众所周知,CDN是一个经策略性部署的整体系统,能够帮助用户解决分布式存储、负载均衡、网络请求的重定向和内容管理等问题。作为一个向用户提供高可用和高性能内容的平台,CDN可谓被视为企业的一大重点。然而,现如今许多企业都被各种猖獗的DDoS攻击吓的成了惊弓之鸟,目前来看CDN本身是很容易遭受到各类攻击侵扰的。
首先,我们先来将CDN最易遭受到的攻击类型作出归纳,会危及到CDN的威胁大概分为以下五类,这也是企业必须要防范的。
威胁一:动态内容攻击
经过攻击者的分析,认为CDN服务中的最大盲点是对动态内容请求的处理。由于所有动态内容请求都会发送到源服务器,不会存储在CDN服务器中,因此攻击者往往利用这一盲点生成包含HTTP GET请求随机参数的攻击流量。虽然CDN服务器通常可以立即将这些攻击流量重定向至源服务器进行请求处理,但很多时候源服务器无法处理所有的攻击请求,也无法为合法用户提供在线服务,因此就会出现拒绝服务的情况。这就同样意味着,许多CDN虽然可以限制发送到受攻击服务器的动态请求数量,但他们无法区分攻击者和合法用户,因此速率限制也会拦截合法用户。
威胁二:基于SSL的攻击
攻击者最爱的莫过于“易发起、难缓解”的攻击类型。基于SSL的DDoS攻击即是当下攻击者的首选。CDN服务器必须首先利用客户的SSL密钥解密流量才能检测并缓解DDoS SSL攻击。很多时候,客户不愿意向CDN提供商提供SSL密钥,因此SSL攻击流量就会重定向至客户的源服务器,可以轻易击垮客户的安全在线服务。
同时,当面临WAF技术的DDoS攻击时,CDN网络更会凸显一个明显劣势,即是会在可扩展性能的每秒SSL连接数方面出现严重的延迟问题。此外,并不是所有的CDN都具备跨所有数据中心的PCI合规性,这很可能限制数据中心为客户提供服务的能力,并再次增加延迟并引发审计问题。
展开全文
威胁三:针对非CDN服务的攻击
最近,不经过CDN发送的针对应用的攻击也是攻击者们的常用招数。通常,CDN服务只提供给HTTP/S和DNS应用,VoIP、邮件、FTP和专用协议等客户数据中心以及许多在线服务和Web应用的流量并不会通过CDN发送。因此,攻击者们利用可能堵塞客户互联网管道这一盲点大规模攻击客户源服务器,使客户源服务器中的所有应用对合法用户均不可用,尤其是需要由CDN提供服务的应用,给客户造成巨大的损失及不便。
威胁四:直接IP攻击
针对客户源Web服务器IP地址的直接攻击,可以说是攻击中的“洪水猛兽”,这些攻击可能是UDP洪水或ICMP洪水等不经由CDN服务进行传送的网络洪水,一旦攻击者发起攻击,将直接击中客户源服务器,即使是由CDN提供服务的应用也会遭受到攻击。此类大流量网络攻击可能堵塞互联网管道,关闭源服务器中的所有应用和在线服务,包括数据中心“防护”的错误配置也可能导致应用直接受到攻击侵扰。
威胁五:Web应用攻击
针对Web应用威胁的CDN防护措施的防护水平有限,会将客户Web应用暴露在数据泄露、数据窃取和其它常见Web应用威胁之下。多数基于CDN的Web应用防火墙的功能也很有限,仅适用于一组基本的预定义特征码和规则。许多基于CDN的WAF不能阅读HTTP参数,不会创建主动安全规则,因此无法防御零日攻击和已知威胁。对于在WAF中为Web应用提供优化措施的企业而言,实现这一防护水准所需的成本也是相当高的。
对于以上几种威胁,知道创宇云安全旗下安全产品拥有针对性措施。知道创宇云安全产品抗D保(抗DDoS)以及创宇盾(云WAF)由知道创宇运维专家团队进行管理,保证服务响应时间的同时亦有服务质量的保证。同时,知道创宇云安全产品能完美对接企业现用CDN产品,做到专业的网络安全防护,使企业不再受CDN安全短板的侵扰。
知道创宇目前形成了抗D保(抗DDoS)+创宇盾(云WAF)的全面云安全体系,并且辅以浑天反欺诈平台+品牌宝认证服务,中小企业在使用知道创宇抗D服务的同时,可以享受到较为全面的云安全服务,这一点契合了很多中小企业的需求。知道创宇云安全产品承载了 SaaS 般的透明性和灵活性,简化了企业对供应商的工作关系,积蓄了大量行业知名企业的 CDN 服务经验,真正做到让企业加速与安全并行。