CDN是企業(yè)常用的互聯(lián)網服務之一,主要提供內容分發(fā)服務���。CDN能幫助用戶緩解互聯(lián)網網絡擁塞���、提高互聯(lián)網業(yè)務響應速度、是改善用戶業(yè)務體驗的重要手段���。同時���,CDN使用反向代理技術�,能有效的保護用戶源站����,避免源站暴露進而遭到黑客的攻擊�����。CDN海量的服務節(jié)點天然給用戶提供了一定的防護能力����,繼而獲得相應的穩(wěn)定性提升。默認情況下會用整個CDN大網的網絡能力和計算能力�����,有效的對抗攻擊者的攻擊��。
關于CDN安全的那些誤區(qū)和問題
前文提到了CDN節(jié)點可以為用戶提供一定的防護能力�����,其實在使用CDN過程中會有一些常見的誤區(qū)�,比如:第一個誤區(qū)是有些用戶認為用了CDN之后有效保護源站就不需要額外購買安全服務了,甚至可以使用CDN平臺來抵抗攻擊�;第二個誤區(qū)是用戶認為其用了CDN后無需進行任何額外配置��,有攻擊CDN自動來抵抗�����,和其沒什么關系��,對其沒什么影響�����。
伴隨這兩種誤區(qū)就會產生一些問題���,比如:第一個問題是當用戶遭到DDoS攻擊,CDN為保證整體服務質量��,會將用戶業(yè)務切入沙箱�,網站業(yè)務質量受到較大影響,且影響該域名后續(xù)的CDN加速服務質量�。第二個問題是當用戶遭到刷量型CC攻擊,由于請求非常分散�����,CDN認為是客戶正常業(yè)務的流量增長��,因此盡力提供服務,造成短時間大量帶寬突增����,客戶要為此付出大額賬單,造成較大的經濟損失���。
正確地認識網絡攻擊
客戶業(yè)務線上運行過程中,不可避免會遇到網絡安全威脅�����,DDoS攻擊是最典型的����。DDoS的核心目標是造成業(yè)務損失,受害目標無法對外進行服務���,進而造成業(yè)務損失���。其本質是消耗目標系統(tǒng)的資源,具體有2種實現(xiàn)方式:一種叫做擁塞有限的帶寬����,第二種叫耗盡有限的計算資源�����。本質上CDN給用戶提供的就是這兩種資源�。一個是分發(fā)的帶寬資源�,第二個是在節(jié)點上提供相應的算力,所以攻擊本身就是在消耗這個��。
其中三類攻擊包括:
一����、網絡流量型攻擊
這種攻擊會利用到一些協(xié)議漏洞,比如UDP���、SMP協(xié)議�����,很輕易地構造出過載大報文來堵塞網絡入口��,這就導致正常請求很難進入����。
二���、耗盡計算資源型攻擊——連接耗盡
最典型的就是網絡層CC����,利用HTTP協(xié)議的三次握手,給服務器發(fā)一半的三次握手請求���,后續(xù)的一些請求不再發(fā)了����,所以服務器端就會等待�����,進而占用大量的資源���,導致服務器連接資源直接被耗盡,服務不可持續(xù)��。
三�、耗盡計算資源型攻擊——應用耗盡
典型是是7層的應用層CC攻擊。這種攻擊發(fā)出的攻擊請求�����,從報文來看,看不出他有非常明顯的畸形或有害性�,很難去做相應的判斷。由于七層CC都是正常的業(yè)務請求��,同時CDN只是緩存內容���,并不了解業(yè)務邏輯�,同時業(yè)務也經常會遇到客戶業(yè)務突發(fā)�����,當CC攻擊時��,如果無特殊的錯誤碼異常�,從CDN角度來看會和正常的業(yè)務上量是一樣的,因此也會盡力服務��。進而CC攻擊會形成突發(fā)帶寬峰值��,進而產生高額賬單����,因此給客戶造成了較大的經濟損失。
CDN場景中應該怎么去更加有效的防護?
沿著以上兩個核心場景來看����,一個是擁塞帶寬,一個是耗盡資源
對于擁塞有限帶寬入口這類攻擊���,本質上要在流量上Hold住��。CDN天然具有豐富的節(jié)點資源��,使用分布式的網絡將攻擊分散到不同的邊緣節(jié)點���,同時在近源清洗后返回服務端。
對于耗盡有限資源資源這類攻擊�����,本質上要做到攻擊的快速可見��,并且能夠把相應特征進行阻斷�。單純依靠CDN不能特別有效的解決問題��,需要通過CDN節(jié)點上的配置���,完成智能精準檢測DDoS攻擊����,并自動化調度攻擊到DDoS高防進行流量清洗。這時候需要尋求具有完善售后技術支持的DDoS高防服務商����。
關于防御吧
防御吧致力于安全防護、服務器高防���、網絡高防�、ddos防護����、cc防護、dns防護����、防劫持、高防服務器�����、高防dns��、網站防護等方面的服務,全網第一款指紋識別技術防火墻����,自研的WAF指紋識別架構,提供任意CC和DDoS攻擊防御�。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
