正確使用阿里云CDN讓你更好規(guī)避安全風險

12月17日，阿里云CDN產(chǎn)品專家彭飛在線分享了《正確使用CDN，讓你更好規(guī)避安全風險》議題，內(nèi)容主要包括以下幾個方面：

使用CDN的常見誤區(qū)和問題有哪些？

DDoS攻擊是如何一步步演進的？

CDN場景中更有效的防護方式是什么？

阿里云CDN邊緣安全體系如何幫助客戶抵御攻擊？

針對近期潛在安全風險，你可以怎么做？

正確使用阿里云CDN讓你更好規(guī)避安全風險

客戶體驗和安全穩(wěn)定是企業(yè)的兩大核心訴求

阿里云CDN正式商業(yè)化至今，已經(jīng)服務了30萬+的全球客戶，其中最核心的兩類場景就是網(wǎng)站和APP的業(yè)務。在這個業(yè)務中，客戶的核心訴求還是相對集中的，一方面，希望能夠給他們的用戶提供更優(yōu)質(zhì)的體驗，需要解決分布于不同運營商網(wǎng)絡下的終端用戶的跨網(wǎng)訪問效率、廣泛分布用戶的一致性訪問體驗、中心部署源站成本高昂、突發(fā)流量下的彈性擴展以及弱網(wǎng)環(huán)境下傳輸性能等等方面的問題；另一方面，客戶希望業(yè)務是安全穩(wěn)定運行，這種穩(wěn)定就包括了提供SLA可靠性、解決網(wǎng)絡DDoS和CC攻擊、保護內(nèi)容不被惡意爬取、劫持、篡改等等。綜上所述，用戶體驗和安全穩(wěn)定是企業(yè)的兩大核心訴求。

CDN是企業(yè)常用的互聯(lián)網(wǎng)服務之一，主要提供內(nèi)容分發(fā)服務。CDN能幫助用戶緩解互聯(lián)網(wǎng)網(wǎng)絡擁塞、提高互聯(lián)網(wǎng)業(yè)務響應速度、是改善用戶業(yè)務體驗的重要手段。同時，CDN使用反向代理技術，能有效的保護用戶源站，避免源站暴露進而遭到黑客的攻擊。CDN海量的服務節(jié)點天然給用戶提供了一定的防護能力，繼而獲得相應的穩(wěn)定性提升。默認情況下會用整個CDN大網(wǎng)的網(wǎng)絡能力和計算能力，有效的對抗攻擊者的攻擊。

關于CDN安全的那些誤區(qū)和問題

前文提到了CDN節(jié)點可以為用戶提供一定的防護能力，其實在使用CDN過程中會有一些常見的誤區(qū)，比如：第一個誤區(qū)是有些用戶認為用了CDN之后有效保護源站就不需要額外購買安全服務了，甚至可以使用CDN平臺來抵抗攻擊；第二個誤區(qū)是用戶認為其用了CDN后無需進行任何額外配置，有攻擊CDN自動來抵抗，和其沒什么關系，對其沒什么影響。

伴隨這兩種誤區(qū)就會產(chǎn)生一些問題，比如：第一個問題是當用戶遭到DDoS攻擊，CDN為保證整體服務質(zhì)量，會將用戶業(yè)務切入沙箱，網(wǎng)站業(yè)務質(zhì)量受到較大影響，且影響該域名后續(xù)的CDN加速服務質(zhì)量。第二個問題是當用戶遭到刷量型CC攻擊，由于請求非常分散，CDN認為是客戶正常業(yè)務的流量增長，因此盡力提供服務，造成短時間大量帶寬突增，客戶要為此付出大額賬單，造成較大的經(jīng)濟損失。

正確地認識網(wǎng)絡攻擊

客戶業(yè)務線上運行過程中，不可避免會遇到網(wǎng)絡安全威脅，DDoS攻擊是最典型的。DDoS的核心原理是什么？是如何發(fā)展演進的？我們有必要進行詳細的了解，以便于更好的在CDN上給與其防護。

