内容分发网络(Content Distribution Network或Content Delivery Network,简称CDN)是一种基于现有网络的重叠网络系统,它包括若干个分布在网络不同位置的缓存服务器,所有用户从距离较近的服务器上获取文件副本,而不是同时访问同一台服务器,从而避免了服务器的瓶颈问题,获取最大的数据访问带宽。由于CDN可以有效地降低网络流量、缩减响应时间、提高服务质量,在网络规模不断扩大和宽带需求目趋增加的今天,CDN在缓解网络拥塞方面得到了广泛运用,特别在Web服务和流媒体应用领域。随着应用的深入,一些与安全相关的问题也得到了重视。一种普遍观点[12][29]认为CDN具有缓解分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击的能力。然而,CDN对DDoS攻击的缓解原理以及缓解程度,却没有得到理论证明和数据验证。本文以CDN防御DDoS攻击能力作为研究对象,在认真研究了DDoS攻击和CDN的相关基础知识后,通过多项实验分析并总结了CDN在防御DDoS攻击时的分流能力。以下为本文做的主要工作。(1)设计并实现了一个简易的、通用的、开源的、基于智能DNS重定向的CDN。该系统可以根据用户的地理位置将用户请求转发到距离用户最近的边缘服务器上。(2)将网站开发和内容发布分离,便于使用,使CDN能够专注于内容发布,而不必关心网站开发的具体细节。此外,系统添加了主动管理模块,可以根据网络流量和各服务器的连接、负载状况,以及到用户的距离和响应时间等综合信息做出相应变化,从而最大限度地提高数据访问带宽。(3)根据CDN的原理及结构特点,分别设计传输层DDoS攻击、应用层DDoS攻击、针对DNS服务器的DDoS攻击,以及针对默认服务器的DDoS攻击。通过分析CDN的网络性能,本文为CDN缓解DDoS攻击提供了实验验证,并提出了基于CDN的DDoS攻击检测方法。研究结果表明,基于DNS重定向的CDN能够缓解应用层DDoS攻击,但不能缓解传输层DDoS攻击,针对DNS服务器的DDoS攻击会导致CDN性能下降,且CDN可能存在针对默认服务器的DDoS攻击。在检测方面,CDN独特的结构可以方便地检测出DDoS攻击。