【EdgeOne实战】TencentCloud EdgeOne 网络安全的护城河

👉 目录

• 什么是边缘平台架构
• 边缘安全加速平台 EO
• EO在手，天下我有
• 体验 EO 加速篇
• 体验 EO 安全篇
• 测试准备工作
• DDoS 搭建与防护测试
• LOIC 低轨道离子炮
• DDoS 攻击
• CC 搭建与防护测试

引言

21世纪什么最重要？安全！！！

腾讯云边缘安全加速平台 EdgeOne（以下简称 EdgeOne）依托腾讯的边缘计算节点，提供加速与安全解决方案，护航电商与零售、金融服务、内容资讯、游戏等多个行业，全面提升用户体验。

加速方面：

• EdgeOne 的边缘节点紧贴用户，有效降低数据访问延迟，避免数据传输抖动，保障大规模数据传输的稳定性和高效性。产品提供动态与静态数据加速、跨国加速、智能路由优化等多项加速特性，高效支持对时延敏感的业务需求。

安全方面：

• EdgeOne 提供全面的 WAF 和 DDoS 防护服务。节点能够识别并拦截 L3/L4/L7 层各类攻击请求，对 DDoS 攻击流量进行清洗。同时，智能 AI 引擎和 BOT 策略引擎对 Web 攻击、BOT 攻击、CC 攻击进行行为分析，并及时更新拦截策略，有效阻断恶意请求到达用户源站，确保业务访问的流畅与稳定。

什么是边缘平台架构

边缘平台是一种分布式计算架构，它将计算资源和存储能力从中心数据中心推向网络的边缘，靠近数据源和用户。这种架构通过减少数据传输距离、降低延迟、提高安全性和节省带宽成本，为各种实时应用提供支持。利用边缘平台架设网站可以显著提高网站的响应速度和用户体验。

传统访问

传统的网站访问，客户端（Client）发出请求，途径Internet，最终到达服务器（Server）；

后来有了CDN

内容分发网络（Content Delivery Network，CDN），是在现有 Internet 中增加的一层新的网络架构，由遍布全球的高性能加速节点构成。这些高性能的服务节点都会按照一定的缓存策略存储业务内容，当用户向某一业务内容发起请求时，请求会被调度至最接近用户的服务节点，直接由服务节点快速响应，有效降低用户访问延迟，提升可用性。

CDN 有效地解决了目前互联网业务中网络层面的以下问题：

1. 用户与业务服务器地域间物理距离较远，需要进行多次网络转发，传输延时较高且不稳定。

2. 用户使用运营商与业务服务器所在运营商不同，请求需要运营商之间进行互联转发。

3. 业务服务器网络带宽、处理能力有限，当接收到海量用户请求时，会导致响应速度降低、可用性降低。

CDN 接入简单，使得我们无需调整自身业务结构，或是进行复杂的操作配置，即可享受全球 CDN 加速服务。

CDN的加速原理

假设我们的业务源站域名为 www.test.com，域名接入 CDN 开始使用加速服务后，当用户发起 HTTP 请求时，实际的处理流程如下图所示：

详细说明如下

1. 用户向 www.test.com 下的某图片资源（如：1.jpg）发起请求，会先向 Local DNS 发起域名解析请求。

2. 当 Local DNS 解析 www.test.com 时，会发现已经配置了 CNAME www.test.com.cdn.dnsv1.com，解析请求会发送至 Tencent DNS（GSLB），GSLB 为腾讯云自主研发的调度体系，会为请求分配最佳节点 IP。

3. Local DNS 获取 Tencent DNS 返回的解析 IP。

4. 用户获取解析 IP。

5. 用户向获取的 IP 发起对资源 1.jpg 的访问请求。

6. 若该 IP 对应的节点缓存有 1.jpg，则会将数据直接返回给用户（10节点），此时请求结束。若该节点未缓存 1.jpg，则节点会向业务源站发起对 1.jpg 的请求（6、7、8节点），获取资源后，结合用户自定义配置的缓存策略，将资源缓存至节点（9节点），并返回给用户（10节点），此时请求结束。