DDoS的核心目標是造成業(yè)務損失，受害目標無法對外進行服務，進而造成業(yè)務損失。其本質(zhì)是消耗目標系統(tǒng)的資源，具體有2種實現(xiàn)方式：一種叫做擁塞有限的帶寬，第二種叫耗盡有限的計算資源。本質(zhì)上CDN給用戶提供的就是這兩種資源。一個是分發(fā)的帶寬資源，第二個是在節(jié)點上提供相應的算力，所以攻擊本身就是在消耗這個。

其中三類攻擊包括：

一、網(wǎng)絡流量型攻擊

這種攻擊會利用到一些協(xié)議漏洞，比如UDP、SMP協(xié)議，很輕易地構造出過載大報文來堵塞網(wǎng)絡入口，這就導致正常請求很難進入。

二、耗盡計算資源型攻擊——連接耗盡

最典型的就是網(wǎng)絡層CC，利用HTTP協(xié)議的三次握手，給服務器發(fā)一半的三次握手請求，后續(xù)的一些請求不再發(fā)了，所以服務器端就會等待，進而占用大量的資源，導致服務器連接資源直接被耗盡，服務不可持續(xù)。

三、耗盡計算資源型攻擊——應用耗盡

典型是是7層的應用層CC攻擊。這種攻擊發(fā)出的攻擊請求，從報文來看，看不出他有非常明顯的畸形或有害性，很難去做相應的判斷。由于七層CC都是正常的業(yè)務請求，同時CDN只是緩存內(nèi)容，并不了解業(yè)務邏輯，同時業(yè)務也經(jīng)常會遇到客戶業(yè)務突發(fā)，當CC攻擊時，如果無特殊的錯誤碼異常，從CDN角度來看會和正常的業(yè)務上量是一樣的，因此也會盡力服務。進而CC攻擊會形成突發(fā)帶寬峰值，進而產(chǎn)生高額賬單，因此給客戶造成了較大的經(jīng)濟損失。

DDoS攻擊的演進

了解到攻擊實質(zhì)之后，再看看整個攻擊的演進過程，便于大家更好地了解攻擊原理。整個的演進大概分為四個階段：

第一個階段：DoS攻擊

基于一個單點的服務器進行攻擊流量的發(fā)送。這時流量規(guī)模在500Mbps到10Gbps之間，由于傳統(tǒng)服務器的硬件、服務性能、帶寬水平都有限，在這樣的流量規(guī)模之下，就可以造成服務器的全面癱瘓，甚至終止。通過對傳統(tǒng)硬件設備直接進行流量清洗的單點防護，再回到服務器，就可以達到防御目的。同時，也可以對相應的原IP進行封禁。

第二階段：DDoS攻擊

也就是分布式的DoS攻擊，它的攻擊源就不是單點的服務器，而是一群僵尸網(wǎng)絡，黑客通過系統(tǒng)漏洞在網(wǎng)絡上抓取大量肉雞，運用這些肉雞在不同的網(wǎng)絡里去同時發(fā)起攻擊，造成的帶寬規(guī)?？赡軓?0Gbps到100Gbps。對這種分布式的僵尸網(wǎng)絡攻擊形式，通常防御手段就是用多點的大流量清洗中心去做近源的流量壓制，之后再把清潔流量注回到服務器。

第三階段：DRDoS，分布式反射型拒絕服務攻擊。

互聯(lián)網(wǎng)上的肉雞抓取可能存在困難，但一旦被發(fā)現(xiàn)，很快這個周期就會丟失掉。所以這些僵尸網(wǎng)絡在控制一定的這個周期數(shù)量后，會通過反射的機制向目標主體進行攻擊。反射的主要機制是互聯(lián)網(wǎng)上公共的真實存在的設備，在處理協(xié)議的過程中可能會形成一個攻擊流量成本的放大，比如請求NTP 10K返回50K，請求的原地址改成目標服務器，所有終端都以為受害主機在請求，所有請求都會回到受害主機。整個流量可能會從100Gbps到2Tbps之間，所以對于這種攻擊一個是要在很多的協(xié)議源頭去做流量的阻斷，另一個就是還要通過全球化分布式的DDoS進行相應防御。

