在我們享受著網際網路提供的更便利、更多元服務的同時,隱匿在網路身處的各類安全問題也日益嚴峻。在去年,阿里云云安全監測到雲上ddos攻擊發生近百萬次,應用層ddos(cc攻擊)成為常見的攻擊型別,攻擊手法也更為多變複雜;同時,web應用安全相關的問題依然佔據非常大的比重,從使用者資訊洩露到羊毛黨的狂歡,無時無刻不在考驗著每乙個行業、每乙個web應用的安全水位。
為了讓承載資料傳輸的網路平台更加安全可靠,作為網際網路入口的cdn一直不斷夯實安全上的能力,朝著企業級的安全加速架構進行技術演進。本文將帶你了解:為了幫助企業應對愈發嚴峻的網路安全態勢,cdn可以做什麼?
一、ddos攻擊
ddos攻擊型別已有20多年歷史,它攻擊方式簡單直接,通過偽造報文直接擁塞企業上聯頻寬。隨著iot等終端裝置增多,網路攻擊量也愈發兇猛。根據阿里雲安全中心報告顯示,在2023年,超過100g的攻擊已經比較常見,而且超過 500g 的攻擊也已經成為常態。一旦企業服務面臨這種情況,上聯頻寬被打滿,正常請求無法承接,就會導致企業服務無法正常提供線上服務。因此,防禦ddos 攻擊依然是企業首先要投入去應對的問題。
二、cc攻擊
相比於四層ddos攻擊偽造報文,cc攻擊通過向受害的伺服器傳送大量請求來耗盡伺服器的資源寶庫cpu、記憶體等。常見的方式是訪問需要伺服器進行資料庫查詢的相關請求,這種情況想伺服器負載以及資源消耗會很快飆公升,導致伺服器響應變慢甚至不可用。
三、web攻擊
常見的 web 攻擊包括sql 注入、跨站指令碼攻擊xss、跨站請求偽造csrf 等。與ddos和cc以大量報文發起的攻擊相比,web 攻擊主要是利用 web 設計的漏洞達到攻擊的目標。一旦攻擊行為實施成功,要麼**的資料庫內容洩露,或者網頁被掛馬。資料庫內容洩露嚴重影響企業的資料安全,網頁被掛馬會影響企業**的安全形象以及被搜尋引擎降權等。
四、惡意爬蟲
根據阿里雲安全中心的報告資料顯示,2023年,惡意爬蟲在房產、交通、遊戲、電商、資訊論壇等幾個行業中的佔比都超過50%。惡意爬蟲通過去爬取**核心的內容,比如電商的**資訊等,對資訊進行竊取,同時也加重伺服器的負擔。
五、劫持篡改
劫持和篡改比較常見,當**被第三方劫持後,流量會被引流到其他**上,導致**的使用者訪問流量減少,使用者流失。同時,對於傳媒、政務**來說,內容被篡改會引發極大的政策風險。
一、源站保護
由於cdn的分布式架構,使用者通過訪問就近邊緣節點獲取內容,通過這樣的跳板,有效地隱藏源站ip,從而分解源站的訪問壓力。當大規模惡意攻擊來襲時,邊緣點節可以做為第一道防線進行防護,大大分散攻擊強度,即使是針對動態內容的的惡意請求,阿里雲cdn的智慧型排程系統還可以解除安裝源站壓力,維護系統平穩。
二、防篡改能力
阿里雲cdn提供企業級全鏈路https+節點內容防篡改能力,保證客戶從源站到客戶端全鏈路的傳輸安全。在鏈路傳輸層面,通過https協議保證鏈結不可被中間源劫持,在節點上可以對源站檔案進行一致性驗證,如果發現內容不一致會將內容刪除,重新回源拉取,如果內容一致才會進行分發。整套解決方案能夠在源站、鏈路端、cdn節點、客戶端全鏈路保證內容的安全性,提供更高的安全傳輸保障。
三、訪問和認證安全
阿里雲cdn可以通過配置訪問的referer、user-agent以及ip黑白名單等多種方式,來對訪問者身份進行識別和過濾,從而限制資源被訪問的情況;並且設定鑑權key對url進行加密實現高階防盜煉,保護源站資源。同時通過構建ip信譽庫,加強對黑名單ip的訪問限制。
除此之外,面對愈發嚴峻的網路安全態勢,為了應對安全風險,企業在關注線上業務的流暢、穩定的同時,也要構建多層次縱深防護體系,在網路層、傳輸層、應用層等多層次構建防護能力,同時在應用層,對於不同場景要有不同防護措施。
1、在網路層,需要進行ddos攻擊的清洗和處理,當造成更嚴重影響需要通過切換ip以及聯合黑洞機制去緩解。2、在傳輸層,相較於傳統明文傳輸,通過https的支援去進行傳輸層面加密,來避免證書偽造。
3、在應用層,需要進行cc防護、防爬、業務防刷的能力部署,防止惡意攻擊者刷頻寬的情況發生,避免經濟和業務損失。貼近源站的防護方面,需要部署waf和防篡改,對源站和內容進行防護。
通過cdn可以實現基礎安全能力,但是面對更多複雜的網路攻擊,cdn與雲安全能力的結合,通過一些簡單的額外配置,就可以更好地抵禦外界攻擊,保障業務安全平穩。
一、結合cdn實現ddos清洗
阿里雲cdn面向企業提供邊緣化的應用層ddos,即cc防護能力,可以通過ip,header引數,url引數等多個維度進行監控,並可以通過次數,狀態碼,請求方法進行資料統計,並最終進行惡意訪問的安全攔截,有效保證正常業務量的訪問。面對網路層ddos攻擊,cdn產品與ddos產品可以實現聯動,在分發場景中可以通過cdn進行分發,在ddos攻擊發生時,可以探測攻擊的區域,並有效的將攻擊排程到ddos進行防護清洗,有效保護源站。
