正確使用阿里云CDN讓你更好規(guī)避安全風(fēng)險(xiǎn)

12月17日，阿里云CDN產(chǎn)品專家彭飛在線分享了《正確使用CDN，讓你更好規(guī)避安全風(fēng)險(xiǎn)》議題，內(nèi)容主要包括以下幾個(gè)方面：

使用CDN的常見(jiàn)誤區(qū)和問(wèn)題有哪些？

DDoS攻擊是如何一步步演進(jìn)的？

CDN場(chǎng)景中更有效的防護(hù)方式是什么？

阿里云CDN邊緣安全體系如何幫助客戶抵御攻擊？

針對(duì)近期潛在安全風(fēng)險(xiǎn)，你可以怎么做？

正確使用阿里云CDN讓你更好規(guī)避安全風(fēng)險(xiǎn)

客戶體驗(yàn)和安全穩(wěn)定是企業(yè)的兩大核心訴求

阿里云CDN正式商業(yè)化至今，已經(jīng)服務(wù)了30萬(wàn)+的全球客戶，其中最核心的兩類場(chǎng)景就是網(wǎng)站和APP的業(yè)務(wù)。在這個(gè)業(yè)務(wù)中，客戶的核心訴求還是相對(duì)集中的，一方面，希望能夠給他們的用戶提供更優(yōu)質(zhì)的體驗(yàn)，需要解決分布于不同運(yùn)營(yíng)商網(wǎng)絡(luò)下的終端用戶的跨網(wǎng)訪問(wèn)效率、廣泛分布用戶的一致性訪問(wèn)體驗(yàn)、中心部署源站成本高昂、突發(fā)流量下的彈性擴(kuò)展以及弱網(wǎng)環(huán)境下傳輸性能等等方面的問(wèn)題；另一方面，客戶希望業(yè)務(wù)是安全穩(wěn)定運(yùn)行，這種穩(wěn)定就包括了提供SLA可靠性、解決網(wǎng)絡(luò)DDoS和CC攻擊、保護(hù)內(nèi)容不被惡意爬取、劫持、篡改等等。綜上所述，用戶體驗(yàn)和安全穩(wěn)定是企業(yè)的兩大核心訴求。

CDN是企業(yè)常用的互聯(lián)網(wǎng)服務(wù)之一，主要提供內(nèi)容分發(fā)服務(wù)。CDN能幫助用戶緩解互聯(lián)網(wǎng)網(wǎng)絡(luò)擁塞、提高互聯(lián)網(wǎng)業(yè)務(wù)響應(yīng)速度、是改善用戶業(yè)務(wù)體驗(yàn)的重要手段。同時(shí)，CDN使用反向代理技術(shù)，能有效的保護(hù)用戶源站，避免源站暴露進(jìn)而遭到黑客的攻擊。CDN海量的服務(wù)節(jié)點(diǎn)天然給用戶提供了一定的防護(hù)能力，繼而獲得相應(yīng)的穩(wěn)定性提升。默認(rèn)情況下會(huì)用整個(gè)CDN大網(wǎng)的網(wǎng)絡(luò)能力和計(jì)算能力，有效的對(duì)抗攻擊者的攻擊。

關(guān)于CDN安全的那些誤區(qū)和問(wèn)題

前文提到了CDN節(jié)點(diǎn)可以為用戶提供一定的防護(hù)能力，其實(shí)在使用CDN過(guò)程中會(huì)有一些常見(jiàn)的誤區(qū)，比如：第一個(gè)誤區(qū)是有些用戶認(rèn)為用了CDN之后有效保護(hù)源站就不需要額外購(gòu)買安全服務(wù)了，甚至可以使用CDN平臺(tái)來(lái)抵抗攻擊；第二個(gè)誤區(qū)是用戶認(rèn)為其用了CDN后無(wú)需進(jìn)行任何額外配置，有攻擊CDN自動(dòng)來(lái)抵抗，和其沒(méi)什么關(guān)系，對(duì)其沒(méi)什么影響。