第四階段：未來發(fā)展

未來，5g、IPv6和IoT技術發(fā)展，會導致單位攻擊能力翻10倍、公網(wǎng)IP數(shù)量指數(shù)增長以及潛在肉雞無處不在，都是我們將要面臨的一些風險。所以未來的攻擊規(guī)?？赡軙^2Tbps甚至更高。

CDN場景中應該怎么去更加有效的防護？

沿著以上兩個核心場景來看，一個是擁塞帶寬，一個是耗盡資源。

對于擁塞有限帶寬入口這類攻擊，本質(zhì)上要在流量上Hold住。CDN天然具有豐富的節(jié)點資源，使用分布式的網(wǎng)絡將攻擊分散到不同的邊緣節(jié)點，同時在近源清洗后返回服務端。

對于耗盡有限資源資源這類攻擊，本質(zhì)上要做到攻擊的快速可見，并且能夠把相應特征進行阻斷。單純依靠CDN不能特別有效的解決問題，需要通過CDN節(jié)點上的配置，完成智能精準檢測DDoS攻擊，并自動化調(diào)度攻擊到DDoS高防進行流量清洗。這時候需要用戶購買高防抗DDoS的產(chǎn)品。

本質(zhì)上標準的CDN仍然是一個內(nèi)容分發(fā)產(chǎn)品，不是安全產(chǎn)品，也沒有承諾安全方面的SLA，因此，如果用戶需要更加專業(yè)的安全服務，還是需要選擇云安全的DDoS等產(chǎn)品，形成多級的安全防護體系，來更加有效的進行風險防御。

那么，具體阿里云CDN結合云安全的產(chǎn)品之后，能夠提供怎樣的安全防護體系呢？

政企安全加速解決方案 是一套基于基于阿里云CDN加速構建的邊緣安全體系，核心能力是加速，但又不止于加速。加速是整體方案的基礎，依托于阿里云全站加速平臺，通過自動化動靜分離，智能路由選路，私有協(xié)議傳輸?shù)群诵募夹g，提升靜動態(tài)混合站點的全站加速效果。在加速基礎之上，為客戶提供WAF應用層安全、DDoS網(wǎng)絡層安全、內(nèi)容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規(guī) 6大方面安全能力，從客戶業(yè)務流量進入CDN產(chǎn)品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業(yè)互聯(lián)網(wǎng)業(yè)務的安全加速。

CDN邊緣安全——網(wǎng)絡層與應用層雙重安全

一、網(wǎng)絡層

銀行，證券，保險等金融行業(yè)的業(yè)務線上化已經(jīng)成為常見的業(yè)務辦理模式，客戶的 金融網(wǎng)銀，網(wǎng)上業(yè)務辦理業(yè)務，一般情況下Web攻擊較多，遭遇DDoS網(wǎng)絡攻擊的場景并不常見，但一旦發(fā)生DDoS攻擊，企業(yè)核心互聯(lián)網(wǎng)業(yè)務就面臨癱瘓風險，將會嚴重影響企業(yè)品牌，產(chǎn)生重大資損。因此一般情況銀行客戶都在源站側(cè)部署DDoS防護能力，同時在CDN邊緣分發(fā)側(cè)，也希望CDN能利用大量分布式的節(jié)點優(yōu)勢，提供邊緣DDoS防護能力，在邊緣檢測DDoS攻擊并實現(xiàn)攻擊阻斷，保護源站不受到攻擊沖擊。最終實現(xiàn)，無攻擊CDN分發(fā)，有攻擊DDoS防護。

