面對日益嚴峻的網絡安全問題，CDN能夠作什麼？

時間 2020-12-03

原文原文鏈接

在咱們享受着互聯網提供的更便利、更多元服務的同時，隱匿在網絡身處的各種安全問題也日益嚴峻。在去年，阿里云云安全監測到雲上DDoS攻擊發生近百萬次，應用層DDoS（CC攻擊）成爲常見的攻擊類型，攻擊手法也更爲多變複雜；同時，Web應用安全相關的問題依然佔據很是大的比重，從用戶信息泄露到羊毛黨的狂歡，無時無刻不在考驗着每個行業、每個Web應用的安全水位。算法

爲了讓承載數據傳輸的網絡平臺更加安全可靠，做爲互聯網入口的CDN一直不斷夯實安全上的能力，朝着企業級的安全加速架構進行技術演進。本文將帶你瞭解：爲了幫助企業應對愈發嚴峻的網絡安全態勢，CDN能夠作什麼？數據庫

咱們先來看看常見的網絡攻擊風險類型有哪些？

1、DDoS攻擊

DDoS攻擊類型已有20多年曆史，它攻擊方式簡單直接，經過僞造報文直接擁塞企業上聯帶寬。隨着IoT等終端設備增多，網絡攻擊量也愈發兇猛。根據阿里雲安全中心報告顯示，在2019年，超過100G的攻擊已經比較常見，並且超過 500G 的攻擊也已經成爲常態。一旦企業服務面臨這種狀況，上聯帶寬被打滿，正常請求沒法承接，就會致使企業服務沒法正常提供線上服務。所以，防護DDoS 攻擊依然是企業首先要投入去應對的問題。安全

2、CC攻擊

相比於四層DDoS攻擊僞造報文，CC攻擊經過向受害的服務器發送大量請求來耗盡服務器的資源寶庫CPU、內存等。常見的方式是訪問須要服務器進行數據庫查詢的相關請求，這種狀況想服務器負載以及資源消耗會很快飆升，致使服務器響應變慢甚至不可用。服務器

3、Web攻擊

常見的 Web 攻擊包括SQL 注入、跨站腳本攻擊XSS、跨站請求僞造CSRF 等。與DDoS和CC以大量報文發起的攻擊相比，Web 攻擊主要是利用 Web 設計的漏洞達到攻擊的目標。一旦攻擊行爲實施成功，要麼網站的數據庫內容泄露，或者網頁被掛馬。數據庫內容泄露嚴重影響企業的數據安全，網頁被掛馬會影響企業網站的安全形象以及被搜索引擎降權等。網絡

4、惡意爬蟲

根據阿里雲安全中心的報告數據顯示，2019年，惡意爬蟲在房產、交通、遊戲、電商、資訊論壇等幾個行業中的佔比都超過50%。惡意爬蟲經過去爬取網站核心的內容，好比電商的價格信息等，對信息進行竊取，同時也加劇服務器的負擔。架構

5、劫持篡改

劫持和篡改比較常見，當網站被第三方劫持後，流量會被引流到其餘網站上，致使網站的用戶訪問流量減小，用戶流失。同時，對於傳媒、政務網站來講，內容被篡改會引起極大的政策風險。分佈式

應對網絡安全問題，CDN均可以作什麼呢？

1、源站保護

因爲CDN的分佈式架構，用戶經過訪問就近邊緣節點獲取內容，經過這樣的跳板，有效地隱藏源站IP，從而分解源站的訪問壓力。當大規模惡意攻擊來襲時，邊緣點節能夠作爲第一道防線進行防禦，大大分散攻擊強度，即便是針對動態內容的的惡意請求，阿里雲CDN的智能調度系統還能夠卸載源站壓力，維護系統平穩。性能

2、防篡改能力

阿里雲CDN提供企業級全鏈路HTTPS+節點內容防篡改能力，保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面，經過HTTPS協議保證連接不可被中間源劫持，在節點上能夠對源站文件進行一致性驗證，若是發現內容不一致會將內容刪除，從新回源拉取，若是內容一致纔會進行分發。整套解決方案可以在源站、鏈路端、CDN節點、客戶端全鏈路保證內容的安全性，提供更高的安全傳輸保障。學習

3、訪問和認證安全

阿里雲CDN能夠經過配置訪問的referer、User-Agent以及IP黑白名單等多種方式，來對訪問者身份進行識別和過濾，從而限制資源被訪問的狀況；而且設置鑑權Key對URL進行加密實現高級防盜鏈，保護源站資源。同時經過構建IP信譽庫，增強對黑名單IP的訪問限制。大數據

