在我們享受着網際網路提供的更便利、更多元服務的同時,隐匿在網絡身處的各類安全問題也日益嚴峻。在去年,阿裡雲雲安全監測到雲上DDoS攻擊發生近百萬次,應用層DDoS(CC攻擊)成為常見的攻擊類型,攻擊手法也更為多變複雜;同時,Web應用安全相關的問題依然占據非常大的比重,從使用者資訊洩露到羊毛黨的狂歡,無時無刻不在考驗着每一個行業、每一個Web應用的安全水位。
為了讓承載資料傳輸的網絡平台更加安全可靠,作為網際網路入口的CDN一直不斷夯實安全上的能力,朝着企業級的安全加速架構進行技術演進。本文将帶你了解:為了幫助企業應對愈發嚴峻的網絡安全态勢,CDN可以做什麼?
我們先來看看常見的網絡攻擊風險類型有哪些?
一、DDoS攻擊
DDoS攻擊類型已有20多年曆史,它攻擊方式簡單直接,通過僞造封包直接擁塞企業上聯帶寬。随着IoT等終端裝置增多,網絡攻擊量也愈發兇猛。根據阿裡雲安全中心報告顯示,在2019年,超過100G的攻擊已經比較常見,而且超過 500G 的攻擊也已經成為常态。一旦企業服務面臨這種情況,上聯帶寬被打滿,正常請求無法承接,就會導緻企業服務無法正常提供線上服務。是以,防禦DDoS 攻擊依然是企業首先要投入去應對的問題。
二、CC攻擊
相比于四層DDoS攻擊僞造封包,CC攻擊通過向受害的伺服器發送大量請求來耗盡伺服器的資源寶庫CPU、記憶體等。常見的方式是通路需要伺服器進行資料庫查詢的相關請求,這種情況想伺服器負載以及資源消耗會很快飙升,導緻伺服器響應變慢甚至不可用。
三、Web攻擊
常見的 Web 攻擊包括SQL 注入、跨站腳本攻擊XSS、跨站請求僞造CSRF 等。與DDoS和CC以大量封包發起的攻擊相比,Web 攻擊主要是利用 Web 設計的漏洞達到攻擊的目标。一旦攻擊行為實施成功,要麼網站的資料庫内容洩露,或者網頁被挂馬。資料庫内容洩露嚴重影響企業的資料安全,網頁被挂馬會影響企業網站的安全形象以及被搜尋引擎降級等。
四、惡意爬蟲
根據阿裡雲安全中心的報告資料顯示,2019年,惡意爬蟲在房産、交通、遊戲、電商、資訊論壇等幾個行業中的占比都超過50%。惡意爬蟲通過去爬取網站核心的内容,比如電商的價格資訊等,對資訊進行竊取,同時也加重伺服器的負擔。
五、劫持篡改
劫持和篡改比較常見,當網站被第三方劫持後,流量會被引流到其他網站上,導緻網站的使用者通路流量減少,使用者流失。同時,對于傳媒、政務網站來說,内容被篡改會引發極大的政策風險。
應對網絡安全問題,CDN都可以做什麼呢?
一、源站保護
由于CDN的分布式架構,使用者通過通路就近邊緣節點擷取内容,通過這樣的跳闆,有效地隐藏源站IP,進而分解源站的通路壓力。當大規模惡意攻擊來襲時,邊緣點節可以做為第一道防線進行防護,大大分散攻擊強度,即使是針對動态内容的的惡意請求,阿裡雲CDN的智能排程系統還可以解除安裝源站壓力,維護系統平穩。
二、防篡改能力
阿裡雲CDN提供企業級全鍊路HTTPS+節點内容防篡改能力,保證客戶從源站到用戶端全鍊路的傳輸安全。在鍊路傳輸層面,通過HTTPS協定保證連結不可被中間源劫持,在節點上可以對源站檔案進行一緻性驗證,如果發現内容不一緻會将内容删除,重新回源拉取,如果内容一緻才會進行分發。整套解決方案能夠在源站、鍊路端、CDN節點、用戶端全鍊路保證内容的安全性,提供更高的安全傳輸保障。
三、通路和認證安全
阿裡雲CDN可以通過配置通路的referer、User-Agent以及IP黑白名單等多種方式,來對通路者身份進行識别和過濾,進而限制資源被通路的情況;并且設定鑒權Key對URL進行加密實作進階防盜鍊,保護源站資源。同時通過建構IP信譽庫,加強對黑名單IP的通路限制。
除了基礎防護,怎麼建構更多層次的縱深防護?