在CDN的邊緣節(jié)點具備基礎的抗D的防護能力。如果用戶當前的攻擊流量比較高，達到了用戶設置的閾值之后，就可以自動化的檢測到當前的攻擊的流量，并且通過智能調(diào)度的方式，將當前惡意的請求全部解析到高防的IP。高防IP的產(chǎn)品去做流量的攻擊檢測，以及攻擊的清洗防護，整個過程是自動化實現(xiàn)。

整個業(yè)務流程是：

客戶需要分別開通CDN和DDoS高防產(chǎn)品，并將域名配置在兩個產(chǎn)品中，其次，將高防側(cè)生成的調(diào)度CNAME在CDN側(cè)進行聯(lián)動配置。配置后即可實現(xiàn)無攻擊CDN分發(fā)，有攻擊DDoS防護的效果

在遇到攻擊時，首先，自動化丟棄非80|443端口非正常流量，第二，CDN會智能識別網(wǎng)絡層攻擊行為，精準，實時將DDoS攻擊區(qū)域流量切換到高防服務，整個過程完全自動化，無需用戶介入；第三，在高防側(cè)用戶可以享受最高超過1T的DDoS防護和清理能力，以及超過250W QPS的防護能力

當攻擊結束后，CDN將自動將流量重新調(diào)度回CDN網(wǎng)絡，實現(xiàn)正常業(yè)務分發(fā)

如上就能夠完整平滑的實現(xiàn)CDN與高防的聯(lián)動，實現(xiàn)無攻擊CDN分發(fā)，有攻擊DDoS防護。

二、應用層

零售客戶通過線上電商進行產(chǎn)品宣傳和售賣已經(jīng)成為一種常見的銷售模式，無論是企業(yè)官網(wǎng)，電商平臺，運營活動頁面，只要是面向互聯(lián)網(wǎng)業(yè)務無可避免的，經(jīng)常經(jīng)常遭遇Web，CC，刷量攻擊，對客戶體驗，穩(wěn)定性產(chǎn)生較大影響?？蛻粼谠凑静渴餡AF能力，保護源站。同樣，在CDN分發(fā)側(cè)，希望在云端進行Web安全防護?？蛻魰?yōu)先開啟觀察模式，在云端感知到網(wǎng)絡攻擊風險，然后，逐步灰度源站策略，實現(xiàn)多級防護結構，保證源站安全。

阿里云CDN團隊與云安全團隊合作，將沉淀多年的云WAF能力，注入到CDN邊緣節(jié)點，實現(xiàn)WEB攻擊的邊緣安全防護。

大家都知道，CDN產(chǎn)品一般由2層節(jié)點構成多級分發(fā)體系，邊緣節(jié)點更靠近客戶，回源上層節(jié)點與源站交互獲取源站內(nèi)容，回源節(jié)點和邊緣節(jié)點之間形成多級緩存，提升命中率。當前，云WAF能力已經(jīng)注入到CDN回源節(jié)點，針對動態(tài)回源請求，防護OWASP Top10威脅，例如：SQL注入，XSS跨站等常見Web攻擊；同時客戶還能享受到0 DAY漏洞更新能力，24小時內(nèi)提供高危漏洞虛擬補丁防護。

然而僅能解決回源防護就足夠了嗎？如果出現(xiàn)惡意刷量，惡意爬取，大文件CC攻擊場景，僅會對CDN邊緣節(jié)點產(chǎn)生影響，請求不經(jīng)過L2，會產(chǎn)生大量下行帶寬，極大提升客戶的帶寬成本。所以，CDN在邊緣節(jié)點提供頻次控制，機器流量管理能力。通過頻次控制能力，用戶可以自定義防護規(guī)則，有效識別異常的高頻訪問，邊緣抵御CC攻擊。通過機器流量管理能力，識別惡意爬蟲，刷單軟件等機器流量，有效降低下行帶寬，節(jié)約成本。

通過以上兩層能力，CDN可以為用戶提供較為立體的應用層防護能力。