當前,許多企業都意識到
ddos
防禦對維護非凡客戶體驗而言至關重要。這是為什麼呢?因為
網路攻擊對
載入時間或終端使用者體驗的影響遠超過
其他因素
,網路攻擊是應用效能的無症狀殺手。
作為向終端使用者提供
高可用和高效能內容
的經銷商,cdn是客戶體驗的關鍵。然而,cdn網路中的新漏洞也讓很多人想知道cdn本身是否容易遭受到各
類攻擊侵擾,如:
迴圈攻擊。
那麼cdn容易遭受到什麼型別的攻擊呢?以下是
會危及到cdn的5大威脅
,企業必須防範這些威脅。
盲點1:動態內容攻擊
許多cdn都能夠限制
傳送到受攻擊伺服器的動態請求數量。這就意味著,他們
無法區分
攻擊者和合法使用者,速率限制
也會攔截合法使用者。
盲點2:基於ssl的攻擊
基於ssl的ddos攻擊
的攻擊目標是
容易發起,
但是很難
緩解,因此成為了攻擊者的最愛。為了檢測並緩解ddos ssl攻擊,cdn伺服器必須首先
利用客戶的ssl金鑰
解密流量
。如果客戶不願意向cdn提供商提供ssl金鑰,ssl攻擊流量就會重定向至客戶的源伺服器,使得
在涉及到waf技術的ddos攻擊中,cdn網路
在可擴充套件性能的
每秒ssl連線數方面還有乙個
明顯劣勢
,並可能出現嚴重的延遲問題。
pci和其它安全合規性也是乙個問題,有時候
會限制資料中心
為客戶提供
服務的能力,這是
因為並不是所有的cdn都具備跨所有資料中心的pci合規性。這可能再次增加延遲並引發審計問題。
盲點3:針對非cdn服務的攻擊
流向這些應用的流量並不會通過cdn傳送。此外,許多web應用也不是由cdn提供
服務的。攻擊者正在利用這一盲點發起
不經過cdn傳送的
針對應用的攻擊
,並利用可能堵塞客戶網際網路管道的大規模攻擊客戶源伺服器。一旦網際網路管道被堵塞,客戶源伺服器中的所有應用
對合法使用者均不可用
,包括由cdn提供
服務的應用。
盲點4:直接ip攻擊
一旦攻擊者發起了針對客戶源web伺服器ip位址的直接攻擊,
即使直接
容易受到攻擊侵擾。
盲點5:web應用攻擊
針對web應用威脅的cdn防護措施
的防護水平
有限,會將客戶web應用暴露
在資料洩露、資料竊取和其它常見web應用威脅
之下。多數基於cdn的web
應用防火牆的功能
也很有限
,僅適用於一組基本的預定義特徵碼和規則。
許多基於cdn的waf不能閱讀http引數,不
會建立主動安全規則,因此無法防禦零日攻擊和已知威脅。
對於在waf中為web應用提供
優化措施
的企業而言,實現這一
防護水準
所需的成本
也是相當高的。
除了之前已確認的重大盲點
外,多數cdn安全服務都不夠敏感,因此可能需要數小時的手動部署
才能將安全配置覆蓋到所有網路伺服器。安全服務正在使用
速率限制等
過時的技術,
該技術在
上個攻擊活動中已被證實效率較低,缺乏網路行文分析、質詢-
應答機制等功能。
原文發布時間為:
簡單分析CDN安全
目前cdn技術到處可見。像網宿 藍訊 加速樂等都依靠cdn過活,連安全寶也都使用了cdn技術,當然很多網域名稱空間商現在也提供cdn服務。從以往網際網路的發展上看,cdn是個趨勢,很多廠商也都多多少少購買了商業化的cdn資源,比如360 騰訊 新浪等等等,當然大部分流量還是走自建的cdn網路。本文筆...
超2TB快取 Radware進軍中國雲安全市場
本文講的是超2tb快取 radware進軍中國雲安全市場,6月1日,恰逢兒童節,radware公司安全解決方案副總裁carl w.herberger訪華並召開 見面會。在會中,carl w.herberger表達了radware欲發力中國安全市場的期望,同時也透露了雲服務轉型的發展方向。作為應用交付...
《CDN 之我見》系列二 原理篇(快取 安全)
cdn之我見 共由三個篇章組成,分為原理篇 詳解篇和隕坑篇。本篇章適合那些從未接觸過 或僅了解一些 cdn 專業術語,想深入了解和感受 cdn 究竟是什麼的同學。本次由白金老師繼續為大家分享 cdn之我見 系列二,主要講解快取是什麼 工作的基本原理是怎樣的,以及 cdn 是如何面對安全挑戰的。對於 ...