?

網(wǎng)絡(luò)安全態(tài)勢嚴(yán)峻，常見的五大網(wǎng)絡(luò)攻擊風(fēng)險類型

趙偉認為，企業(yè)線上服務(wù)所面臨的安全風(fēng)險，主要來自以下五個方面：

• DDoS攻擊

DDoS攻擊類型已有20多年歷史，它攻擊方式簡單直接，通過偽造報文直接擁塞企業(yè)上聯(lián)帶寬。隨著IoT等終端設(shè)備增多，網(wǎng)絡(luò)攻擊量也愈發(fā)兇猛。根據(jù)阿里云安全中心報告顯示，在2019年，超過100G的攻擊已經(jīng)比較常見，而且超過 500G 的攻擊也已經(jīng)成為常態(tài)。一旦企業(yè)服務(wù)面臨這種情況，上聯(lián)帶寬被打滿，正常請求無法承接，就會導(dǎo)致企業(yè)服務(wù)無法正常提供線上服務(wù)。因此，防御DDoS 攻擊依然是企業(yè)首先要投入去應(yīng)對的問題。

• CC攻擊

相比于四層DDoS攻擊偽造報文，CC攻擊通過向受害的服務(wù)器發(fā)送大量請求來耗盡服務(wù)器的資源寶庫CPU、內(nèi)存等。常見的方式是訪問需要服務(wù)器進行數(shù)據(jù)庫查詢的相關(guān)請求，這種情況想服務(wù)器負載以及資源消耗會很快飆升，導(dǎo)致服務(wù)器響應(yīng)變慢甚至不可用。

• Web攻擊

常見的 Web 攻擊包括SQL 注入、跨站腳本攻擊XSS、跨站請求偽造CSRF等。與DDoS和CC以大量報文發(fā)起的攻擊相比，Web 攻擊主要是利用 Web 設(shè)計的漏洞達到攻擊的目標(biāo)。一旦攻擊行為實施成功，要么網(wǎng)站的數(shù)據(jù)庫內(nèi)容泄露，或者網(wǎng)頁被掛馬。數(shù)據(jù)庫內(nèi)容泄露嚴(yán)重影響企業(yè)的數(shù)據(jù)安全，網(wǎng)頁被掛馬會影響企業(yè)網(wǎng)站的安全形象以及被搜索引擎降權(quán)等。

• 惡意爬蟲

根據(jù)阿里云安全中心的報告數(shù)據(jù)顯示，2019年，惡意爬蟲在房產(chǎn)、交通、游戲、電商、資訊論壇等幾個行業(yè)中的占比都超過50%。惡意爬蟲通過去爬取網(wǎng)站核心的內(nèi)容，比如電商的價格信息等，對信息進行竊取，同時也加重服務(wù)器的負擔(dān)。

• 劫持篡改

劫持和篡改比較常見，當(dāng)網(wǎng)站被第三方劫持后，流量會被引流到其他網(wǎng)站上，導(dǎo)致網(wǎng)站的用戶訪問流量減少，用戶流失。同時，對于傳媒、政務(wù)網(wǎng)站來說，內(nèi)容被篡改會引發(fā)極大的政策風(fēng)險。

?

企業(yè)線上業(yè)務(wù)需要構(gòu)建多層次縱深防護

面對愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，為了應(yīng)對以上安全風(fēng)險，企業(yè)在關(guān)注線上業(yè)務(wù)的流暢、穩(wěn)定的同時，也要構(gòu)建多層次縱深防護體系，從各個層面建立響應(yīng)的應(yīng)對措施和防護機制。

在網(wǎng)絡(luò)層，需要進行DDoS攻擊的清洗和處理，當(dāng)造成更嚴(yán)重影響需要通過切換IP以及聯(lián)合黑洞機制去緩解。

在傳輸層，相較于傳統(tǒng)明文傳輸，通過https的支持去進行傳輸層面加密，來避免證書偽造。

在應(yīng)用層，需要進行CC防護、防爬、業(yè)務(wù)防刷的能力部署，防止惡意攻擊者刷帶寬的情況發(fā)生，避免經(jīng)濟和業(yè)務(wù)損失。貼近源站的防護方面，需要部署WAF和防篡改，對源站和內(nèi)容進行防護。

?

?

企業(yè)需要在網(wǎng)絡(luò)層、傳輸層、應(yīng)用層等多層次構(gòu)建防護能力，同時在應(yīng)用層，對于不同場景要有不同防護措施。

?

基于CDN構(gòu)建邊緣安全+高防中心防護安全架構(gòu)

基于對縱深防護的理解，阿里云CDN的安全架構(gòu)是基于CDN分布式節(jié)點實現(xiàn)的邊緣安全防護機制，同時聯(lián)動高防清洗中心進行防護。

如下圖所示，整體安全架構(gòu)第一層防護就是構(gòu)建在全球CDN節(jié)點上，將更多安全能力加強在邊緣節(jié)點上，通過多層次多維度流量數(shù)據(jù)統(tǒng)計和攻擊檢測的能力，包括DDoS、HTTP訪問信息等數(shù)據(jù)匯總到安全大腦，安全大腦再對數(shù)據(jù)進行綜合分析，針對不同層次的攻擊下發(fā)相應(yīng)的動態(tài)防御策略到邊緣節(jié)點。與此同時，邊緣節(jié)點自身也會進行自動防御和清洗。另外，整體安全架構(gòu)將WAF和防篡改能力部署在回源節(jié)點上，對攻擊到達源站之前進行防御。如果源站希望只在CDN服務(wù)之下，不想暴露在公網(wǎng)上，整體架構(gòu)也會基于CDN提供源站高級防護能力，避免源站被惡意掃描者被發(fā)現(xiàn)。

?

