五大企業(yè)必須防范CDN攻擊威脅

目前，許多企業(yè)都意識(shí)到DDoS防御對(duì)維護(hù)非凡的客戶(hù)體驗(yàn)至關(guān)重要。為什么是這樣？由于網(wǎng)絡(luò)攻擊對(duì)加載時(shí)間或最終用戶(hù)體驗(yàn)的影響遠(yuǎn)遠(yuǎn)超過(guò)其他因素，網(wǎng)絡(luò)攻擊是應(yīng)用性能的無(wú)癥狀殺手。

為最終用戶(hù)提供高可用性和高性能內(nèi)容的經(jīng)銷(xiāo)商，CDN是客戶(hù)體驗(yàn)的關(guān)鍵。CDN網(wǎng)絡(luò)中的新漏洞也讓很多人想知道CDN是否容易遭受各種攻擊，如循環(huán)攻擊。

那么，CDN什么樣的攻擊容易受到影響？以下將危及CDN企業(yè)必須防范五大威脅。

1.動(dòng)態(tài)內(nèi)容攻擊

攻擊者知道，CDN服務(wù)中的主要盲點(diǎn)是處理動(dòng)態(tài)內(nèi)容請(qǐng)求。因?yàn)閯?dòng)態(tài)內(nèi)容沒(méi)有存儲(chǔ)，CDN所有動(dòng)態(tài)內(nèi)容請(qǐng)求都會(huì)在服務(wù)器中發(fā)送到源服務(wù)器。攻擊者可以利用這種行為生成包括HTTPGET攻擊流量請(qǐng)求隨機(jī)參數(shù)。CDN服務(wù)器可以立即要求處理這些攻擊流量重定向到源服務(wù)器。然而，在許多情況下，源服務(wù)器無(wú)法處理所有的攻擊請(qǐng)求或?yàn)楹戏ㄓ脩?hù)提供在線(xiàn)服務(wù)，因此拒絕服務(wù)。

許多CDN可以限制發(fā)送到攻擊服務(wù)器的動(dòng)態(tài)請(qǐng)求數(shù)量。這意味著他們無(wú)法區(qū)分攻擊者和擊者和合法用戶(hù)，速度限制也會(huì)攔截合法用戶(hù)。

2：基于SSL的攻擊

基于SSL的DDoS攻擊目標(biāo)是安全在線(xiàn)服務(wù)。這些攻擊容易發(fā)起，但是很難緩解，因此成為了攻擊者的最?lèi)?ài)。檢測(cè)和緩解DDoSSSL攻擊，CDN服務(wù)器必須首先使用客戶(hù)SSL密鑰解密流量。假如客戶(hù)不愿意去CDN提供商提供SSL密鑰，SSL攻擊流量將重定向客戶(hù)的源服務(wù)器，使客戶(hù)容易接受SSL攻擊侵?jǐn)_。擊中客戶(hù)源服務(wù)器SSL攻擊可以輕松擊敗安全的在線(xiàn)服務(wù)。

在涉及到WAF技術(shù)的DDoS攻擊中，CDN網(wǎng)絡(luò)在可擴(kuò)展性能的每秒SSL連接數(shù)也有明顯的缺點(diǎn)，可能會(huì)出現(xiàn)嚴(yán)重的延遲問(wèn)題。PCI和其它安全合規(guī)性也是一個(gè)問(wèn)題，有時(shí)候會(huì)限制數(shù)據(jù)中心為客戶(hù)提供服務(wù)的能力，這是因?yàn)椴⒉皇撬械腃DN所有數(shù)據(jù)中心都有跨所有的數(shù)據(jù)中心PCI合規(guī)性。這可能會(huì)再次增加延遲，并導(dǎo)致審計(jì)問(wèn)題。

3：針對(duì)非CDN服務(wù)的攻擊

CDN通常只提供服務(wù)HTTP/S和DNS應(yīng)用。VoIP、郵件、FTP其他在線(xiàn)服務(wù)和應(yīng)用程序，如客戶(hù)數(shù)據(jù)中心的特殊協(xié)議，不是由客戶(hù)數(shù)據(jù)中心CDN因此，流向這些應(yīng)用程序的流量不會(huì)通過(guò)CDN發(fā)送。此外，許多Web應(yīng)用也不是原因CDN提供服務(wù)。攻擊者正在利用這一盲點(diǎn)發(fā)起它CDN對(duì)應(yīng)用程序進(jìn)行攻擊，并使用可能堵塞客戶(hù)互聯(lián)網(wǎng)管道的大規(guī)模攻擊客戶(hù)源服務(wù)器。一旦互聯(lián)網(wǎng)管道堵塞，客戶(hù)源服務(wù)器中的所有應(yīng)用服務(wù)器中的所有應(yīng)用程序，包括CDN應(yīng)用程序提供服務(wù)。

4：直接IP攻擊

一旦攻擊者啟動(dòng)了客戶(hù)源Web服務(wù)器IP地址的直接攻擊，即使是由CDN提供服務(wù)的應(yīng)用程序也會(huì)受到攻擊。這些攻擊可能是UDP洪水或ICMP洪水等不經(jīng)由CDN網(wǎng)絡(luò)洪水的網(wǎng)絡(luò)洪水將直接擊中客戶(hù)源服務(wù)器。這種大流量網(wǎng)絡(luò)攻擊可能會(huì)堵塞互聯(lián)網(wǎng)管道，關(guān)閉源服務(wù)器中的所有應(yīng)用和在線(xiàn)服務(wù)，包括CDN應(yīng)用程序或在線(xiàn)服務(wù)提供服務(wù)。通常，數(shù)據(jù)中心“防護(hù)”錯(cuò)誤的配置可能會(huì)導(dǎo)致應(yīng)用程序直接受到攻擊。

5：Web應(yīng)用攻擊

針對(duì)Web應(yīng)用威脅的CDN防護(hù)措施的防護(hù)水平有限，客戶(hù)將受到保護(hù)Web數(shù)據(jù)泄露、數(shù)據(jù)數(shù)據(jù)泄露、數(shù)據(jù)竊取和其他常見(jiàn)的數(shù)據(jù)泄露中Web應(yīng)用威脅之下。多數(shù)基于CDN的Web防火墻的應(yīng)用功能也非常有限，只適用于一組基本的預(yù)定義特征代碼和規(guī)則。許多基于CDN的WAF不能閱讀HTTP參數(shù)不會(huì)創(chuàng)建主動(dòng)安全規(guī)則，因此無(wú)法防御零日攻擊和已知威脅。對(duì)于在WAF中為Web對(duì)于提供優(yōu)化措施的企業(yè)來(lái)說(shuō)，實(shí)現(xiàn)這一保護(hù)水平的成本也相當(dāng)高。

除了之前確認(rèn)的大多數(shù)主要盲點(diǎn)外，CDN安全服務(wù)不夠敏感，所以在所有網(wǎng)絡(luò)服務(wù)器上覆蓋安全配置可能需要幾個(gè)小時(shí)的手動(dòng)部署。安全服務(wù)正在使用過(guò)時(shí)的技術(shù)，如速度限制。該技術(shù)在上一次攻擊活動(dòng)中被證實(shí)效率低下，缺乏網(wǎng)絡(luò)寫(xiě)作分析、質(zhì)詢(xún)響應(yīng)機(jī)制等功能。

福音:騰佑科技私人定制全球CDN