 源站决定了回源时请求到哪个IP, 回源HOST决定回源请求访问到该IP上的哪个站点（Nginx 虚拟主机）。
  • 例1：源站是域名 (，，那么实际回源是请求到解析到的IP，)
  • 例2：源站是IP (源站为 接入CDN网络，开始使用加速服务后，当终端用户（北京）发起HTTP请求时，处理流程如下图所示。
    • 下的指定资源发起请求时，首先向LDNS（本地DNS）发起域名解析请求。
    • 的IP地址记录。如果有，则直接返回给终端用户；如果没有，则向授权DNS查询。
    • 时，返回域名CNAME 对应IP地址。

为了帮助用户更好地了解和使用CDN产品，CDN应用实践进阶系统课程开课啦！前几天，阿里云CDN产品专家陈智城在线分享了《大文件下载及视频点播的CDN加速实践》议题，解读大文件下载和视频点播的业务场景、内容分发挑战及对应解决方案。本篇文章，将为你详述分享原文。

一、大文件下载和视频点播的内容分发挑战

对于下载类的场景来说，常见细分场景包括：手机应用商店、游戏应用商店以及游戏更新和手机操作系统更新等，而对于视频类的应用场景来说，主要细分场景包括短视频、长视频、在线教育、OTT机顶盒、广电传媒和音乐网站等等。

为什么会把下载类的应用场景和视频点播类应用场景放在一起去做比对呢？因为视频点播这个应用场景实际上也是一种大文件下载场景，这两个应用场景有着很高的业务相似性，也有很多共性问题，而它们之间的区别在于视频点播对于访问的性能会有更高的要求。

两个场景在内容分发方面所面临的挑战主要有三大类：

1. 用户体验问题，主要体现在：国内运营商环境复杂，跨运营商访问效果差；用户分布广，跨地区访问时延高、速度慢；弱网环境下传输性能差，速度慢、卡顿严重等方面；
2. 源站性能与成本问题，主要体现在：中心式部署的源站弹性扩展能力差，无法承受大规模突发流量以及中心式部署的源站带宽成本高昂；
3. 业务安全问题，主要体现在：时刻面临着DNS劫持（例如被劫持了页面内容，被嵌入了页面广告等）、资源盗链（源站面临带宽成本上的损失）等安全威胁。

二、CDN内容分发网络架构

当下，CDN已经是成为了缓解网络拥塞、提高业务响应速度、提升用户体验的一种非常重要的技术手段，也是互联网基础设施当中不可或缺的重要组成部分。下面我们通过阿里云CDN的内容分发网络架构来说明典型的CDN内容分发网络都包含哪些组成部分：

用户的终端会发起各种应用访问，比如：点播和下载这两个应用场景。用户的访问请求会首先去做域名DNS解析，然后用户的域名DNS解析请求将会通过阿里云CDN的调度系统去处理；

链路质量探测系统的作用是去实时地监测缓存系统中的每一个节点和链路的实时负载和健康状况，然后反馈给调度系统，调度系统会根据用户请求中携带的IP地址信息去解析用户的运营商和区域归属，然后综合链路质量信息为用户分配一个最佳的接入节点；

用户收到最佳接入节点的IP以后，就会去访问这个缓存节点，节点如果已经缓存了用户请求的资源，那么就将会直接将资源返回给用户；如果L1节点没有命中，会上溯到L2节点，如果L2节点也没有缓存资源，才会返回源站去拉取这个资源；某个资源首次拉取后将会在缓存系统中缓存下来，这样如果后续用户访问到同一个资源，就可直接从缓存系统去拉取资源，避免重复回源；通过分级缓存的这种部署架构可以达到提高内容分发效率、降低回源带宽以及提升用户体验的效果；

阿里云CDN在内容分发之外也提供了支撑服务系统。第一是具备资源监测能力，可以对缓存系统上客户业务运行的状态进行监测，比如对CDN加速域名的QPS、带宽、http状态码等常见指标实现监控。第二是数据分析，用户可以分析CDN加速域名的TOP URL、PV、UV等数据。第三是配置管理系统，用户通过该系统可以下发如缓存文件类型、缓存时间、去参数缓存等缓存规则，以提升缓存系统的运作效率。

三、 CDN如何解决互联网内容分发所面临的问题？

下面，从用户体验、源站性能与成本以及业务安全这三个方面来看看CDN是如何解决问题的。

首先，CDN可以为用户提供诸多的就近接入的节点。

阿里云CDN建立了一张覆盖全球六大洲70多个国家的2800多个的节点，全网具备了130Tbps的带宽输出能力，基本上覆盖了国内以及做海外的主要运营商。依托丰富的资源节点覆盖，阿里云CDN能够让用户就近接入同运营商节点，解决跨运营商互联互通、远距离访问时延大等用户体验问题。

