购物形式网站制作,做网站优化常用工具,广东省医院建设协会网站,互联网平台搭建为了帮助用户更好地了解和使用CDN产品#xff0c;CDN应用实践进阶系统课程开课了。12月17日#xff0c;阿里云CDN产品专家彭飞在线分享了《正确使用CDN#xff0c;让你更好规避安全风险》议题#xff0c;内容主要包括以下几个方面#xff1a;
使用CDN的常见误区和问题有哪…为了帮助用户更好地了解和使用CDN产品CDN应用实践进阶系统课程开课了。12月17日阿里云CDN产品专家彭飞在线分享了《正确使用CDN让你更好规避安全风险》议题内容主要包括以下几个方面
使用CDN的常见误区和问题有哪些 DDoS攻击是如何一步步演进的 CDN场景中更有效的防护方式是什么 阿里云CDN边缘安全体系如何帮助客户抵御攻击 针对近期潜在安全风险你可以怎么做 客户体验和安全稳定是企业的两大核心诉求 阿里云CDN正式商业化至今已经服务了30万的全球客户其中最核心的两类场景就是网站和APP的业务。在这个业务中客户的核心诉求还是相对集中的一方面希望能够给他们的用户提供更优质的体验需要解决分布于不同运营商网络下的终端用户的跨网访问效率、广泛分布用户的一致性访问体验、中心部署源站成本高昂、突发流量下的弹性扩展以及弱网环境下传输性能等等方面的问题另一方面客户希望业务是安全稳定运行这种稳定就包括了提供SLA可靠性、解决网络DDoS和CC攻击、保护内容不被恶意爬取、劫持、篡改等等。综上所述用户体验和安全稳定是企业的两大核心诉求。
CDN是企业常用的互联网服务之一主要提供内容分发服务。CDN能帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、是改善用户业务体验的重要手段。同时CDN使用反向代理技术能有效的保护用户源站避免源站暴露进而遭到黑客的攻击。CDN海量的服务节点天然给用户提供了一定的防护能力继而获得相应的稳定性提升。默认情况下会用整个CDN大网的网络能力和计算能力有效的对抗攻击者的攻击。
关于CDN安全的那些误区和问题 前文提到了CDN节点可以为用户提供一定的防护能力其实在使用CDN过程中会有一些常见的误区比如第一个误区是有些用户认为用了CDN之后有效保护源站就不需要额外购买安全服务了甚至可以使用CDN平台来抵抗攻击第二个误区是用户认为其用了CDN后无需进行任何额外配置有攻击CDN自动来抵抗和其没什么关系对其没什么影响。
伴随这两种误区就会产生一些问题比如第一个问题是当用户遭到DDoS攻击CDN为保证整体服务质量会将用户业务切入沙箱网站业务质量受到较大影响且影响该域名后续的CDN加速服务质量。第二个问题是当用户遭到刷量型CC攻击由于请求非常分散CDN认为是客户正常业务的流量增长因此尽力提供服务造成短时间大量带宽突增客户要为此付出大额账单造成较大的经济损失。
正确地认识网络攻击 客户业务线上运行过程中不可避免会遇到网络安全威胁DDoS攻击是最典型的。DDoS的核心原理是什么是如何发展演进的 我们有必要进行详细的了解以便于更好的在CDN上给与其防护。
DDoS的核心目标是造成业务损失受害目标无法对外进行服务进而造成业务损失。其本质是消耗目标系统的资源具体有2种实现方式一种叫做拥塞有限的带宽第二种叫耗尽有限的计算资源。本质上CDN给用户提供的就是这两种资源。一个是分发的带宽资源第二个是在节点上提供相应的算力所以攻击本身就是在消耗这个。
其中三类攻击包括 一、网络流量型攻击 这种攻击会利用到一些协议漏洞比如UDP、SMP协议很轻易地构造出过载大报文来堵塞网络入口这就导致正常请求很难进入。
二、耗尽计算资源型攻击——连接耗尽
最典型的就是网络层CC利用HTTP协议的三次握手给服务器发一半的三次握手请求后续的一些请求不再发了所以服务器端就会等待进而占用大量的资源导致服务器连接资源直接被耗尽服务不可持续。