除了基礎防禦，怎麼構建更多層次的縱深防禦？

除此以外，面對愈發嚴峻的網絡安全態勢，爲了應對安全風險，企業在關注線上業務的流暢、穩定的同時，也要構建多層次縱深防禦體系，在網絡層、傳輸層、應用層等多層次構建防禦能力，同時在應用層，對於不一樣場景要有不一樣防禦措施。

一、在網絡層，須要進行DDoS攻擊的清洗和處理，當形成更嚴重影響須要經過切換IP以及聯合黑洞機制去緩解。
二、在傳輸層，相較於傳統明文傳輸，經過https的支持去進行傳輸層面加密，來避免證書僞造。
三、在應用層，須要進行CC防禦、防爬、業務防刷的能力部署，防止惡意攻擊者刷帶寬的狀況發生，避免經濟和業務損失。貼近源站的防禦方面，須要部署WAF和防篡改，對源站和內容進行防禦。

經過CDN能夠實現基礎安全能力，可是面對更多複雜的網絡攻擊，CDN與雲安全能力的結合，經過一些簡單的額外配置，就能夠更好地抵禦外界攻擊，保障業務安全平穩。

1、結合CDN實現DDoS清洗

阿里雲CDN面向企業提供邊緣化的應用層DDoS，即CC防禦能力，能夠經過IP，Header參數，URL參數等多個維度進行監控，並能夠經過次數，狀態碼，請求方法進行數據統計，並最終進行惡意訪問的安全攔截，有效保證正常業務量的訪問。面對網絡層DDoS攻擊，CDN產品與DDoS產品能夠實現聯動，在分發場景中能夠經過CDN進行分發，在DDoS攻擊發生時，能夠探測攻擊的區域，並有效的將攻擊調度到DDoS進行防禦清洗，有效保護源站。

經過聯動方案能夠有效利用海量DDoS清洗，完美防護SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同時，基於阿里雲飛天平臺的計算能力和深度學習算法，智能預判DDoS攻擊，平滑切換高防IP，不影響業務運行。

2、CDN結合WAF層層過濾惡意請求

CDN結合WAF能力，造成邊緣的應用層防禦能力，將業務流量進行惡意特徵識別及防禦，將正常、安全的流量回源到服務器。避免網站服務器被惡意入侵，保障企業業務的核心數據安全，解決因惡意攻擊致使的服務器性能異常問題。CDN WAF提供虛擬補丁，針對網站被曝光的最新漏洞，最大可能地提供快速修復規則。而且依託雲安全，快速的漏洞響應速度，及時的漏洞修復能力。

Web防禦的策略是經過層層過濾，來抵禦惡意請求。第一層是精準訪問控制，指具體對http請求的攔截策略；第二層是區域封禁，對業務無效區或者異常地域請求進行攔截；第三層IP信譽系統，是利用阿里雲多年積累的互聯網IP大數據畫像，對惡意行爲進行分類並對IP進行攔截；第四層是黑名單系統，是對某些UA或者IP進行攔截，以上四層都屬於精確攔截；第五層是頻次控制，對相對高頻且訪問異常IP進行攔截；第六層是對於互聯網機器流量進行管理，阻斷惡意爬蟲；第七第八層是WAF和源站高級防禦，對於源站進行更深層次的防禦。

3、基於機器流量管理識別互聯網Bot流量，阻斷惡意爬蟲

機器流量管理部署在邊緣，當各類互聯網訪問進入CDN邊緣節點以後，機器流量管理系統會提取最原始的Client信息，分析信息計算Client特徵值，並與阿里雲安全積累的機器流量特徵庫進行匹配，最終識別結果，正常訪問、搜索引擎、商業爬蟲這些行爲是網站指望的行爲，會被放行，而惡意爬蟲會被攔截。在處置動做上，機器流量管理相比當前常見嵌入在正常頁面中的行爲，侵入性有所下降，支持相對平滑的接入。

下圖是一個實際的案例，在執行機器流量管理策略的時候，首先會對某域名進行流量分析，左側圖是針對某域名開啓機器流量分析後，識別出超過 82% 的請求爲惡意爬蟲，而後開啓攔截機器流量中的惡意爬蟲流量後，如右側圖所示，域名峯值帶寬降低超過80%。