伴隨這兩種誤區(qū)就會(huì)產(chǎn)生一些問(wèn)題，比如：第一個(gè)問(wèn)題是當(dāng)用戶遭到DDoS攻擊，CDN為保證整體服務(wù)質(zhì)量，會(huì)將用戶業(yè)務(wù)切入沙箱，網(wǎng)站業(yè)務(wù)質(zhì)量受到較大影響，且影響該域名后續(xù)的CDN加速服務(wù)質(zhì)量。第二個(gè)問(wèn)題是當(dāng)用戶遭到刷量型CC攻擊，由于請(qǐng)求非常分散，CDN認(rèn)為是客戶正常業(yè)務(wù)的流量增長(zhǎng)，因此盡力提供服務(wù)，造成短時(shí)間大量帶寬突增，客戶要為此付出大額賬單，造成較大的經(jīng)濟(jì)損失。

正確地認(rèn)識(shí)網(wǎng)絡(luò)攻擊

客戶業(yè)務(wù)線上運(yùn)行過(guò)程中，不可避免會(huì)遇到網(wǎng)絡(luò)安全威脅，DDoS攻擊是最典型的。DDoS的核心原理是什么？是如何發(fā)展演進(jìn)的？我們有必要進(jìn)行詳細(xì)的了解，以便于更好的在CDN上給與其防護(hù)。

DDoS的核心目標(biāo)是造成業(yè)務(wù)損失，受害目標(biāo)無(wú)法對(duì)外進(jìn)行服務(wù)，進(jìn)而造成業(yè)務(wù)損失。其本質(zhì)是消耗目標(biāo)系統(tǒng)的資源，具體有2種實(shí)現(xiàn)方式：一種叫做擁塞有限的帶寬，第二種叫耗盡有限的計(jì)算資源。本質(zhì)上CDN給用戶提供的就是這兩種資源。一個(gè)是分發(fā)的帶寬資源，第二個(gè)是在節(jié)點(diǎn)上提供相應(yīng)的算力，所以攻擊本身就是在消耗這個(gè)。

其中三類攻擊包括：

一、網(wǎng)絡(luò)流量型攻擊

這種攻擊會(huì)利用到一些協(xié)議漏洞，比如UDP、SMP協(xié)議，很輕易地構(gòu)造出過(guò)載大報(bào)文來(lái)堵塞網(wǎng)絡(luò)入口，這就導(dǎo)致正常請(qǐng)求很難進(jìn)入。

二、耗盡計(jì)算資源型攻擊——連接耗盡

最典型的就是網(wǎng)絡(luò)層CC，利用HTTP協(xié)議的三次握手，給服務(wù)器發(fā)一半的三次握手請(qǐng)求，后續(xù)的一些請(qǐng)求不再發(fā)了，所以服務(wù)器端就會(huì)等待，進(jìn)而占用大量的資源，導(dǎo)致服務(wù)器連接資源直接被耗盡，服務(wù)不可持續(xù)。

三、耗盡計(jì)算資源型攻擊——應(yīng)用耗盡

典型是是7層的應(yīng)用層CC攻擊。這種攻擊發(fā)出的攻擊請(qǐng)求，從報(bào)文來(lái)看，看不出他有非常明顯的畸形或有害性，很難去做相應(yīng)的判斷。由于七層CC都是正常的業(yè)務(wù)請(qǐng)求，同時(shí)CDN只是緩存內(nèi)容，并不了解業(yè)務(wù)邏輯，同時(shí)業(yè)務(wù)也經(jīng)常會(huì)遇到客戶業(yè)務(wù)突發(fā)，當(dāng)CC攻擊時(shí)，如果無(wú)特殊的錯(cuò)誤碼異常，從CDN角度來(lái)看會(huì)和正常的業(yè)務(wù)上量是一樣的，因此也會(huì)盡力服務(wù)。進(jìn)而CC攻擊會(huì)形成突發(fā)帶寬峰值，進(jìn)而產(chǎn)生高額賬單，因此給客戶造成了較大的經(jīng)濟(jì)損失。

DDoS攻擊的演進(jìn)

了解到攻擊實(shí)質(zhì)之后，再看看整個(gè)攻擊的演進(jìn)過(guò)程，便于大家更好地了解攻擊原理。整個(gè)的演進(jìn)大概分為四個(gè)階段：

