CDN（Content Delivery Network，内容分发网络）与Fast Flux

一、CDN

1、什么是CDN

• CDN 是构建在网络之上的内容分发网络
• CDN是空间换时间的策略
• CDN使用户就近获取所需内容，降低网络拥塞，提高用户访问相应速度和命中率
• CDN依靠部署在各地的边缘服务器，包括中心平台的负载均衡、内容分发、调度等功能模块

基本思路：
尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。
通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各个节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。

2、基础架构

最简单的CDN网络由一个DNS服务器和几台缓存服务器组成：

1. 当用户点击网站页面上的内容URL，经过本地DNS系统解析，DNS系统会最终将域名的解析权交给CNAME指向的CDN专用DNS服务器
2. CDN的DNS服务器将CDN的全局负载均衡设备IP地址返回用户
3. 用户向CDN的全局负载均衡设备发起内容URL访问请求
4. CDN全局负载均衡设备根据用户IP地址，以及用户请求的内容URL，选择一台用户所属区域的区域负载均衡设备，告诉用户向这台设备发起请求
5. 区域负载均衡设备会为用户选择一台合适的缓存服务器提供服务，选择的依据包括：
   （1）根据用户IP地址，判断哪一台服务器距用户最近；
   （2）根据用户所请求的URL中携带的内容名称，判断哪一台服务器上有用户所需内容；
   （3）查询各个服务器当前的负载情况，判断哪一台服务器尚有服务能力。
   基于以上这些条件的综合分析之后，区域负载均衡设备会向全局负载均衡设备返回一台缓存服务器的IP地址
6. 全局负载均衡设备把服务器的IP地址返回给用户
7. 用户向缓存服务器发起请求，缓存服务器响应用户请求，将用户所需内容传送到用户终端。如果这台缓存服务器上并没有用户想要的内容，而区域均衡设备依然将它分配给了用户，那么这台服务器就要向它的上一级缓存服务器请求内容，直至追溯到网站的源服务器将内容拉到本地

3、主要特点

1. 本地Cache加速，提高了企业站点（尤其含有大量图片和静态页面站点）的访问速度，并大大提高以上性质站点的稳定性
2. 镜像服务消除了不同运营商之间互联的瓶颈造成的影响，实现了跨运营商的网络加速，保证不同网络中的用户都能得到良好的访问质量
3. 远程加速。远程访问用户根据DNS负载均衡技术智能自动选择Cache服务器，选择最快的Cache服务器，加快远程访问的速度
4. 带宽优化。自动生成服务器的远程Mirror（镜像）cache服务器，远程用户访问时从cache服务器上读取数据，减少远程访问的带宽、分担网络流量、减轻原站点WEB服务器负载等功能
5. 集群抗攻击。广泛分布的CDN节点加上节点之间的智能冗余机制，可以有效地预防黑客入侵以及降低各种DDoS攻击对网站的影响，同时保证较好的服务质量

Fast Flux

1、什么是Fast Flux

Fast Flux是指一个域名对应多个IP地址，并不断切换域名与IP的映射关系。例如Avalanche僵尸网络自2009年出现以来，一经发现了超过800000个恶意域名，它们的IP地址在短至5分钟的时间之内被更改。

构成这类网络的大多数计算机实际上并不负责托管和恶意内容的下载，恶意内容的下载只有少数计算机负责，其余的计算机都作为一个重定向跳板，这样做有助于掩盖真实的C2服务器地址。

更为复杂的情况是，犯罪分子为确保其网络中的关键系统的高可用性与带宽，可能会部署负载均衡系统来处理受害者对恶意软件的下载请求或是对控制命令的访问请求；还有一种可能是定期检查网络状态，丢弃所有无法访问的节点，确保恶意内容能够被顺利下载。

2、Fast Flux的类型

1. Single-FLux
   指只有一层变化的Fast Flux。一个Single Flux网络由许多个注册为DNS A记录的IP地址组成，它们的生命周期都很短，平均在五分钟左右，形成一个持续的IP地址变化流，当访问对应域名时，不同时间得到不同的IP地址。
   由于在别人的DNS服务器上频繁改变域名对应的IP十分容易引起管理员的注意，于是控制者通常会自己搭建最底层的DNS服务器，在自己的服务器上实现更改IP地址的操作。
   
2. Double-Flux
   指有两层变化的Fast Flux。攻击者将一部分受控制主机用作代理，其余受控主机向这样的代理主机发起请求，而由这部分主机作为C2服务器的代理予以应答。代理主机的工作模式和Single-flux一样是轮流工作的。
   

如何区分CDN网络与Fast Flux

从上述的分析看，最明显的区别在于TTL，CDN网络内的节点IP相对稳定，不需要太小的TTL，而fast flux为了达到混淆和隐藏的目的，TTL相对较小。

参考资料

CDN：
https://www.zhihu.com/question/36514327?rf=37353035
https://www.jianshu.com/p/6cfb0b65b556
fast flux:
https://www.infoblox.com/glossary/fast-flux/
https://www.welivesecurity.com/2017/01/12/fast-flux-networks-work/
https://www.freebuf.com/articles/network/136423.html