其次，提升用户体验的第二点是需要提供精准的调度能力，阿里云CDN在这里是提供了4项关键的优化措施：

1、持续更新的精准IP数据库：IP数据库的作用是在用户的DNS解析请求转发到了CDN调度系统时，调度系统会判断用户的地区和运营商归属，以此来为用户分配就近接入的同运营商CDN节点。为了确保IP数据库的数据处于最新的状态，数据库一直在持续地更新。

2、提供HTTPDNS服务（需要客户端兼容）：采用HTTPDNS这项技术使得用户终端可以绕开运营商的local DNS，直接采用HTTP协议去访问调度系统，请求所需要访问的域名的最优接入节点，这样可以避免DNS劫持所带来的业务安全问题。

3、节点数据分析：CDN调度系统通过链路状态系统去实时地分析整个缓存系统中的所有节点和链路的健康状况，为用户选择最优的接入节点，避免因为接入节点质量不佳而影响到用户访问体验。

4、基于内容调度，提高访问命中率：在大文件下载和视频点播这两个应用场景上经常使用302调度这种基于内容的调度技术，302调度是一种中心调度方案，用户在请求某一个资源的时候，在完成域名DNS解析之后，用户请求将会先访问到中心调度系统上，然后中心调度系统将会解析用户请求需要访问的内容，再通过302重定向的方式为用户分配最佳接入节点。
通过采用以上4项优化措施，能够为用户提供更加精准的调度能力，从而让用户能够接入最佳的CDN节点。

CDN常见的三种调度方案简单对比如下图所示：

这里简单说明下这三种常见的CDN调度方式的优缺点：

（1）DNS调度是最常用和最通用的调度方案，缺点是存在DNS劫持的风险，调度的精确度也会差一些；
（2）302调度非常适合用在大文件下载和视频点播这两个应用场景，优点是可以提高调度的精确度，缺点是将会增加首包的时延（在大文件下载和视频点播场景下对首包时延不太敏感，而对调度精确度要求更高）
（3）HTTPDNS调度的优点是有较高的安全性（可以规避DNS劫持风险）和调度精确度，但是有个很大的缺点，需要客户端提供支持（例如在手机APP上嵌入SDK），通用性较差。

再次，提升用户体验的第三个优化点是对传输链路做智能优化

1、协议优化：通过调整拥塞算法、丢包探测算法等优化措施，对TCP协议栈的性能做了大幅度提升，尤其对弱网环境下的网络性能提升明显；

以下两张带宽利用率对比图，左边是标准TCP传输协议，在建立TCP连接之后，需要通过相对更长的时间去提升带宽利用率，一旦碰到丢包情况，带宽利用率会快速下跌，并且需要经历慢速爬坡阶段才能够逐步提升带宽利用率，尤其在弱网环境下，使用标准TCP协议的情况下，带宽利用率的下降会非常的严重。右侧是阿里云优化后的TCP协议，通过快速启动、主动拥塞探测和快速丢包恢复等技术优化措施，能够提供更高的带宽利用率，即使在网络条件相对差一些的情况下，也可以有比较好的优化效果。

2、连接加速：通过修改协议栈的 Handshake Timer 来实现快速重试，以弥补由于丢包导致的重试超时；

3、持久连接：在CDN节点间预先建立好 TCP 连接，并长时间保持不断开，这样在有新连接过来的时候就可以直接复用，减少TCP握手时延。

第二，源站性能、成本压力问题

通过提高缓存系统的效率帮助客户降低源站的性能和成本压力，主要包括六个方面的技术措施：

1、分布式部署：确保用户能够就近访问同运营商的节点，以此来提高访问速度，解决跨运营商访问慢、长距离回源时延高等问题；

2、多级缓存架构：多级缓存架构中的每一级都能够用来缓存用户请求的资源，多级回源收敛之后可以极大地降低回源流量；

3、内容预取：通过内容预取技术提前把源站的内容预取到CDN节点上，减少回源量和提高缓存命中率；

4、合并回源：配置若干个域名的回源请求与某一个域名（业务相同的情况下）相合并，以减少重复回源的流量；

5、去参数缓存：设置hashkey（缓存key）时，配置去掉资源URL后面的参数，以不带参数的URI作为缓存key，以提高缓存命中率；

6、流量控制：提供精细化的流量控制能力，支持单请求流控和全网流控，支持边缘流控和回源流控，能够有效降低客户成本。

下图中标记的序号代表了以上6个技术措施在CDN缓存系统上的作用位置：

这些技术措施综合起来可以帮助客户去有效地减少回源带宽、提升缓存命中率，从而降低源站的带宽压力、降低源站的带宽成本。

第三，业务安全风险问题

阿里云CDN通过可靠的安全防护措施，去帮助用户规避业务上的安全风险。

1、防盗链：可以选择使用Referer、UA、URL、IP等通用鉴权方式，也可以用EdgeScript来定制鉴权规则，支持边缘鉴权和中心鉴权，通过严格校验用户的资源访问请求来防止源站资源被盗用；

