使用 CDN 当面临 DDoS 时， CDN 厂商能知道当前被攻击的是哪个站点（域名）吗？

这种都是 cc ，能识别是那个域名的

@proxytoworld 因此，cdn 厂商能扣费，就必定是 CC ，如果 CDN 厂商说，你被 DDoS 了流量太大，所以扣了你几十万哦~ 那就是糊弄鬼呗

@dzdh cc 是 ddos 的一种

cc 也是域名解析到了 cdn 节点的 ip, 最重要的是节点 ip 如何跟用户关联的
保证客户的域名解析出的 ip 不同，无论一个还是多个，每个客户的 ip 不一致。这样就能根据 ddos 的 ip 匹配到客户

http/https 请求也可以 ddos 啊你们在说些什么

@proxytoworld @elioti @whileFalse

我理解的 cc 攻击 是 http/https 协议大量真实访问只是肉鸡多

而 ddos 我理解的是 OSI3/4 层的 纯流量攻击 比如 syn flood/udp flood/NTP amplification ，使其对方带宽耗尽

当然 cc 也算是 ddos 的一种 字面意思的确包含。

所以问题是，别的不说，就说 syn flood ，通过我的域名，解析到了一个 cdn ，那这个 ip 必然是 cdn 节点的 ip ， 对这个 ip 进行 syn flood 攻击，cdn 厂商能识别到客户吗

@dzdh 你先弄明白 ddos 几个字母分别表示什么吧。

@whileFalse #7 问题再精简一下。当 cdn 节点 IP 遇到 SYN Flood 攻击，能不能识别是哪个客户正在被攻击

@dzdh 不能，也打不挂。首先 CDN 都可以防 SYN Flood 的，那玩意儿对资源的硬消耗不大。其次如过真把节点压出毛病了 CDN 厂商直接把这个节点下线就完了。

其实国际上并没有 cc 攻击这个名词，只是国内约定俗成的叫法而已。本质上就是 L7/L4 DDOS 。L7 在应用层，自然可拿到 HTTP 头里的 host 字段。

你描述的场景相当于直接在打 cdn 的节点。

我换个角度重问一下 lz 这个问题：如果我的一个网站被 ddos ，那么阿里云可以直接给我的 IP 黑洞，我的服务就没法用了。但是如果我用了 CDN 的话，既然 CDN 都是多个网站共用同一个 IP ，那阿里云是不是就没法得知具体是他的哪个客户给它惹了麻烦，来把那个客户给踢出去，或者要那个客户加购 ddos 防护了呢？那样的话阿里云给 CDN 的 ddos 防护还有什么意义？只要我能防好 cc ，那么套 CDN 岂不可以解决所有 ddos ？

@elioti #4 我知道阿里云 CDN 有沙箱，是专门放被攻击的网站的。所以阿里云有什么机制会自动尝试，挑出来被攻击的网站？

@whileFalse

@ChineseTeacher yep

@ChineseTeacher #12 cc 是 ddos 其中一个方式，套 cdn 之后只需要防护好 cc 就可以避免其他 ddos 问题了。

@ChineseTeacher 前提是你钱足够多，cdn 流量费不考虑吗，而且 cdn 是在你网站前面的，如果 ddos 流量都给 cdn 吃了也达到了攻击者目的

@proxytoworld #15 非 L7 的攻击为啥会被扣费

@dzdh 给你 cc 攻击不就是 l7 的吗。。

攻击者知道你套了 cdn 肯定发起 cc 攻击，如果探测到源站还可以用 syn flood 等

@proxytoworld #17 所以还是只要不是 L7 CDN 厂商就只能硬扛还没辙 不泄露源站 IP 的前提下。

@dzdh 直接 drop 就行了，不用抗

@ChineseTeacher
@dzdh
拿 aws 来说吧。aws cdn 自带的免费保护包括 SYN/UDP Floods 、反射攻击等。这些都没法和特定用户联系起来，所以是免费提供的，叫 shield standard 。
此外还有个付费的 shield advanced ，能抗 HTTP ddos ，而且不只能保护 cdn ，还包括对 alb 和 ip 的保护，当然就是收费的了

其实你看 cf 就知道了，如果是 l4 的攻击，通过任播负载分流掉，不构成什么问题。当然单点还是有可能压炸了。如果是 l7 的攻击，不但知道，你还可以写规则让 cf 拦呢。

没人傻到拿 4 层流量去打 cdn 后面的站点 知道 CF 全球总带宽储备有多大吗

用下 CF 和阿里云就知道了。人家系统会自动切换 IP 来阻隔排除是哪个网站被 4 层 DDoS 。
你以为家人傻啊

ddos 打的是服务器 ip ，这肯定看不出来的，cc 攻击打的是域名，就是针对性打的，被打会 cpu 超载