边缘服务器的崛起

CDN（内容分发网络）架构确实是通过将静态文件缓存到边缘服务器上来加速用户访问速度的。然而，CDN主要解决的是文件的传输速度和可达性问题，而非数据和计算的处理速度。对于需要实时处理的数据和复杂的计算任务，传统的CDN架构可能无法提供满意的解决方案。

为了进一步提升网站性能，工程师们自然会思考：能否将数据处理和存储的任务也迁移到边缘服务器上呢？答案是肯定的。通过将数据计算设计成无状态的云函数，以及将数据存储限制在对一致性要求不高的场景下，这些任务就可以在边缘服务器上高效完成。这便是边缘计算和边缘存储的概念。

在这种架构下，无论是数据的计算、存储还是文件的下载，都能由距离用户最近的边缘服务器来处理。这样一来，网站的响应速度就能得到全面的提升，为用户带来更加流畅和高效的体验。边缘计算和边缘存储的出现，不仅优化了数据处理流程，也推动了云计算向更贴近用户的方向发展。

边缘安全加速平台 EO

边缘安全加速平台 EO 提供了集内容加速、安全防护于一体化的边缘安全加速平台，为您的业务提供加速的同时，构筑了 3-7 层立体化安全防护体系。

EdgeOne｜安全与加速兼顾

EdgeOne  不止加速，攻击卡顿都不怵，加速安全皆兼顾！EdgeOne为我们提供4中版本个人版/基础版/标准版/定制版；

• 个人版避免普通CDN受攻击后的高额费用

• 基础版保护用户信息更强CC防护能力

• 标准版进一步保护支付和交易安全

• 增值服务VAU包抵扣智能加速/BOT 请求数等

内容分发网络CDN VS 下一代CDN—EdgeOne

EO全面升级，提供安全防护/边缘函数/四层代理/DNS 解析等高级能力EO与CDN产品对比>

EO在手，天下我有

工欲善其事，必先利其器，作为新一代网络安全护城河的最强之一，今天我们就 入手EO来体验一下它的强大之处。

首先在购买页面，有个人版，基础版，标准版本和企业版。鄙人不才，能力有限，先买个人版的给兄弟们试试水。

如果你也想像我一样，拥有大额的优惠券。欢迎你加入我们腾讯云开发者社区的大家庭。

体验 EO 加速篇

添加自己的个人站点。

输入要加速的站点名称，这里建议使用二级域名。

提示站点可接入后，选择下一步按钮。

如果已经有套餐，选择已有套餐。

如果你还没有套餐，但是想体验一下。可以购买9.9使用一个月哦。

套餐配置下发中......

加速区域

建议选择 3 ；

全球可用区（不含中国大陆） 您的站点下所有子域名仅在中国大陆境外区域服务

中国大陆可用区 您的站点下所有子域名仅在中国大陆境内服务

全球可用区 您的站点下所有子域名将在中国大陆境内外多地区服务

接入模式

选择接入模式，EdgeOne 为您提供了两种接入模式，分别为 NS 接入模式和 CNAME 接入模式，不同的接入模式区别如下：

NS 接入

我们以 NS 接入为例

单击下一步，在 NS 接入模式下，您需要前往原域名注册服务商，将域名的 DNS 服务器地址修改为 EdgeOne 所提供的 DNS 服务器地址，操作步骤可参考：修改 DNS 服务器。

1. 登录 阿里云域名控制台。

2. 在域名列表中定位目标域名，单击操作列下的管理。

3. 在左侧导航栏中，单击 DNS 修改。

4. 在 DNS 修改页面，单击修改 DNS 服务器。

5. 根据页面提示，输入 EdgeOne 提供的 DNS 服务器地址信息，完成后单击确定即可完成设置。

修改成功后，EdgeOne会有提示。

域名配置

1. 单击左侧菜单栏的站点列表，选择所添加的站点，进入站点详情管理。

2. 单击域名服务 > DNS记录，进入域名 DNS 解析管理页面。

3. 单击添加记录，填写对应的记录类型、主机记录（即当前子域名名称，例如：当前需添加的加速网站为 www.example.com，主机记录值填写为 www。）、记录值（即您的源站服务器地址，例如：已有一个使用腾讯云服务器搭建的跨境电商网站，此处填写该服务器的 IP 地址：10.1.1.1），单击保存，即可完成域名记录添加；了解DNS主机记录类型。

