正确认知CDN让你更加有效地做好DDoS防护

CDN是企业常用的互联网服务之一,主要提供内容分发服务。CDN能帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、是改善用户业务体验的重要手段。同时,CDN使用反向代理技术,能有效的保护用户源站,避免源站暴露进而遭到黑客的攻击。CDN海量的服务节点天然给用户提供了一定的防护能力,继而获得相应的稳定性提升。默认情况下会用整个CDN大网的网络能力和计算能力,有效的对抗攻击者的攻击。

关于CDN安全的那些误区和问题

前文提到了CDN节点可以为用户提供一定的防护能力,其实在使用CDN过程中会有一些常见的误区,比如:第一个误区是有些用户认为用了CDN之后有效保护源站就不需要额外购买安全服务了,甚至可以使用CDN平台来抵抗攻击;第二个误区是用户认为其用了CDN后无需进行任何额外配置,有攻击CDN自动来抵抗,和其没什么关系,对其没什么影响。

伴随这两种误区就会产生一些问题,比如:第一个问题是当用户遭到DDoS攻击,CDN为保证整体服务质量,会将用户业务切入沙箱,网站业务质量受到较大影响,且影响该域名后续的CDN加速服务质量。第二个问题是当用户遭到刷量型CC攻击,由于请求非常分散,CDN认为是客户正常业务的流量增长,因此尽力提供服务,造成短时间大量带宽突增,客户要为此付出大额账单,造成较大的经济损失。

正确地认识网络攻击

客户业务线上运行过程中,不可避免会遇到网络安全威胁,DDoS攻击是最典型的。DDoS的核心目标是造成业务损失,受害目标无法对外进行服务,进而造成业务损失。其本质是消耗目标系统的资源,具体有2种实现方式:一种叫做拥塞有限的带宽,第二种叫耗尽有限的计算资源。本质上CDN给用户提供的就是这两种资源。一个是分发的带宽资源,第二个是在节点上提供相应的算力,所以攻击本身就是在消耗这个。

其中三类攻击包括:

一、网络流量型攻击

这种攻击会利用到一些协议漏洞,比如UDP、SMP协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。

二、耗尽计算资源型攻击——连接耗尽

最典型的就是网络层CC,利用HTTP协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。

三、耗尽计算资源型攻击——应用耗尽

典型是7层的应用层CC攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层CC都是正常的业务请求,同时CDN只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当CC攻击时,如果无特殊的错误码异常,从CDN角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而CC攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。

CDN场景中应该怎么去更加有效的防护?

沿着以上两个核心场景来看,一个是拥塞带宽,一个是耗尽资源

对于拥塞有限带宽入口这类攻击,本质上要在流量上Hold住。CDN天然具有丰富的节点资源,使用分布式的网络将攻击分散到不同的边缘节点,同时在近源清洗后返回服务端。

对于耗尽有限资源的这类攻击,本质上要做到攻击的快速可见,并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效地解决问题,需要通过CDN节点上的配置,完成智能精准检测DDoS攻击,并自动化调度攻击到DDoS高防进行流量清洗。这时候需要寻求具有完善售后技术支持的DDoS高防服务商。