三、耗尽计算资源型攻击——应用耗尽
典型是是7层的应用层CC攻击。这种攻击发出的攻击请求从报文来看看不出他有非常明显的畸形或有害性很难去做相应的判断。由于七层CC都是正常的业务请求同时CDN只是缓存内容并不了解业务逻辑同时业务也经常会遇到客户业务突发当CC攻击时如果无特殊的错误码异常从CDN角度来看会和正常的业务上量是一样的因此也会尽力服务。进而CC攻击会形成突发带宽峰值进而产生高额账单因此给客户造成了较大的经济损失。
DDoS攻击的演进 了解到攻击实质之后再看看整个攻击的演进过程便于大家更好地了解攻击原理。整个的演进大概分为四个阶段
第一个阶段DoS攻击 基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间由于传统服务器的硬件、服务性能、带宽水平都有限在这样的流量规模之下就可以造成服务器的全面瘫痪甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护再回到服务器就可以达到防御目的。同时也可以对相应的原IP进行封禁。
第二阶段DDoS攻击 也就是分布式的DoS攻击它的攻击源就不是单点的服务器而是一群僵尸网络黑客通过系统漏洞在网络上抓取大量肉鸡运用这些肉鸡在不同的网络里去同时发起攻击造成的带宽规模可能从10Gbps到100Gbps。对这种分布式的僵尸网络攻击形式通常防御手段就是用多点的大流量清洗中心去做近源的流量压制之后再把清洁流量注回到服务器。
第三阶段DRDoS分布式反射型拒绝服务攻击。 互联网上的肉鸡抓取可能存在困难但一旦被发现很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备在处理协议的过程中可能会形成一个攻击流量成本的放大比如请求NTP 10K返回50K请求的原地址改成目标服务器所有终端都以为受害主机在请求所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间所以对于这种攻击一个是要在很多的协议源头去做流量的阻断另一个就是还要通过全球化分布式的DDoS进行相应防御。
第四阶段未来发展 未来5g、IPv6和IoT技术发展会导致单位攻击能力翻10倍、公网IP数量指数增长以及潜在肉鸡无处不在都是我们将要面临的一些风险。所以未来的攻击规模可能会超过2Tbps甚至更高。
CDN场景中应该怎么去更加有效的防护 沿着以上两个核心场景来看一个是拥塞带宽一个是耗尽资源。
对于拥塞有限带宽入口这类攻击本质上要在流量上Hold住。CDN天然具有丰富的节点资源使用分布式的网络将攻击分散到不同的边缘节点同时在近源清洗后返回服务端。
对于耗尽有限资源资源这类攻击本质上要做到攻击的快速可见并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题需要通过CDN节点上的配置完成智能精准检测DDoS攻击并自动化调度攻击到DDoS高防进行流量清洗。这时候需要用户购买高防抗DDoS的产品。
本质上标准的CDN仍然是一个内容分发产品不是安全产品也没有承诺安全方面的SLA因此如果用户需要更加专业的安全服务还是需要选择云安全的DDoS等产品形成多级的安全防护体系来更加有效的进行风险防御。
那么具体阿里云CDN结合云安全的产品之后能够提供怎样的安全防护体系呢
政企安全加速解决方案 是一套基于基于阿里云CDN构建的边缘安全体系核心能力是加速但又不止于加速。加速是整体方案的基础依托于阿里云全站加速平台通过自动化动静分离智能路由选路私有协议传输等核心技术提升静动态混合站点的全站加速效果。在加速基础之上为客户提供WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输高可用安全安全合规 6大方面安全能力从客户业务流量进入CDN产品体系一直到回到客户源站全链路提供安全保障保障企业互联网业务的安全加速。