?

對于金融、政府等場景，需要具備大流量抗D的能力，CDN有海量邊緣節(jié)點通過自己的調(diào)度和清洗能力把大部分DDoS攻擊給消化掉。當(dāng)一旦出現(xiàn)更嚴(yán)重的DDoS攻擊時，安全大腦會指導(dǎo)智能調(diào)度，將被攻擊的流量切換到高級防護節(jié)點去清洗。

?

阿里云CDN安全架構(gòu)三個核心能力

在以上的CDN安全架構(gòu)基礎(chǔ)之上，趙偉也對DDoS防護智能調(diào)度、Web防護以及機器流量管理三個核心能力進行解讀。

一、DDoS防護智能調(diào)度：邊緣節(jié)點分布式抗D與高防中心大流量抗D聯(lián)動

?

?

DDoS防護智能調(diào)度的策略是，業(yè)務(wù)流量缺省通過CDN分發(fā)，最大程度確保加速效果和用戶體驗，而當(dāng)檢測到大流量 DDoS 攻擊之后，智能調(diào)度會判斷嚴(yán)重程度并決策由高防進行 DDoS清洗，同時根據(jù)攻擊情況進行區(qū)域調(diào)度或全局調(diào)度，而當(dāng)DDoS 攻擊停止后，智能調(diào)度系統(tǒng)會自動決策將高防服務(wù)的業(yè)務(wù)流量調(diào)度回 CDN 邊緣節(jié)點，盡最大可能的保證正常加速效果。

DDoS防護智能調(diào)度最核心就是邊緣加速、智能調(diào)度、T級防護三塊，邊緣加速的基礎(chǔ)上具備充分的DDoS攻擊檢測以及智能調(diào)度的能力，決策什么時候進行高防去清洗，嚴(yán)重的攻擊進入T級防護中心進行清洗。目前方案已經(jīng)在金融行業(yè)、傳媒行業(yè)沉淀了典型客戶。

二、Web防護——八層安全功能，層層過濾惡意請求

Web防護的策略是通過層層過濾，來抵御惡意請求。第一層是精準(zhǔn)訪問控制，指具體對http請求的攔截策略；第二層是區(qū)域封禁，對業(yè)務(wù)無效區(qū)或者異常地域請求進行攔截；第三層IP信譽系統(tǒng)，是利用阿里云多年積累的互聯(lián)網(wǎng)IP大數(shù)據(jù)畫像，對惡意行為進行分類并對IP進行攔截；第四層是黑名單系統(tǒng)，是對某些UA或者IP進行攔截，以上四層都屬于精確攔截；第五層是頻次控制，對相對高頻且訪問異常IP進行攔截；第六層是對于互聯(lián)網(wǎng)機器流量進行管理，阻斷惡意爬蟲；第七第八層是WAF和源站高級防護，對于源站進行更深層次的防護。

?

?

趙偉認為：CDN邊緣節(jié)點是最接近互聯(lián)網(wǎng)用戶的，在所有的訪問請求中，可能有正常用戶的請求，當(dāng)然也會存在爬蟲、注入、跨站的訪問請求，經(jīng)過以上逐層的防護策略，過濾掉相應(yīng)惡意請求，最終可以達到只有正常請求返回源站的效果。

三、機器流量管理——識別互聯(lián)網(wǎng)Bot流量，阻斷惡意爬蟲

機器流量管理部署在邊緣，當(dāng)各種互聯(lián)網(wǎng)訪問進入CDN邊緣節(jié)點之后，機器流量管理系統(tǒng)會提取最原始的Client信息，分析信息計算Client特征值，并與阿里云安全積累的機器流量特征庫進行匹配，最終識別結(jié)果，正常訪問、搜索引擎、商業(yè)爬蟲這些行為是網(wǎng)站期望的行為，會被放行，而惡意爬蟲會被攔截。在處置動作上，機器流量管理相比當(dāng)前常見嵌入在正常頁面中的行為，侵入性有所降低，支持相對平滑的接入。

下圖是一個實際的案例，在執(zhí)行機器流量管理策略的時候，首先會對某域名進行流量分析，左側(cè)圖是針對某域名開啟機器流量分析后，識別出超過 82% 的請求為惡意爬蟲，然后開啟攔截機器流量中的惡意爬蟲流量后，如右側(cè)圖所示，域名峰值帶寬下降超過80%。

?

?

CDN目前已經(jīng)是互聯(lián)網(wǎng)流量的主要入口，把安全能力注入CDN邊緣節(jié)點，為客戶提供一站式安全加速解決方案成為行業(yè)大勢所趨。在發(fā)布會的最后，趙偉分享到：未來，阿里云政企安全加速解決方案將在場景化、便捷化、智能化三個方面深耕，為客戶提供更貼近需求的、更快捷省心的、更智能高效的安全策略，讓CDN可以成為每個企業(yè)在線服務(wù)的第一道防線，來保障企業(yè)應(yīng)用的安全、穩(wěn)定運行。

點擊回顧發(fā)布會詳情

活動福利： 2020年6月30日前，CDN加速10Mbps以內(nèi)帶寬免費試用1個月，30Gbps DDoS防護、高級版WAF試用1周，并贈送一次漏洞掃描服務(wù)，總名額限100個，先到先得。

點擊填寫表單參與活動

答疑釘釘群：34249460

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

總結(jié)

以上是生活随笔為你收集整理的阿里云专家赵伟教你在CDN边缘节点上构建多层纵深防护体系的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。