網絡攻擊見招拆招？阿里雲高級技術專家趙偉教你在CDN邊緣節點上構建多層縱深防禦體系

網絡安全態勢嚴峻，常見的五大網絡攻擊風險類型

趙偉認爲，企業線上服務所面臨的安全風險，主要來自如下五個方面：

• DDoS攻擊

DDoS攻擊類型已有20多年曆史，它攻擊方式簡單直接，經過僞造報文直接擁塞企業上聯帶寬。隨着IoT等終端設備增多，網絡攻擊量也愈發兇猛。根據阿里雲安全中心報告顯示，在2019年，超過100G的攻擊已經比較常見，並且超過 500G 的攻擊也已經成爲常態。一旦企業服務面臨這種狀況，上聯帶寬被打滿，正常請求沒法承接，就會致使企業服務沒法正常提供線上服務。所以，防護DDoS 攻擊依然是企業首先要投入去應對的問題。

• CC攻擊

相比於四層DDoS攻擊僞造報文，CC攻擊經過向受害的服務器發送大量請求來耗盡服務器的資源寶庫CPU、內存等。常見的方式是訪問須要服務器進行數據庫查詢的相關請求，這種狀況想服務器負載以及資源消耗會很快飆升，致使服務器響應變慢甚至不可用。

• Web攻擊

常見的 Web 攻擊包括SQL 注入、跨站腳本攻擊XSS、跨站請求僞造CSRF 等。與DDoS和CC以大量報文發起的攻擊相比，Web 攻擊主要是利用 Web 設計的漏洞達到攻擊的目標。一旦攻擊行爲實施成功，要麼網站的數據庫內容泄露，或者網頁被掛馬。數據庫內容泄露嚴重影響企業的數據安全，網頁被掛馬會影響企業網站的安全形象以及被搜索引擎降權等。

• 惡意爬蟲

根據阿里雲安全中心的報告數據顯示，2019年，惡意爬蟲在房產、交通、遊戲、電商、資訊論壇等幾個行業中的佔比都超過50%。惡意爬蟲經過去爬取網站核心的內容，好比電商的價格信息等，對信息進行竊取，同時也加劇服務器的負擔。

• 劫持篡改

劫持和篡改比較常見，當網站被第三方劫持後，流量會被引流到其餘網站上，致使網站的用戶訪問流量減小，用戶流失。同時，對於傳媒、政務網站來講，內容被篡改會引起極大的政策風險。

企業線上業務須要構建多層次縱深防禦

面對愈發嚴峻的網絡安全態勢，爲了應對以上安全風險，企業在關注線上業務的流暢、穩定的同時，也要構建多層次縱深防禦體系，從各個層面創建響應的應對措施和防禦機制。

1. 在網絡層，須要進行DDoS攻擊的清洗和處理，當形成更嚴重影響須要經過切換IP以及聯合黑洞機制去緩解。
2. 在傳輸層，相較於傳統明文傳輸，經過https的支持去進行傳輸層面加密，來避免證書僞造。
3. 在應用層，須要進行CC防禦、防爬、業務防刷的能力部署，防止惡意攻擊者刷帶寬的狀況發生，避免經濟和業務損失。貼近源站的防禦方面，須要部署WAF和防篡改，對源站和內容進行防禦。

企業須要在網絡層、傳輸層、應用層等多層次構建防禦能力，同時在應用層，對於不一樣場景要有不一樣防禦措施。

基於CDN構建邊緣安全+高防中心防禦安全架構

基於對縱深防禦的理解，阿里雲CDN的安全架構是基於CDN分佈式節點實現的邊緣安全防禦機制，同時聯動高防清洗中心進行防禦。

以下圖所示，總體安全架構第一層防禦就是構建在全球CDN節點上，將更多安全能力增強在邊緣節點上，經過多層次多維度流量數據統計和攻擊檢測的能力，包括DDoS、HTTP訪問信息等數據彙總到安全大腦，安全大腦再對數據進行綜合分析，針對不一樣層次的攻擊下發相應的動態防護策略到邊緣節點。與此同時，邊緣節點自身也會進行自動防護和清洗。另外，總體安全架構將WAF和防篡改能力部署在回源節點上，對攻擊到達源站以前進行防護。若是源站但願只在CDN服務之下，不想暴露在公網上，總體架構也會基於CDN提供源站高級防禦能力，避免源站被惡意掃描者被發現。