2、DNS防劫持：HTTPDNS技术使用HTTP协议访问阿里云的服务端，获得域名解析结果，可以绕过运营商的Local DNS，避免域名DNS劫持；

3、HTTPS传输加密：支持采用TLS协议来加密HTTP协议内容，防止明文数据暴露在互联网上，并且可以设置TLSv1.3、HSTS等高级功能。

最后，我们再整体回顾一下，阿里云CDN在大文件下载和视频点播这两大应用场景下提供了哪些的核心能力：

1、丰富的资源节点：能够为用户提供就近接入的同运营商CDN节点，解决长距离接入和跨运营商访问带来的延迟高和速度慢的问题

2、精准的调度系统：能够实时地获取CDN节点的健康状况，并根据用户的所在位置和运营商来分配最合适的接入节点，以便取得最佳接入效果

3、智能的传输链路：通过协议优化、连接优化等措施来降低总体时延、提高传输速度，尤其是提高弱网环境下的传输速度

4、高效的缓存策略：高效的缓存策略能够带来更高的用户命中率（命中就近节点上的缓存资源），从而提供更高的访问速度

5、可靠的安全防护：可靠的安全防护措施能够对用户的资源访问请求做严格的校验和加密，保护用户的资源和业务安全

本文为阿里云原创内容，未经允许不得转载。

DDoS攻击介绍及解决方案（阿里云）

分布式拒绝服务（Distributed Denial of Service，简称DDoS）将多台计算机联合起来作为攻击平台，通过远程连接利用恶意程序，对一个或多个目标发起DDoS攻击，消耗目标服务器性能或网络带宽，从而造成服务器无法正常地提供服务。

通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

三、DDoS攻击的危害

DDoS攻击会对您的业务造成以下危害：

1. 在遭受DDoS攻击后，您的源站服务器可能无法提供服务，导致用户无法访问您的业务，从而造成巨大的经济损失和品牌损失。
   例如：某电商平台在遭受DDoS攻击时，网站无法正常访问甚至出现短暂的关闭，导致合法用户无法下单购买商品等。

2. 黑客在对您的服务器进行DDoS攻击时，可能会趁机窃取您业务的核心数据。

3. 部分行业存在恶性竞争，竞争对手可能会通过DDoS攻击恶意攻击您的服务，从而在行业竞争中获取优势。
   例如：某游戏业务遭受了DDoS攻击，游戏玩家数量锐减，导致该游戏业务几天内迅速彻底下线。

四、如何判断业务是否已遭受DDoS攻击？

出现以下情况时，您的业务可能已遭受DDoS攻击：

1. 网络和设备正常的情况下，服务器突然出现连接断开、访问卡顿、用户掉线等情况。
2. 服务器CPU或内存占用率出现明显增长。
3. 网络出方向或入方向流量出现明显增长。
4. 您的业务网站或应用程序突然出现大量的未知访问。
5. 登录服务器失败或者登录过慢。

五、阿里云DDoS高防

DDoS高防（Anti-DDoS）是阿里云提供的DDoS攻击代理防护服务。当您的互联网服务器遭受大流量的DDos攻击时，DDoS高防可以保护其应用服务持续可用。DDoS高防通过DNS解析调度流量到阿里云高防网络，代理接入阿里云DDoS防护系统，抵御流量型和资源耗尽型DDoS攻击。 DDoS高防支持通过DNS解析和IP直接指向两种引流方式，实现网站域名和业务端口的接入防护。根据您在DDoS高防中为业务配置的转发规则，DDoS高防将业务的DNS域名解析或业务IP指向DDoS高防实例IP或CNAME地址进行引流。
来自公网的访问流量都将优先经过高防机房，恶意攻击流量将在高防流量清洗中心进行清洗过滤，正常的访问流量通过端口协议转发的方式返回给源站服务器，从而保障源站服务器的稳定访问。
根据要接入DDoS高防进行防护的业务服务器部署地域的不同，DDoS高防提供新BGP（Anti-DDoS Pro）和国际（Anti-DDoS Premium）两种解决方案。
DDoS高防（新BGP）：**适用于业务服务器部署在中国内地地域的场景。**采用中国内地独有的T级八线BGP带宽资源，为接入防护的业务防御超大流量的DDoS攻击。
DDoS高防（国际）：**适用于业务服务部署在中国内地以外地域的场景。**依托世界领先的分布式近源清洗能力，为接入防护的业务提供不设上限的DDoS攻击全力防护能力。 与传统DDoS攻击安全解决方案相比，阿里云DDoS高防具有部署简便、BGP网络质量高、防护能力大、系统稳定可用、防护精准，以及先进的AI智能防护技术等优势。

