阿里云服务器ECS    
弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新 [咨询更多]
阿里云存储OSS
简单易用、多重冗余、数据备份高可靠、多层次安全防护安全性更强、低成本 [咨询更多]
阿里云数据库RDS
稳定可靠、可弹性伸缩、更拥有容灾、备份、恢复、监控、迁移等方面的全套解决方案 [咨询更多]
阿里云安全产品
DDoS高防IP、web应用防火墙、安骑士、sll证书、态势感知众多阿里云安全产品热销中 [咨询更多]
阿里云折扣优惠    
云服务器ECS、数据库、负载均衡等产品新购、续费、升级联系客服获取更多专属折扣 [咨询更多]
怎样正确使用CDN规避安全风险
2021-3-10    点击量:
       客户业务线上运行过程中,不可避免会遇到网络安全威胁,DDoS攻击是最典型的。DDoS的核心原理是什么?是如何发展演进的?怎样正确使用CDN规避安全风险?我们有必要进行详细的了解,以便于更好的在CDN上给与其防护。

  DDoS的核心目标是造成业务损失,受害目标无法对外进行服务,进而造成业务损失。其本质是消耗目标系统的资源,具体有2种实现方式:一种叫做拥塞有限的带宽,第二种叫耗尽有限的计算资源。本质上CDN给用户提供的就是这两种资源。一个是分发的带宽资源,第二个是在节点上提供相应的算力,所以攻击本身就是在消耗这个。

  其中三类攻击包括:

  一、网络流量型攻击
  这种攻击会利用到一些协议漏洞,比如UDP、SMP协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。

  二、耗尽计算资源型攻击——连接耗尽
  最典型的就是网络层CC,利用HTTP协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。

  三、耗尽计算资源型攻击——应用耗尽
  典型是是7层的应用层CC攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层CC都是正常的业务请求,同时CDN只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当CC攻击时,如果无特殊的错误码异常,从CDN角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而CC攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。

  DDoS攻击的演进

  了解到攻击实质之后,再看看整个攻击的演进过程,便于大家更好地了解攻击原理。整个的演进大概分为四个阶段:

  第一个阶段:DoS攻击

  基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间,由于传统服务器的硬件、服务性能、带宽水平都有限,在这样的流量规模之下,就可以造成服务器的全面瘫痪,甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护,再回到服务器,就可以达到防御目的。同时,也可以对相应的原IP进行封禁。

  第二阶段:DDoS攻击

  也就是分布式的DoS攻击,它的攻击源就不是单点的服务器,而是一群僵尸网络,黑客通过系统漏洞在网络上抓取大量肉鸡,运用这些肉鸡在不同的网络里去同时发起攻击,造成的带宽规模可能从10Gbps到100Gbps。对这种分布式的僵尸网络攻击形式,通常防御手段就是用多点的大流量清洗中心去做近源的流量压制,之后再把清洁流量注回到服务器。

  第三阶段:DRDoS,分布式反射型拒绝服务攻击

  互联网上的肉鸡抓取可能存在困难,但一旦被发现,很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后,会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备,在处理协议的过程中可能会形成一个攻击流量成本的放大,比如请求NTP10K返回50K,请求的原地址改成目标服务器,所有终端都以为受害主机在请求,所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间,所以对于这种攻击一个是要在很多的协议源头去做流量的阻断,另一个就是还要通过全球化分布式的DDoS进行相应防御。

  第四阶段:未来发展

  未来,5g、IPv6和IoT技术发展,会导致单位攻击能力翻10倍、公网IP数量指数增长以及潜在肉鸡无处不在,都是我们将要面临的一些风险。所以未来的攻击规模可能会超过2Tbps甚至更高。

  CDN场景中应该怎么去更加有效的防护?

  沿着以上两个核心场景来看,一个是拥塞带宽,一个是耗尽资源。

怎样正确使用CDN规避安全风险


  对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。

  对于耗尽有限资源资源这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗。这时候需要用户购买高防抗DDoS的产品。

  本质上标准的CDN仍然是一个内容分发产品,不是安全产品,也没有承诺安全方面的SLA,因此,如果用户需要更加专业的安全服务,还是需要选择云安全的DDoS等产品,形成多级的安全防护体系,来更加有效的进行风险防御。

  那么,具体阿里云CDN结合云安全的产品之后,能够提供怎样的安全防护体系呢?