开启加速

在域名列表中，单击开启加速，为该域名快速开启加速。

开启加速的域名，会自动添加在域名服务 > 加速域名管理下，您可以通过该页面管理所有已开启加速的域名。

开启加速中

验证站点加速效果

在部署EdgeOne之前，我对网站进行了检测，检测结果如下：

在部署的过程中，我们再次检测，很明显，速度有所提升。

当部署已生效后，加入效果非常的显著啊。

在站点接入后，通过访问已在 EdgeOne 内接入的加速域名，例如：www.ztword.cn。重复刷新多次，可以看到该站点的加载总耗时会缩短。

Google Lighthouse

用于测试网站的性能、可访问性、最佳实践和SEO。分析效果如下：

总体来说，网站访问加速效果显著。

体验 EO 安全篇

21世纪什么最重要？安全！！！安全！！！还是安全！！！

接下来我们就来体验一下，EdgeOne的安全功能。并且教给大家一些安全测试的小技巧。

网络并非法外之地，言行举止要注意！！！请牢记。

测试准备工作

测评环境

• 服务器：腾讯云服务器
• 网站：自建测试网站，包含常见的Web应用功能
• 攻击源：模拟DDoS、CC攻击

环境搭建

首先，在腾讯云上搭建一个测试网站，确保网站可以正常访问。然后，将网站接入EdgeOne，选择合适的接入模式。

DDoS 搭建与防护测试

什么是 DDoS 攻击

分布式拒绝服务攻击（Distributed Denial of Service，DDoS）是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求，堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源，导致其无法响应正常的服务请求。

DDoS 攻击的危害

如果遭受 DDoS 攻击导致业务中断或受损，将会带来巨大的商业损失。

重大经济损失：在遭受 DDoS 攻击后，源站服务器可能无法提供服务，导致用户无法访问您的业务，从而造成巨大的经济损失和品牌损失。

数据泄露：黑客在对您的服务器进行 DDoS 攻击时，可能会趁机窃取您业务的核心数据。

恶意竞争：部分行业存在恶性竞争，竞争对手可能会通过 DDoS 攻击恶意攻击您的服务，从而在行业竞争中获取优势。

DDoS 防护使用场景

游戏：游戏行业是 DDoS 攻击的重灾区，DDoS 防护能有效保证游戏的可用性和持续性，保障游戏玩家流畅体验，同时为活动、新游戏发布或节假日游戏收入旺季时段保驾护航，确保游戏业务正常。

互联网：保证互联网网页的流畅访问，业务正常不中断，对电商大促等重大活动时段，提供安全护航。

金融：满足金融行业的合规性要求，保证线上交易的实时性及安全稳定性。

政府：满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，保障民生服务正常可用，维护政府公信力。

企业：保障企业站点服务持续可用，避免 DDoS 攻击带来的经济及企业品牌形象损失问题，零硬件零维护，节省安全成本。

EdgeOne 的 DDoS 防护

DDoS 防护范围

EdgeOne 对所有接入业务提供并开启 L3/L4 流量型 DDoS 攻击防护，实时监控网络流量，当识别到 DDoS 攻击时立即进行流量清洗过滤。DDoS 防护功能提供预设防护策略，基于攻击画像、行为模式分析、AI 智能识别等防护算法，可识别并过滤下列类型的 DDoS 攻击：

DDoS 防护规格

EdgeOne 的平台默认防护规格，为全部接入 EdgeOne 的业务提供基础 DDoS 防护能力和资源，可为大部分站点业务和 TCP/UDP 应用提供满足日常使用的基础防护能力。在此基础上，对于有遭受较大 DDoS 攻击风险预期、需要保持长连接、或者需要配置定制化流量管控策略的业务，EdgeOne 提供了独立 DDoS 防护，满足此类业务的流量过滤需求。

