DNS&&CDN（防DDOS攻击，iptables命令）

CNAME在cdn中应用：给源站域名添加CNMAE,别名为加速节点的域名（智能DNS）。当用户向源站发起请求时，dns服务器解析源站域名时会发现有CNMAE记录，这时dns服务器会向CNAME域名发起请求，请求会被调度至加速节点的域名。

 

用户访问域名DNS服务器查到CNAME域名，访问CNAME对应的域名，即向智能DNS服务器查询访问域名对应的IP。

智能调度DNS根据一定算法策略找到最近的CDN节点IP。用户得到IP后，访问对应的CDN节点。

CDN网络是在用户和服务器之间增加Cache层，主要是通过接管DNS实现，将用户的请求引导到Cache上获得源服务器的数据，从而降低网络的访问的速度。CDN服务器其实是缓存服务器。

https://blog.csdn.net/xiangzhihong8/article/details/83147542

https://www.jianshu.com/p/14dede92b02f

 

用户到达离其最近的边缘CDN服务器后：类似html，css，图片，js，大文件视频安装包等静态资源是不会改变的，会缓存在CDN边缘缓存服务器中。但凡需要访问数据库的资源是动态资源，如JAVA，WEB服务等后台服务还是需要到源站访问，CDN加速一般是对前端页面加载的加速。（判断CDN有没有生效，访问页面的时候F12看本服务器的js等有没有被加载，没有则说明生效了）

 

内容同步：源站可以主动将内容推送到各个镜像CDN节点，如重要的内容发布更新等。也可以由CDN从源站被动拉取后存到自己缓存，如一些冷门的资源。

有了CND用户不需自己选择ISP（电信，联通，移动等运营商），智能CND会帮助用户自动选择最近的资源。

CDN除了能对网站加速，还可一定程度上抵御网络攻击。对于DDos攻击（大量请求，耗尽资源，使网站不能提供正常服务），CND能够智能进行流量分配，增加攻击难度。

 

DDos攻击类型如应用层CC攻击：不断发送大量正常请求耗尽服务器资源；网络层SYN Flood:客户端发送SYN请求后突然死机或掉线，服务器发送应答报文后无法收到确认，三次握手无法完成，服务器会重试并等待30s后丢弃连接。

 

除了CDN防DDos攻击还可以：

应用层通过Nginx限制每分钟接收同一个客户端的请求数不超过100个，每个客户端的连接数不超过10个。IP白名单，IP黑名单

根据请求特征限制：IP地址和User Agent（浏览器类型，操作系统类型）中的特征。防火墙拦截某地址的请求。

协议采用禁Ping，隐藏服务器真实IP。

流量监控告警，限流。

 

iptables设置IP白名单举例：

用root用户执行iptable指令，例如：

# iptables -A INPUT -s 192.168.194.116 -p tcp --dport 6973:6999 -j ACCEPT

# iptables -A INPUT -s 192.168.194.117 -p tcp --dport 6973:6999 -j ACCEPT

 

说明：上述指令允许ip为192.168.194.116, 192.168.194.117来源的地址访问本地的 6973~6999端口。

dport：目的端口 
sport：来源端口 

比如：iptables -A INPUT -p tcp –dport 80 -j ACCEPT 
注意里面的INPUT参数，这个代表你的这条数据包的进行的 “进入” 操作！ 
那么你的这条数据包可以这么描述： 
1.这是一条从外部进入内部本地服务器的数据。 
2.数据包的目的（dport）地址是80，就是要访问我本地的80端口。 
3.允许以上的数据行为通过。 
总和：允许外部数据访问我的本地服务器80端口。