怎样正确使用CDN规避安全风险


  政企安全加速解决方案是一套基于基于阿里云CDN构建的边缘安全体系,核心能力是加速,但又不止于加速。加速是整体方案的基础,依托于阿里云全站加速平台,通过自动化动静分离,智能路由选路,私有协议传输等核心技术,提升静动态混合站点的全站加速效果。在加速基础之上,为客户提供WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输,高可用安全,安全合规6大方面安全能力,从客户业务流量进入CDN产品体系,一直到回到客户源站,全链路提供安全保障,保障企业互联网业务的安全加速。

  CDN边缘安全——网络层与应用层双重安全

  一、网络层

  银行,证券,保险等金融行业的业务线上化已经成为常见的业务办理模式,客户的金融网银,网上业务办理业务,一般情况下Web攻击较多,遭遇DDoS网络攻击的场景并不常见,但一旦发生DDoS攻击,企业核心互联网业务就面临瘫痪风险,将会严重影响企业品牌,产生重大资损。因此一般情况银行客户都在源站侧部署DDoS防护能力,同时在CDN边缘分发侧,也希望CDN能利用大量分布式的节点优势,提供边缘DDoS防护能力,在边缘检测DDoS攻击并实现攻击阻断,保护源站不受到攻击冲击。最终实现,无攻击CDN分发,有攻击DDoS防护。

  在CDN的边缘节点具备基础的抗D的防护能力。如果用户当前的攻击流量比较高,达到了用户设置的阈值之后,就可以自动化的检测到当前的攻击的流量,并且通过智能调度的方式,将当前恶意的请求全部解析到高防的IP。高防IP的产品去做流量的攻击检测,以及攻击的清洗防护,整个过程是自动化实现。

  整个业务流程是:

  •客户需要分别开通CDN和DDoS高防产品,并将域名配置在两个产品中,其次,将高防侧生成的调度CNAME在CDN侧进行联动配置。配置后即可实现无攻击CDN分发,有攻击DDoS防护的效果

  •在遇到攻击时,首先,自动化丢弃非80|443端口非正常流量,第二,CDN会智能识别网络层攻击行为,精准,实时将DDoS攻击区域流量切换到高防服务,整个过程完全自动化,无需用户介入;第三,在高防侧用户可以享受最高超过1T的DDoS防护和清理能力,以及超过250WQPS的防护能力。

  •当攻击结束后,CDN将自动将流量重新调度回CDN网络,实现正常业务分发

  如上就能够完整平滑的实现CDN与高防的联动,实现无攻击CDN分发,有攻击DDoS防护。

怎样正确使用CDN规避安全风险


  二、应用层

  零售客户通过线上电商进行产品宣传和售卖已经成为一种常见的销售模式,无论是企业官网,电商平台,运营活动页面,只要是面向互联网业务无可避免的,经常经常遭遇Web,CC,刷量攻击,对客户体验,稳定性产生较大影响。客户在源站部署WAF能力,保护源站。同样,在CDN分发侧,希望在云端进行Web安全防护。客户会优先开启观察模式,在云端感知到网络攻击风险,然后,逐步灰度源站策略,实现多级防护结构,保证源站安全。

  阿里云CDN团队与云安全团队合作,将沉淀多年的云WAF能力,注入到CDN边缘节点,实现WEB攻击的边缘安全防护。

怎样正确使用CDN规避安全风险


  大家都知道,CDN产品一般由2层节点构成多级分发体系,边缘节点更靠近客户,回源上层节点与源站交互获取源站内容,回源节点和边缘节点之间形成多级缓存,提升命中率。当前,云WAF能力已经注入到CDN回源节点,针对动态回源请求,防护OWASPTop10威胁,例如:SQL注入,XSS跨站等常见Web攻击;同时客户还能享受到0DAY漏洞更新能力,24小时内提供高危漏洞虚拟补丁防护。

  然而仅能解决回源防护就足够了吗?如果出现恶意刷量,恶意爬取,大文件CC攻击场景,仅会对CDN边缘节点产生影响,请求不经过L2,会产生大量下行带宽,极大提升客户的带宽成本。所以,CDN在边缘节点提供频次控制,机器流量管理能力。通过频次控制能力,用户可以自定义防护规则,有效识别异常的高频访问,边缘抵御CC攻击。通过机器流量管理能力,识别恶意爬虫,刷单软件等机器流量,有效降低下行带宽,节约成本。

  通过以上两层能力,CDN可以为用户提供较为立体的应用层防护能力。最后,希望大家能够更实际的去了解,并根据实际需求情况进行配置。
联系客服免费领取更多阿里云产品新购、续费升级折扣,叠加官网活动折上折更优惠
  •  
  •  
  • 微信扫码咨询

    咨询热线

    13098666673