第一個(gè)階段：DoS攻擊

基于一個(gè)單點(diǎn)的服務(wù)器進(jìn)行攻擊流量的發(fā)送。這時(shí)流量規(guī)模在500Mbps到10Gbps之間，由于傳統(tǒng)服務(wù)器的硬件、服務(wù)性能、帶寬水平都有限，在這樣的流量規(guī)模之下，就可以造成服務(wù)器的全面癱瘓，甚至終止。通過(guò)對(duì)傳統(tǒng)硬件設(shè)備直接進(jìn)行流量清洗的單點(diǎn)防護(hù)，再回到服務(wù)器，就可以達(dá)到防御目的。同時(shí)，也可以對(duì)相應(yīng)的原IP進(jìn)行封禁。

第二階段：DDoS攻擊

也就是分布式的DoS攻擊，它的攻擊源就不是單點(diǎn)的服務(wù)器，而是一群僵尸網(wǎng)絡(luò)，黑客通過(guò)系統(tǒng)漏洞在網(wǎng)絡(luò)上抓取大量肉雞，運(yùn)用這些肉雞在不同的網(wǎng)絡(luò)里去同時(shí)發(fā)起攻擊，造成的帶寬規(guī)?？赡軓?0Gbps到100Gbps。對(duì)這種分布式的僵尸網(wǎng)絡(luò)攻擊形式，通常防御手段就是用多點(diǎn)的大流量清洗中心去做近源的流量壓制，之后再把清潔流量注回到服務(wù)器。

第三階段：DRDoS，分布式反射型拒絕服務(wù)攻擊。

互聯(lián)網(wǎng)上的肉雞抓取可能存在困難，但一旦被發(fā)現(xiàn)，很快這個(gè)周期就會(huì)丟失掉。所以這些僵尸網(wǎng)絡(luò)在控制一定的這個(gè)周期數(shù)量后，會(huì)通過(guò)反射的機(jī)制向目標(biāo)主體進(jìn)行攻擊。反射的主要機(jī)制是互聯(lián)網(wǎng)上公共的真實(shí)存在的設(shè)備，在處理協(xié)議的過(guò)程中可能會(huì)形成一個(gè)攻擊流量成本的放大，比如請(qǐng)求NTP 10K返回50K，請(qǐng)求的原地址改成目標(biāo)服務(wù)器，所有終端都以為受害主機(jī)在請(qǐng)求，所有請(qǐng)求都會(huì)回到受害主機(jī)。整個(gè)流量可能會(huì)從100Gbps到2Tbps之間，所以對(duì)于這種攻擊一個(gè)是要在很多的協(xié)議源頭去做流量的阻斷，另一個(gè)就是還要通過(guò)全球化分布式的DDoS進(jìn)行相應(yīng)防御。

第四階段：未來(lái)發(fā)展

未來(lái)，5g、IPv6和IoT技術(shù)發(fā)展，會(huì)導(dǎo)致單位攻擊能力翻10倍、公網(wǎng)IP數(shù)量指數(shù)增長(zhǎng)以及潛在肉雞無(wú)處不在，都是我們將要面臨的一些風(fēng)險(xiǎn)。所以未來(lái)的攻擊規(guī)?？赡軙?huì)超過(guò)2Tbps甚至更高。

CDN場(chǎng)景中應(yīng)該怎么去更加有效的防護(hù)？

沿著以上兩個(gè)核心場(chǎng)景來(lái)看，一個(gè)是擁塞帶寬，一個(gè)是耗盡資源。

對(duì)于擁塞有限帶寬入口這類攻擊，本質(zhì)上要在流量上Hold住。CDN天然具有豐富的節(jié)點(diǎn)資源，使用分布式的網(wǎng)絡(luò)將攻擊分散到不同的邊緣節(jié)點(diǎn)，同時(shí)在近源清洗后返回服務(wù)端。

對(duì)于耗盡有限資源資源這類攻擊，本質(zhì)上要做到攻擊的快速可見(jiàn)，并且能夠把相應(yīng)特征進(jìn)行阻斷。單純依靠CDN不能特別有效的解決問(wèn)題，需要通過(guò)CDN節(jié)點(diǎn)上的配置，完成智能精準(zhǔn)檢測(cè)DDoS攻擊，并自動(dòng)化調(diào)度攻擊到DDoS高防進(jìn)行流量清洗。這時(shí)候需要用戶購(gòu)買高防抗DDoS的產(chǎn)品。

