CDN缓存能防止DoS攻击吗？

Question

假设我使用Cloudflare缓存图像、CSS和JS文件。对HTML内容本身的请求仍然会击中我的服务器，攻击者可以利用这一点来发挥自己的优势。

然而，如果我告诉Cloudflare缓存HTML，DoS攻击是可能的吗？如果每个资产，包括HTML，都由CDN提供，那么我的服务器就不会被打扰。不管攻击者抛出多少负载，CDN都会处理它，不会到达我的服务器，从而使它不受(D)DoS攻击的影响。我的理论正确吗？

Answer 1

真正的访问者浏览你的网站将只请求现有的对象，这些对象可以缓存，这些对象将从CDN缓存服务，只要它们不过期。

对于这类访问者，您的web服务器只会看到来自CDN、重新验证或刷新缓存对象的附带请求。当CDN缓存尚未过期给那些访问者时，即使您的实际web服务器不在，您的网站也会出现在网上。

试图通过请求这些有效资源来DoS您的网站的攻击者也不会取得多大的成果。

但是，恶意用户也可以生成随机和唯一的URI请求，而不是请求实际内容。

这些URI不会出现在CDN缓存中，因为它们以前从未被请求过。为此，CDN将需要向您的URI服务器发出请求，以加载并开始缓存该URI上的实际内容或错误响应。

在达到CDN阈值级别并启动DDoS保护并开始限制或完全删除此类随机URI请求之前，您仍然可以看到CDN转发的请求和到达web服务器的请求激增。

但这些可能不足以让你的服务器崩溃。

Answer 2

是的，你一般都是对的。但是，您需要确保您没有向攻击者公开您的公共IP地址(确保您通过CDN代理所有DNS条目)。此外，如果您的网站向后端服务器发出HTTP请求，则攻击者可能会利用此漏洞创建DDoS攻击。

另一方面，如果你是一个纯粹的静态网站，并且不公开你的公共IP，你应该是安全的。