cdn被劫持怎么办(cdn资源管理系统 )-众学网

摘

要

通过CDN可以实现基础安全能力，但是面对更多复杂的网络攻击，CDN与云安全能力的结合，通过一些简单的额外配置，就可以更好地抵御外界攻击，保障业务安全平稳。

在我们享受着互联网提供的更便利、更多元服务的同时，隐匿在网络身处的各类安全问题也日益严峻。在去年，阿里云云安全监测到云上DDoS攻击发生近百万次，应用层DDoS（CC攻击）成为常见的攻击类型，攻击手法也更为多变复杂；同时，Web应用安全相关的问题依然占据非常大的比重，从用户信息泄露到羊毛党的狂欢，无时无刻不在考验着每一个行业、每一个Web应用的安全水位。

为了让承载数据传输的网络平台更加安全可靠，作为互联网入口的CDN一直不断夯实安全上的能力，朝着企业级的安全加速架构进行技术演进。本文将带你了解：为了帮助企业应对愈发严峻的网络安全态势，CDN可以做什么？

常见的网络攻击风险类型

DDoS攻击

DDoS攻击类型已有20多年历史，它攻击方式简单直接，通过伪造报文直接拥塞企业上联带宽。随着IoT等终端设备增多，网络攻击量也愈发凶猛。根据阿里云安全中心报告显示，在2019年，超过100G的攻击已经比较常见，而且超过 500G 的攻击也已经成为常态。一旦企业服务面临这种情况，上联带宽被打满，正常请求无法承接，就会导致企业服务无法正常提供线上服务。因此，防御DDoS 攻击依然是企业首先要投入去应对的问题。

CC攻击

相比于四层DDoS攻击伪造报文，CC攻击通过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等。常见的方式是访问需要服务器进行数据库查询的相关请求，这种情况想服务器负载以及资源消耗会很快飙升，导致服务器响应变慢甚至不可用。

Web攻击

常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF 等。与DDoS和CC以大量报文发起的攻击相比，Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标。一旦攻击行为实施成功，要么网站的数据库内容泄露，或者网页被挂马。数据库内容泄露严重影响企业的数据安全，网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。

恶意爬虫

根据阿里云安全中心的报告数据显示，2019年，恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%。恶意爬虫通过去爬取网站核心的内容，比如电商的价格信息等，对信息进行窃取，同时也加重服务器的负担。

劫持篡改

劫持和篡改比较常见，当网站被第三方劫持后，流量会被引流到其他网站上，导致网站的用户访问流量减少，用户流失。同时，对于传媒、政务网站来说，内容被篡改会引发极大的政策风险。

CDN如何应对网络安全问题

源站保护

由于CDN的分布式架构，用户通过访问就近边缘节点获取内容，通过这样的跳板，有效地隐藏源站IP，从而分解源站的访问压力。当大规模恶意攻击来袭时，边缘点节可以做为第一道防线进行防护，大大分散攻击强度，即使是针对动态内容的的恶意请求，阿里云CDN的智能调度系统还可以卸载源站压力，维护系统平稳。

防篡改能力

阿里云CDN提供企业级全链路HTTPS 节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全。在链路传输层面，通过HTTPS协议保证链接不可被中间源劫持，在节点上可以对源站文件进行一致性验证，如果发现内容不一致会将内容删除，重新回源拉取，如果内容一致才会进行分发。整套解决方案能够在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

访问和认证安全

阿里云CDN可以通过配置访问的referer、User-Agent以及IP黑白名单等多种方式，来对访问者身份进行识别和过滤，从而限制资源被访问的情况；并且设置鉴权Key对URL进行加密实现高级防盗链，保护源站资源。同时通过构建IP信誉库，加强对黑名单IP的访问限制。

构建更多层次的纵深防护

1）在网络层，需要进行DDoS攻击的清洗和处理，当造成更严重影响需要通过切换IP以及联合黑洞机制去缓解。

2）在传输层，相较于传统明文传输，通过https的支持去进行传输层面加密，来避免证书伪造。

3）在应用层，需要进行CC防护、防爬、业务防刷的能力部署，防止恶意攻击者刷带宽的情况发生，避免经济和业务损失。贴近源站的防护方面，需要部署WAF和防篡改，对源站和内容进行防护。

结合CDN实现DDoS清洗

阿里云CDN面向企业提供边缘化的应用层DDoS，即CC防护能力，可以通过IP，Header参数，URL参数等多个维度进行监控，并可以通过次数，状态码，请求方法进行数据统计，并最终进行恶意访问的安全拦截，有效保证正常业务量的访问。面对网络层DDoS攻击，CDN产品与DDoS产品可以实现联动，在分发场景中可以通过CDN进行分发，在DDoS攻击发生时，可以探测攻击的区域，并有效的将攻击调度到DDoS进行防护清洗，有效保护源站。

通过联动方案可以有效利用海量DDoS清洗，完美防御SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同时，基于阿里云飞天平台的计算能力和深度学习算法，智能预判DDoS攻击，平滑切换高防IP，不影响业务运行。

CDN结合WAF层层过滤恶意请求

CDN结合WAF能力，形成边缘的应用层防护能力，将业务流量进行恶意特征识别及防护，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击导致的服务器性能异常问题。CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则。并且依托云安全，快速的漏洞响应速度，及时的漏洞修复能力。

Web防护的策略是通过层层过滤，来抵御恶意请求。第一层是精准访问控制，指具体对http请求的拦截策略；第二层是区域封禁，对业务无效区或者异常地域请求进行拦截；第三层IP信誉系统，是利用阿里云多年积累的互联网IP大数据画像，对恶意行为进行分类并对IP进行拦截；第四层是黑名单系统，是对某些UA或者IP进行拦截，以上四层都属于精确拦截；第五层是频次控制，对相对高频且访问异常IP进行拦截；第六层是对于互联网机器流量进行管理，阻断恶意爬虫；第七第八层是WAF和源站高级防护，对于源站进行更深层次的防护。

基于机器流量管理，阻断恶意爬虫

机器流量管理部署在边缘，当各种互联网访问进入CDN边缘节点之后，机器流量管理系统会提取最原始的Client信息，分析信息计算Client特征值，并与阿里云安全积累的机器流量特征库进行匹配，最终识别结果，正常访问、搜索引擎、商业爬虫这些行为是网站期望的行为，会被放行，而恶意爬虫会被拦截。在处置动作上，机器流量管理相比当前常见嵌入在正常页面中的行为，侵入性有所降低，支持相对平滑的接入。

下图是一个实际的案例，在执行机器流量管理策略的时候，首先会对某域名进行流量分析，左侧图是针对某域名开启机器流量分析后，识别出超过 82% 的请求为恶意爬虫，然后开启拦截机器流量中的恶意爬虫流量后，如右侧图所示，域名峰值带宽下降超过80%。