1、部署简便（5分钟完成部署）
根据您的业务特性，提供DNS解析和IP直接指向两种接入方式，实现网站域名和业务端口的接入防护。无需安装任何软硬件或调整路由配置，5分钟内即可完成部署和激活。

DDoS高防拥有中国内地超过8 Tbps、海外及港澳台地区超过2 Tbps的海量防御带宽资源，有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。

针对交易类、加密类、七层应用、智能终端、在线业务攻击等实现精准防护，使得威胁无处可逃。

在流量清洗技术方面，分别针对网络流量型攻击和资源耗尽型DDoS攻击，通过自动优化防护算法和深度学习业务流量基线，达到精准识别攻击IP并自动过滤清洗的目的。

DDoS防护支持弹性调整防护带宽。您可在DDoS高防管理控制台自助升级，秒级生效，且无需新增任何物理设备。同时，业务上也无需进行任何调整，整个过程服务无中断。

DDoS高防使用高防IP对您的业务站点进行隐藏，使攻击者无法找到您的源站地址，从而增加源站的安全性。

六、阿里云DDoS防护应用场景
1、根据攻击来源就近调度阿里云全球DDoS防护节点
利用Anycast和GSLB技术，调度阿里云分布全球的DDoS防护节点，在发起攻击源头进行过滤，将防护能力最大化。

• 本地机房DDoS防护带宽瓶颈
  本地机房带宽无法无限扩容去抵御从全球各地发起的DDoS攻击，有效利用全球DDoS防护网络，提升整体防护能力和效果。

• DDoS攻击导致的跨境网络拥塞
  DDoS攻击通常会导致部分地区的跨境网络拥塞，从而影响正常跨境访问，各区域就近进行DDoS防护，缓解跨境网络链路负载。

七、阿里云DDoS 常见问题

1、阿里云DDoS防护是否提供免费服务？

答：提供。阿里云默认为每个阿里云用户开启免费的DDoS原生防护（即原生防护基础版），提供不超过5 Gbps的DDoS基础防护能力。免费的DDoS防护无需您购买、开通和配置。

2、是否支持仅在业务被攻击时触发防护且收费，无攻击时不收费的DDoS高防服务？

答：不支持。DDoS高防采用包年包月的计费方式，您需要先购买DDoS高防实例并完成预付费，才能在实例有效期内使用DDoS高防服务。

3、非阿里云服务器是否能使用DDoS高防服务？

答：可以。DDoS高防（新BGP）和DDoS高防（国际）都支持为阿里云ECS或非阿里云服务器提供DDoS防护。

4、使用阿里云DDoS高防是否需要完成域名备案？

答：如果您的域名要接入DDoS高防（新BGP）进行防护，则必须已经完成域名备案；接入DDoS高防（国际）进行防护时，不需要完成域名备案。

5、DDoS高防服务支持哪些地域？

答：DDoS高防（新BGP）：适用于您的业务服务器部署在中国内地地域的场景。
DDoS高防（国际）：适用于您的业务服务器部署在中国内地以外地域的场景，包括中国香港等。

6、DDoS高防是否限制接入域名的数量？

每个DDoS高防（新BGP）实例默认支持添加50个域名接入配置，且使用的不同一级域名（站点）数量不超过5个。
每个DDoS高防（国际）实例默认支持添加10个域名接入配置，且使用的不同一级域名（站点）数量不超过1个。

7、DDoS高防（新BGP）的保底带宽防护的是所有流量还是仅攻击流量？

答：DDoS高防（新BGP）的保底带宽防护所有接入DDoS高防（新BGP）实例的业务流量，包含正常业务流量和攻击流量。所有流量经过DDoS高防（新BGP）清洗后，正常的业务流量转发到您的源站服务器，攻击流量被直接拦截。

8、DDoS高防被黑洞后，支持手动解封吗？

答：DDoS高防（新BGP）：支持。每个阿里云账号每天共拥有五次黑洞解封的机会，每天零点自动恢复成五次。

9、DDoS高防服务是否支持会话保持？

答：支持。非网站业务可以通过DDoS高防控制台开启会话保持。开启会话保持后，在会话保持的设定期间内，DDoS高防服务会把同一IP的请求持续发往源站中的一台服务器。但是，如果客户端的网络环境发生变化（例如从有线切成无线、4G网络切成无线等），由于IP变化会导致会话保持失效。

八、更多阿里云DDoS问题咨询，获取一对一架构师讲解及方案介绍。