除此之外,面對愈發嚴峻的網絡安全态勢,為了應對安全風險,企業在關注線上業務的流暢、穩定的同時,也要建構多層次縱深防護體系,在網絡層、傳輸層、應用層等多層次建構防護能力,同時在應用層,對于不同場景要有不同防護措施。
1、在網絡層,需要進行DDoS攻擊的清洗和處理,當造成更嚴重影響需要通過切換IP以及聯合黑洞機制去緩解。
2、在傳輸層,相較于傳統明文傳輸,通過https的支援去進行傳輸層面加密,來避免證書僞造。
3、在應用層,需要進行CC防護、防爬、業務防刷的能力部署,防止惡意攻擊者刷帶寬的情況發生,避免經濟和業務損失。貼近源站的防護方面,需要部署WAF和防篡改,對源站和内容進行防護。
通過CDN可以實作基礎安全能力,但是面對更多複雜的網絡攻擊,CDN與雲安全能力的結合,通過一些簡單的額外配置,就可以更好地抵禦外界攻擊,保障業務安全平穩。
一、結合CDN實作DDoS清洗
阿裡雲CDN面向企業提供邊緣化的應用層DDoS,即CC防護能力,可以通過IP,Header參數,URL參數等多個次元進行監控,并可以通過次數,狀态碼,請求方法進行資料統計,并最終進行惡意通路的安全攔截,有效保證正常業務量的通路。面對網絡層DDoS攻擊,CDN産品與DDoS産品可以實作關聯,在分發場景中可以通過CDN進行分發,在DDoS攻擊發生時,可以探測攻擊的區域,并有效的将攻擊排程到DDoS進行防護清洗,有效保護源站。
通過關聯方案可以有效利用海量DDoS清洗,完美防禦SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同時,基于阿裡雲飛天平台的計算能力和深度學習算法,智能預判DDoS攻擊,平滑切換高防IP,不影響業務運作。
二、CDN結合WAF層層過濾惡意請求
CDN結合WAF能力,形成邊緣的應用層防護能力,将業務流量進行惡意特征識别及防護,将正常、安全的流量回源到伺服器。避免網站伺服器被惡意入侵,保障企業業務的核心資料安全,解決因惡意攻擊導緻的伺服器性能異常問題。CDN WAF提供虛拟更新檔,針對網站被曝光的最新漏洞,最大可能地提供快速修複規則。并且依托雲安全,快速的漏洞響應速度,及時的漏洞修複能力。
Web防護的政策是通過層層過濾,來抵禦惡意請求。第一層是精準通路控制,指具體對http請求的攔截政策;第二層是區域封禁,對業務無效區或者異常地域請求進行攔截;第三層IP信譽系統,是利用阿裡雲多年積累的網際網路IP大資料畫像,對惡意行為進行分類并對IP進行攔截;第四層是黑名單系統,是對某些UA或者IP進行攔截,以上四層都屬于精确攔截;第五層是頻次控制,對相對高頻且通路異常IP進行攔截;第六層是對于網際網路機器流量進行管理,阻斷惡意爬蟲;第七第八層是WAF和源站進階防護,對于源站進行更深層次的防護。
三、基于機器流量管理識别網際網路Bot流量,阻斷惡意爬蟲
機器流量管理部署在邊緣,當各種網際網路通路進入CDN邊緣節點之後,機器流量管理系統會提取最原始的Client資訊,分析資訊計算Client特征值,并與阿裡雲安全積累的機器流量特征庫進行比對,最終識别結果,正常通路、搜尋引擎、商業爬蟲這些行為是網站期望的行為,會被放行,而惡意爬蟲會被攔截。在處置動作上,機器流量管理相比目前常見嵌入在正常頁面中的行為,侵入性有所降低,支援相對平滑的接入。
下圖是一個實際的案例,在執行機器流量管理政策的時候,首先會對某域名進行流量分析,左側圖是針對某域名開啟機器流量分析後,識别出超過 82% 的請求為惡意爬蟲,然後開啟攔截機器流量中的惡意爬蟲流量後,如右側圖所示,域名峰值帶寬下降超過80%。
綜上,基于對縱深防護的了解,阿裡雲CDN的安全架構是基于CDN分布式節點實作的邊緣安全防護機制,同時關聯高防清洗中心進行防護。
如果您對阿裡雲邊緣安全感興趣,可以登入 阿裡雲官網CDN産品詳情頁 ,了解CDN+WAF能力,以及登入 安全加速SCDN産品詳情頁 ,了解CDN邊緣節點+雲安全更多産品能力。
具體潛在風險及應對方法
近期阿裡雲CDN團隊發現部分域名出現非正常業務通路,導緻帶寬突發,産生了高額賬單,給客戶帶來了高于日常消費金額的賬号。為最大程度的保障客戶權益。阿裡雲CDN建議您關注如下應對方法:
潛在風險
• 在攻擊行為發生的時候,實際消耗了CDN的帶寬資源,是以您需要自行承擔攻擊産生的流量帶寬費用。
• 客戶流量被惡意盜刷而産生突發帶寬增高的情況與被攻擊的情況類似,因為實際消耗了CDN的帶寬資源,是以您需要自行承擔攻擊産生的流量帶寬費用。
應對辦法
為保障服務的正常運作和避免高額賬單的出現,建議開啟防護功能或者對流量進行相應的管理。
如果您的業務有潛在的被攻擊風險,建議開通SCDN産品,SCDN産品有更強大的整體安全防護能力。詳細請參見
安全加速SCDN。
開啟防護功能:
開啟流量管理:
CDN安全直播預告
使用CDN的常見誤區和問題有哪些?
DDoS攻擊是如何一步步演進的?
CDN中場景更有效的防護方式是什麼?
阿裡雲CDN邊緣安全體系如何幫助客戶抵禦攻擊?
12月17日15:00-15:30,阿裡雲CDN産品專家彭飛将帶來《正确使用CDN 讓你規避安全風險》,點選預約直播:
https://yqh.aliyun.com/live/detail/21593