LOIC 低轨道离子炮

低轨道离子加农炮是一种用户友好的工具，可以发起 DoS 和 DDoS 攻击，用恶意流量使服务器过载。

什么是低轨道离子加农炮 (LOIC)

低轨道离子加农炮是通常用于发起 DoS 和 DDoS 攻击的工具。它最初是由 Praetox Technology 作为网络压力测试应用程序而开发的，但此后成为开源软件，现在主要被用于恶意目的。它以非常易于使用且易于获取的特性而闻名，并且因为被黑客组织 Anonymous 的成员以及 4Chan 论坛的用户使用而臭名昭彰。

通过使用该工具，几乎毫无技术知识的用户都可以发起 DDoS 攻击。它可以从很多来源下载，并使用简单的点击界面，此外，用户甚至可以使用称为 JS LOIC 的 JavaScript 版本和称为“低轨道 Web 加农炮”的 Web 版本从 Web 浏览器发起攻击。

LOIC 的工作原理

它的工作原理是向目标服务器发送大量 TCP、UDP 或 HTTP 数据包以中断服务。一名攻击者使用 LOIC 无法产生足够的垃圾流量来严重影响目标；严重的攻击需要成千上万的用户协调，对同一目标同时发起攻击。为了使协同攻击更容易，用户可以使用 IRC 聊天频道来运行 LOIC 的“Hivemind”（蜂群思维）版本，该版本允许一个主要用户控制多台联网的次级计算机，从而创建一个自愿的僵尸网络。这是一种热门做法，因为次级设备的所有者可以声称自己是非自愿僵尸网络的无辜受害者。

安装 LOIC

安装LOIC（Low Orbit Ion Cannon）在CentOS上的步骤如下；

CentOS系统安装方式

更新系统： 打开终端，确保你的CentOS系统是最新的。

sudo yum update -y

安装必要的软件： LOIC是一个Windows应用程序，但你可以使用Wine在CentOS上运行它。Wine是一个能够在Linux上运行Windows应用程序的兼容层。

sudo yum install -y epel-release 
sudo yum install -y wine
sudo yum install -y mono-xbuild mono-mcs mono-devel 

下载LOIC： 访问LOIC的GitHub官方仓库下载最新版本。你可以使用wget命令来下载可执行文件。

wget https://codeload.github.com/NewEraCracker/LOIC/zip/master

解压下载的文件：

sudo yum install -y unzip unzip master.zip

进入LOIC目录：

cd LOIC-master  # 进入软件所在目录

./loic-net4.0.sh run  # 运行LOIC

现在你应该能够在CentOS系统上看到LOIC的界面。

找到LOIC.exe运行；

Ubuntu 系统安装方式

sudo apt install mono-xbuild mono-mcs mono-devel -y  # 先安装相关的依赖软件
wget https://codeload.github.com/NewEraCracker/LOIC/zip/master  # 下载LOIC软件
unzip master  # 将上一步中下载的压缩包解压缩
cd LOIC-master  # 进入软件所在目录
./loic-net4.0.sh run  # 运行LOIC

重要声明

请注意！！！！！！！！，LOIC是一款网络压力测试和拒绝服务（DoS）攻击应用程序，未经授权使用LOIC进行DoS攻击是违法且不道德的。本指南仅供教育目的，并用于了解如何在合法和道德的框架内使用LOIC，例如测试自己网络的抗压能力。

• 法律和道德考量： 确保你在测试的网络或网站是你有权限的目标。未经授权的使用会导致法律后果。
• 安全风险： 运行LOIC可能会暴露你的系统风险，不当使用可能会中断服务。请在受控和合法的环境中使用它。