對於金融、政府等場景，須要具有大流量抗D的能力，CDN有海量邊緣節點經過本身的調度和清洗能力把大部分DDoS攻擊給消化掉。當一旦出現更嚴重的DDoS攻擊時，安全大腦會指導智能調度，將被攻擊的流量切換到高級防禦節點去清洗。

阿里雲CDN安全架構三個核心能力

在以上的CDN安全架構基礎之上，趙偉也對DDoS防禦智能調度、Web防禦以及機器流量管理三個核心能力進行解讀。

1、DDoS防禦智能調度：邊緣節點分佈式抗D與高防中心大流量抗D聯動

DDoS防禦智能調度的策略是，業務流量缺省經過CDN分發，最大程度確保加速效果和用戶體驗，而當檢測到大流量 DDoS 攻擊以後，智能調度會判斷嚴重程度並決策由高防進行 DDoS清洗，同時根據攻擊狀況進行區域調度或全局調度，而當DDoS 攻擊中止後，智能調度系統會自動決策將高防服務的業務流量調度回 CDN 邊緣節點，盡最大可能的保證正常加速效果。

DDoS防禦智能調度最核心就是邊緣加速、智能調度、T級防禦三塊，邊緣加速的基礎上具有充分的DDoS攻擊檢測以及智能調度的能力，決策何時進行高防去清洗，嚴重的攻擊進入T級防禦中心進行清洗。目前方案已經在金融行業、傳媒行業沉澱了典型客戶。

2、Web防禦——八層安全功能，層層過濾惡意請求

Web防禦的策略是經過層層過濾，來抵禦惡意請求。第一層是精準訪問控制，指具體對http請求的攔截策略；第二層是區域封禁，對業務無效區或者異常地域請求進行攔截；第三層IP信譽系統，是利用阿里雲多年積累的互聯網IP大數據畫像，對惡意行爲進行分類並對IP進行攔截；第四層是黑名單系統，是對某些UA或者IP進行攔截，以上四層都屬於精確攔截；第五層是頻次控制，對相對高頻且訪問異常IP進行攔截；第六層是對於互聯網機器流量進行管理，阻斷惡意爬蟲；第七第八層是WAF和源站高級防禦，對於源站進行更深層次的防禦。

趙偉認爲：CDN邊緣節點是最接近互聯網用戶的，在全部的訪問請求中，可能有正經常使用戶的請求，固然也會存在爬蟲、注入、跨站的訪問請求，通過以上逐層的防禦策略，過濾掉相應惡意請求，最終能夠達到只有正常請求返回源站的效果。

3、機器流量管理——識別互聯網Bot流量，阻斷惡意爬蟲

機器流量管理部署在邊緣，當各類互聯網訪問進入CDN邊緣節點以後，機器流量管理系統會提取最原始的Client信息，分析信息計算Client特徵值，並與阿里雲安全積累的機器流量特徵庫進行匹配，最終識別結果，正常訪問、搜索引擎、商業爬蟲這些行爲是網站指望的行爲，會被放行，而惡意爬蟲會被攔截。在處置動做上，機器流量管理相比當前常見嵌入在正常頁面中的行爲，侵入性有所下降，支持相對平滑的接入。

下圖是一個實際的案例，在執行機器流量管理策略的時候，首先會對某域名進行流量分析，左側圖是針對某域名開啓機器流量分析後，識別出超過 82% 的請求爲惡意爬蟲，而後開啓攔截機器流量中的惡意爬蟲流量後，如右側圖所示，域名峯值帶寬降低超過80%。

CDN目前已是互聯網流量的主要入口，把安全能力注入CDN邊緣節點，爲客戶提供一站式安全加速解決方案成爲行業大勢所趨。在發佈會的最後，趙偉分享到：將來，阿里雲政企安全加速解決方案將在場景化、便捷化、智能化三個方面深耕，爲客戶提供更貼近需求的、更快捷省心的、更智能高效的安全策略，讓CDN能夠成爲每一個企業在線服務的第一道防線，來保障企業應用的安全、穩定運行。

點擊回顧發佈會詳情

活動福利：
2020年6月30日前，CDN加速10Mbps之內帶寬免費試用1個月，30Gbps DDoS防禦、高級版WAF試用1周，並贈送一次漏洞掃描服務，總名額限100個，先到先得。

點擊填寫表單參與活動

答疑釘釘羣：34249460