通過聯動方案可以有效利用海量ddos清洗,完美防禦syn 、ack 、icmp 、udp 、ntp 、ssdp 、dns 、http 等flood。同時,基於阿里雲飛天平台的計算能力和深度學習演算法,智慧型預判ddos攻擊,平滑切換高防ip,不影響業務執行。
二、cdn結合waf層層過濾惡意請求
cdn結合waf能力,形成邊緣的應用層防護能力,將業務流量進行惡意特徵識別及防護,將正常、安全的流量回源到伺服器。避免**伺服器被惡意入侵,保障企業業務的核心資料安全,解決因惡意攻擊導致的伺服器效能異常問題。cdn waf提供虛擬補丁,針對**被**的最新漏洞,最大可能地提供快速修復規則。並且依託雲安全,快速的漏洞響應速度,及時的漏洞修復能力。
web防護的策略是通過層層過濾,來抵禦惡意請求。第一層是精準訪問控制,指具體對http請求的攔截策略;第二層是區域封禁,對業務無效區或者異常地域請求進行攔截;第三層ip信譽系統,是利用阿里雲多年積累的網際網路ip大資料畫像,對惡意行為進行分類並對ip進行攔截;第四層是黑名單系統,是對某些ua或者ip進行攔截,以上四層都屬於精確攔截;第五層是頻次控制,對相對高頻且訪問異常ip進行攔截;第六層是對於網際網路機器流量進行管理,阻斷惡意爬蟲;第七第八層是waf和源站高階防護,對於源站進行更深層次的防護。
三、基於機器流量管理識別網際網路bot流量,阻斷惡意爬蟲
機器流量管理部署在邊緣,當各種網際網路訪問進入cdn邊緣節點之後,機器流量管理系統會提取最原始的client資訊,分析資訊計算client特徵值,並與阿里雲安全積累的機器流量特徵庫進行匹配,最終識別結果,正常訪問、搜尋引擎、商業爬蟲這些行為是**期望的行為,會被放行,而惡意爬蟲會被攔截。在處置動作上,機器流量管理相比當前常見嵌入在正常頁面中的行為,侵入性有所降低,支援相對平滑的接入。
下圖是乙個實際的案例,在執行機器流量管理策略的時候,首先會對某網域名稱進行流量分析,左側圖是針對某網域名稱開啟機器流量分析後,識別出超過 82% 的請求為惡意爬蟲,然後開啟攔截機器流量中的惡意爬蟲流量後,如右側圖所示,網域名稱峰值頻寬下降超過80%。
綜上,基於對縱深防護的理解,阿里雲cdn的安全架構是基於cdn分布式節點實現的邊緣安全防護機制,同時聯動高防清洗中心進行防護。
如果您對阿里雲邊緣安全感興趣,可以登入阿里雲官網cdn產品詳情頁,了解cdn+waf能力,以及登入安全加速scdn產品詳情頁,了解cdn邊緣節點+雲安全更多產品能力。
近期阿里雲cdn團隊發現部分網域名稱出現非正常業務訪問,導致頻寬突發,產生了高額賬單,給客戶帶來了高於日常消費金額的賬號。為最大程度的保障客戶權益。阿里雲cdn建議您關注如下應對方法:
潛在風險
• 在攻擊行為發生的時候,實際消耗了cdn的頻寬資源,因此您需要自行承擔攻擊產生的流量頻寬費用。
• 客戶流量被惡意盜刷而產生突發頻寬增高的情況與被攻擊的情況類似,因為實際消耗了cdn的頻寬資源,所以您需要自行承擔攻擊產生的流量頻寬費用。
應對辦法
為保障服務的正常執行和避免高額賬單的出現,建議開啟防護功能或者對流量進行相應的管理。
如果您的業務有潛在的被攻擊風險,建議開通scdn產品,scdn產品有更強大的整體安全防護能力。詳細請參見安全加速scdn。
開啟防護功能:
開啟流量管理:
使用cdn的常見誤區和問題有哪些?
ddos攻擊是如何一步步演進的?
cdn中場景更有效的防護方式是什麼?
阿里雲cdn邊緣安全體系如何幫助客戶抵禦攻擊?
12月17日15:00-15:30,阿里雲cdn產品專家彭飛將帶來《正確使用cdn 讓你規避安全風險》,登入阿里雲官網預約直播
前端網路安全 其他安全問題
1 拒絕服務dos 模擬正常使用者,大量占用伺服器資源,讓正常使用者無法正常訪問 攻擊形式 tcp半連線,http連線,dns 大規模分布式拒絕服務攻擊ddos 流量可達到即使到上百g 分布式 肉雞 極難防禦 dos攻擊防禦 防火牆 交換機 路由器 流量清洗 高防ip 層面預防dos攻擊 1 避免重...
值得重視的網路安全問題
網路安全環境急劇惡化,相關網路安全事故頻發,網路犯罪讓全球經濟損失嚴重,突顯全球性網路安全人才荒問題,據了解,近3年,我國網路安全相關專業年均招生數在1萬人左右,距離70萬人缺口需求仍存在巨大差距,我國7.72億網民,位居全球第一,網路安全問題已成為行業乃至國家亟待解決的問題。1.境外濫用我國境內網...
網路安全問題解答
tcp協議存在哪些典型的安全漏洞?如何應對這些漏洞?tcp使用三次握手機制來建立一條連線,握手的第一哥報文為syn包 第二個報文為syn ack包,標明它應答的第乙個syn包同時繼續握手的過程 第三個報文僅僅是乙個應答,表示為ack包。若a方為連線方,b方為響應方,期間可能的威脅有 1.攻擊者監聽b...