DDoS 攻击

第一步：输入被攻击URL，如：www.ztword.cn/xxx.html，注意是URL不是域名

第二步：点击lock on 获取 URL的ip地址

第三步：设置端口

第四步：线程数量设置

第五步：攻击速度（攻击速度一般默认）

添加http subsite：http subsite主要写域名后的信息，如：/xxxxxxxx（不要忘记反斜杠）

第六步：点击 IMMA CHARGIN MAH LAZER；

开始模拟攻击

开始监控

top一下，会看到CPU逐步升高。

EdgeOne 的 DDoS 防护

Linux下可以用netstat -anpt查看到连接者的IP。

等待一定时间就可以访问被攻击网站验证会否还能正常访问。

此教程只为学习，切勿用于违法途径，本教程不负任何责任，否则后果自负！

CC 搭建与防护测试

CC（Challenge Collapsar）攻击是一种常见的DDoS（分布式拒绝服务）攻击方式，主要通过大量的HTTP请求来消耗目标服务器的资源，从而导致服务器无法正常响应合法用户的请求。以下是CC攻击的原理及搭建教程，但请注意，这些内容仅供教育和防御研究之用，任何恶意使用均属违法行为。

CC攻击原理

CC攻击通过向目标服务器发送大量的HTTP请求，消耗其CPU、内存和带宽资源，使其无法处理合法用户的请求。攻击者通常会使用代理服务器或僵尸网络来隐藏自身的真实IP地址，从而难以追踪。

CentOS 安装方式

以下步骤详细介绍如何在CentOS 7上搭建并执行CC攻击环境。请注意，本教程仅供教育和防御研究之用，任何恶意使用均属违法行为。

安装Node.js

curl --silent --location https://rpm.nodesource.com/setup_8.x | sudo bash - 

• curl --silent --location https://rpm.nodesource.com/setup_8.x | sudo bash -： 这条命令使用curl下载并运行NodeSource的Node.js安装脚本，配置Node.js 8.x的YUM存储库。

sudo yum install -y nodejs

sudo yum install -y nodejs： 这条命令使用YUM包管理器安装Node.js。

安装 cnpm

npm config set registry https://mirrors.tencent.com/npm/
sudo npm install -g cnpm

这条命令使用npm安装cnpm（腾讯云镜像的npm），以便更快地下载和安装npm包。

输入命令node ，如果出现下图所示符号 > 则安装js环境成功

安装CC脚本，上传至服务器或本地系统。

将解压后的文件上传到服务器的/root/CC目录。

给脚本权限

chmod 777 cc
chmod 777 cc.txt
chmod 777 cc-mod.js 

执行CC攻击命令

./cc http://www.ztword.cn 60   --其中60为攻击持续时间（秒）。

停止 EO防护

再CC攻击之前，我停止了EdgeOne。

然后，我的博客就成了下面这个样子。。。

开启 EO防护

在站点详情页面，单击安全防护 > Web 防护，进入 Web 防护详情页左侧的防护域名列表中，选择需开启防护的域名。开启EdgeOne，再次对自己出手，男人对自己要狠一点。

由于使用EO，再次模拟CC攻击时，这次我站住了，我是真男人，再也不用担心我的博客被攻击了。

重要提示

进行CC攻击是非法的行为，可能会导致严重的法律后果。本文内容仅供教育和研究目的，任何恶意使用均属违法行为。请勿用于任何非法目的。

EO 感受

在当今这个数据为王的时代，EdgeOne通过将计算任务从中心服务器迁移到网络边缘，显著降低了网络延迟。我在使用时几乎感觉不到任何延迟，在浏览网页时能保持流畅。这对于用户的体验尤为重要。

同样在数据安全和隐私保护至关重要。EdgeOne在这方面做得非常出色。它采用了先进的加密技术和隐私保护措施，确保我的数据在传输和存储过程中的安全性。这让我在使用过程中无后顾之忧。

作为一名EdgeOne使用者，我对这款产品非常满意。它不仅提高了我的工作效率和网络体验，还为我提供了强大的数据安全保护。我相信，随着边缘计算技术的不断发展，EdgeOne将会在未来发挥更加重要的作用。