本質(zhì)上標(biāo)準(zhǔn)的CDN仍然是一個(gè)內(nèi)容分發(fā)產(chǎn)品，不是安全產(chǎn)品，也沒(méi)有承諾安全方面的SLA，因此，如果用戶需要更加專業(yè)的安全服務(wù)，還是需要選擇云安全的DDoS等產(chǎn)品，形成多級(jí)的安全防護(hù)體系，來(lái)更加有效的進(jìn)行風(fēng)險(xiǎn)防御。

那么，具體阿里云CDN結(jié)合云安全的產(chǎn)品之后，能夠提供怎樣的安全防護(hù)體系呢？

政企安全加速解決方案 是一套基于基于阿里云CDN加速構(gòu)建的邊緣安全體系，核心能力是加速，但又不止于加速。加速是整體方案的基礎(chǔ)，依托于阿里云全站加速平臺(tái)，通過(guò)自動(dòng)化動(dòng)靜分離，智能路由選路，私有協(xié)議傳輸?shù)群诵募夹g(shù)，提升靜動(dòng)態(tài)混合站點(diǎn)的全站加速效果。在加速基礎(chǔ)之上，為客戶提供WAF應(yīng)用層安全、DDoS網(wǎng)絡(luò)層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī) 6大方面安全能力，從客戶業(yè)務(wù)流量進(jìn)入CDN產(chǎn)品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的安全加速。

CDN邊緣安全——網(wǎng)絡(luò)層與應(yīng)用層雙重安全

一、網(wǎng)絡(luò)層

銀行，證券，保險(xiǎn)等金融行業(yè)的業(yè)務(wù)線上化已經(jīng)成為常見(jiàn)的業(yè)務(wù)辦理模式，客戶的 金融網(wǎng)銀，網(wǎng)上業(yè)務(wù)辦理業(yè)務(wù)，一般情況下Web攻擊較多，遭遇DDoS網(wǎng)絡(luò)攻擊的場(chǎng)景并不常見(jiàn)，但一旦發(fā)生DDoS攻擊，企業(yè)核心互聯(lián)網(wǎng)業(yè)務(wù)就面臨癱瘓風(fēng)險(xiǎn)，將會(huì)嚴(yán)重影響企業(yè)品牌，產(chǎn)生重大資損。因此一般情況銀行客戶都在源站側(cè)部署DDoS防護(hù)能力，同時(shí)在CDN邊緣分發(fā)側(cè)，也希望CDN能利用大量分布式的節(jié)點(diǎn)優(yōu)勢(shì)，提供邊緣DDoS防護(hù)能力，在邊緣檢測(cè)DDoS攻擊并實(shí)現(xiàn)攻擊阻斷，保護(hù)源站不受到攻擊沖擊。最終實(shí)現(xiàn)，無(wú)攻擊CDN分發(fā)，有攻擊DDoS防護(hù)。

在CDN的邊緣節(jié)點(diǎn)具備基礎(chǔ)的抗D的防護(hù)能力。如果用戶當(dāng)前的攻擊流量比較高，達(dá)到了用戶設(shè)置的閾值之后，就可以自動(dòng)化的檢測(cè)到當(dāng)前的攻擊的流量，并且通過(guò)智能調(diào)度的方式，將當(dāng)前惡意的請(qǐng)求全部解析到高防的IP。高防IP的產(chǎn)品去做流量的攻擊檢測(cè)，以及攻擊的清洗防護(hù)，整個(gè)過(guò)程是自動(dòng)化實(shí)現(xiàn)。

整個(gè)業(yè)務(wù)流程是：

客戶需要分別開(kāi)通CDN和DDoS高防產(chǎn)品，并將域名配置在兩個(gè)產(chǎn)品中，其次，將高防側(cè)生成的調(diào)度CNAME在CDN側(cè)進(jìn)行聯(lián)動(dòng)配置。配置后即可實(shí)現(xiàn)無(wú)攻擊CDN分發(fā)，有攻擊DDoS防護(hù)的效果