CDN边缘安全——网络层与应用层双重安全 一、网络层 银行证券保险等金融行业的业务线上化已经成为常见的业务办理模式客户的 金融网银网上业务办理业务一般情况下Web攻击较多遭遇DDoS网络攻击的场景并不常见但一旦发生DDoS攻击企业核心互联网业务就面临瘫痪风险将会严重影响企业品牌产生重大资损。因此一般情况银行客户都在源站侧部署DDoS防护能力同时在CDN边缘分发侧也希望CDN能利用大量分布式的节点优势提供边缘DDoS防护能力在边缘检测DDoS攻击并实现攻击阻断保护源站不受到攻击冲击。最终实现无攻击CDN分发有攻击DDoS防护。
在CDN的边缘节点具备基础的抗D的防护能力。如果用户当前的攻击流量比较高达到了用户设置的阈值之后就可以自动化的检测到当前的攻击的流量并且通过智能调度的方式将当前恶意的请求全部解析到高防的IP。高防IP的产品去做流量的攻击检测以及攻击的清洗防护整个过程是自动化实现。
整个业务流程是 •客户需要分别开通CDN和DDoS高防产品并将域名配置在两个产品中其次将高防侧生成的调度CNAME在CDN侧进行联动配置。配置后即可实现无攻击CDN分发有攻击DDoS防护的效果 •在遇到攻击时首先自动化丢弃非80|443端口非正常流量第二CDN会智能识别网络层攻击行为精准实时将DDoS攻击区域流量切换到高防服务整个过程完全自动化无需用户介入第三在高防侧用户可以享受最高超过1T的DDoS防护和清理能力以及超过250W QPS的防护能力 •当攻击结束后CDN将自动将流量重新调度回CDN网络实现正常业务分发
如上就能够完整平滑的实现CDN与高防的联动实现无攻击CDN分发有攻击DDoS防护。
二、应用层 零售客户通过线上电商进行产品宣传和售卖已经成为一种常见的销售模式无论是企业官网电商平台运营活动页面只要是面向互联网业务无可避免的经常经常遭遇WebCC刷量攻击对客户体验稳定性产生较大影响。客户在源站部署WAF能力保护源站。同样在CDN分发侧希望在云端进行Web安全防护。客户会优先开启观察模式在云端感知到网络攻击风险然后逐步灰度源站策略实现多级防护结构保证源站安全。
阿里云CDN团队与云安全团队合作将沉淀多年的云WAF能力注入到CDN边缘节点实现WEB攻击的边缘安全防护。
大家都知道CDN产品一般由2层节点构成多级分发体系边缘节点更靠近客户回源上层节点与源站交互获取源站内容回源节点和边缘节点之间形成多级缓存提升命中率。当前云WAF能力已经注入到CDN回源节点针对动态回源请求防护OWASP Top10威胁例如SQL注入XSS跨站等常见Web攻击同时客户还能享受到0 DAY漏洞更新能力24小时内提供高危漏洞虚拟补订防护。
然而仅能解决回源防护就足够了吗如果出现恶意刷量恶意爬取大文件CC攻击场景仅会对CDN边缘节点产生影响请求不经过L2会产生大量下行带宽极大提升客户的带宽成本。所以CDN在边缘节点提供频次控制机器流量管理能力。通过频次控制能力用户可以自定义防护规则有效识别异常的高频访问边缘抵御CC攻击。通过机器流量管理能力识别恶意爬虫刷单软件等机器流量有效降低下行带宽节约成本。
通过以上两层能力CDN可以为用户提供较为立体的应用层防护能力。
希望大家能够更实际的去了解并根据实际需求情况进行配置。以下是CDN频次控制、区域封禁、DDoS联动功能的钉钉群可以扫码进群进行申请开通。同时大家也可以在控制台开通CDN WAF功能享受到相应服务。对于对安全有进一步需求的政企客户欢迎加入政企安全加速产品交流钉钉群联系群中的架构师获得更充分的建议。
原文链接 本文为阿里云原创内容未经允许不得转载。