在遇到攻擊時(shí)，首先，自動(dòng)化丟棄非80|443端口非正常流量，第二，CDN會(huì)智能識(shí)別網(wǎng)絡(luò)層攻擊行為，精準(zhǔn)，實(shí)時(shí)將DDoS攻擊區(qū)域流量切換到高防服務(wù)，整個(gè)過(guò)程完全自動(dòng)化，無(wú)需用戶介入；第三，在高防側(cè)用戶可以享受最高超過(guò)1T的DDoS防護(hù)和清理能力，以及超過(guò)250W QPS的防護(hù)能力

當(dāng)攻擊結(jié)束后，CDN將自動(dòng)將流量重新調(diào)度回CDN網(wǎng)絡(luò)，實(shí)現(xiàn)正常業(yè)務(wù)分發(fā)

如上就能夠完整平滑的實(shí)現(xiàn)CDN與高防的聯(lián)動(dòng)，實(shí)現(xiàn)無(wú)攻擊CDN分發(fā)，有攻擊DDoS防護(hù)。

二、應(yīng)用層

零售客戶通過(guò)線上電商進(jìn)行產(chǎn)品宣傳和售賣已經(jīng)成為一種常見(jiàn)的銷售模式，無(wú)論是企業(yè)官網(wǎng)，電商平臺(tái)，運(yùn)營(yíng)活動(dòng)頁(yè)面，只要是面向互聯(lián)網(wǎng)業(yè)務(wù)無(wú)可避免的，經(jīng)常經(jīng)常遭遇Web，CC，刷量攻擊，對(duì)客戶體驗(yàn)，穩(wěn)定性產(chǎn)生較大影響?？蛻粼谠凑静渴餡AF能力，保護(hù)源站。同樣，在CDN分發(fā)側(cè)，希望在云端進(jìn)行Web安全防護(hù)。客戶會(huì)優(yōu)先開(kāi)啟觀察模式，在云端感知到網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，然后，逐步灰度源站策略，實(shí)現(xiàn)多級(jí)防護(hù)結(jié)構(gòu)，保證源站安全。

阿里云CDN團(tuán)隊(duì)與云安全團(tuán)隊(duì)合作，將沉淀多年的云WAF能力，注入到CDN邊緣節(jié)點(diǎn)，實(shí)現(xiàn)WEB攻擊的邊緣安全防護(hù)。

大家都知道，CDN產(chǎn)品一般由2層節(jié)點(diǎn)構(gòu)成多級(jí)分發(fā)體系，邊緣節(jié)點(diǎn)更靠近客戶，回源上層節(jié)點(diǎn)與源站交互獲取源站內(nèi)容，回源節(jié)點(diǎn)和邊緣節(jié)點(diǎn)之間形成多級(jí)緩存，提升命中率。當(dāng)前，云WAF能力已經(jīng)注入到CDN回源節(jié)點(diǎn)，針對(duì)動(dòng)態(tài)回源請(qǐng)求，防護(hù)OWASP Top10威脅，例如：SQL注入，XSS跨站等常見(jiàn)Web攻擊；同時(shí)客戶還能享受到0 DAY漏洞更新能力，24小時(shí)內(nèi)提供高危漏洞虛擬補(bǔ)丁防護(hù)。

然而僅能解決回源防護(hù)就足夠了嗎？如果出現(xiàn)惡意刷量，惡意爬取，大文件CC攻擊場(chǎng)景，僅會(huì)對(duì)CDN邊緣節(jié)點(diǎn)產(chǎn)生影響，請(qǐng)求不經(jīng)過(guò)L2，會(huì)產(chǎn)生大量下行帶寬，極大提升客戶的帶寬成本。所以，CDN在邊緣節(jié)點(diǎn)提供頻次控制，機(jī)器流量管理能力。通過(guò)頻次控制能力，用戶可以自定義防護(hù)規(guī)則，有效識(shí)別異常的高頻訪問(wèn)，邊緣抵御CC攻擊。通過(guò)機(jī)器流量管理能力，識(shí)別惡意爬蟲(chóng)，刷單軟件等機(jī)器流量，有效降低下行帶寬，節(jié)約成本。

通過(guò)以上兩層能力，CDN可以為用戶提供較為立體的應(yīng)用層防護(hù)能力。