客户体验和安全稳定是企业的两大核心诉求
阿里云CDN正式商业化至今,已经服务了30万+的全球客户,其中最核心的两类场景就是网站和APP的业务。在这个业务中,客户的核心诉求还是相对集中的,一方面,希望能够给他们的用户提供更优质的体验,需要解决分布于不同运营商网络下的终端用户的跨网访问效率、广泛分布用户的一致性访问体验、中心部署源站成本高昂、突发流量下的弹性扩展以及弱网环境下传输性能等等方面的问题;另一方面,客户希望业务是安全稳定运行,这种稳定就包括了提供SLA可靠性、解决网络DDoS和CC攻击、保护内容不被恶意爬取、劫持、篡改等等。综上所述,用户体验和安全稳定是企业的两大核心诉求。
CDN是企业常用的互联网服务之一,主要提供内容分发服务。CDN能帮助用户缓解互联网网络拥塞、提高互联网业务响应速度、是改善用户业务体验的重要手段。同时,CDN使用反向代理技术,能有效的保护用户源站,避免源站暴露进而遭到黑客的攻击。CDN海量的服务节点天然给用户提供了一定的防护能力,继而获得相应的稳定性提升。默认情况下会用整个CDN大网的网络能力和计算能力,有效的对抗攻击者的攻击。
关于CDN安全的那些误区和问题
前文提到了CDN节点可以为用户提供一定的防护能力,其实在使用CDN过程中会有一些常见的误区,比如:第一个误区是有些用户认为用了CDN之后有效保护源站就不需要额外购买安全服务了,甚至可以使用CDN平台来抵抗攻击;第二个误区是用户认为其用了CDN后无需进行任何额外配置,有攻击CDN自动来抵抗,和其没什么关系,对其没什么影响。
伴随这两种误区就会产生一些问题,比如:第一个问题是当用户遭到DDoS攻击,CDN为保证整体服务质量,会将用户业务切入沙箱,网站业务质量受到较大影响,且影响该域名后续的CDN加速服务质量。第二个问题是当用户遭到刷量型CC攻击,由于请求非常分散,CDN认为是客户正常业务的流量增长,因此尽力提供服务,造成短时间大量带宽突增,客户要为此付出大额账单,造成较大的经济损失。
正确地认识网络攻击
客户业务线上运行过程中,不可避免会遇到网络安全威胁,DDoS攻击是最典型的。DDoS的核心原理是什么?是如何发展演进的? 我们有必要进行详细的了解,以便于更好的在CDN上给予其防护。
DDoS的核心目标是造成业务损失,受害目标无法对外进行服务,进而造成业务损失。其本质是消耗目标系统的资源,具体有2种实现方式:一种叫做拥塞有限的带宽,第二种叫耗尽有限的计算资源。本质上CDN给用户提供的就是这两种资源。一个是分发的带宽资源,第二个是在节点上提供相应的算力,所以攻击本身就是在消耗这个。
其中三类攻击包括:
一、网络流量型攻击
这种攻击会利用到一些协议漏洞,比如UDP、SMP协议,很轻易地构造出过载大报文来堵塞网络入口,这就导致正常请求很难进入。
二、耗尽计算资源型攻击——连接耗尽
最典型的就是网络层CC,利用HTTP协议的三次握手,给服务器发一半的三次握手请求,后续的一些请求不再发了,所以服务器端就会等待,进而占用大量的资源,导致服务器连接资源直接被耗尽,服务不可持续。
三、耗尽计算资源型攻击——应用耗尽
典型是是7层的应用层CC攻击。这种攻击发出的攻击请求,从报文来看,看不出他有非常明显的畸形或有害性,很难去做相应的判断。由于七层CC都是正常的业务请求,同时CDN只是缓存内容,并不了解业务逻辑,同时业务也经常会遇到客户业务突发,当CC攻击时,如果无特殊的错误码异常,从CDN角度来看会和正常的业务上量是一样的,因此也会尽力服务。进而CC攻击会形成突发带宽峰值,进而产生高额账单,因此给客户造成了较大的经济损失。
DDoS攻击的演进
了解到攻击实质之后,再看看整个攻击的演进过程,便于大家更好地了解攻击原理。整个的演进大概分为四个阶段:
第一个阶段:DoS攻击
基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间,由于传统服务器的硬件、服务性能、带宽水平都有限,在这样的流量规模之下,就可以造成服务器的全面瘫痪,甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护,再回到服务器,就可以达到防御目的。同时,也可以对相应的原IP进行封禁。
第二阶段:DDoS攻击
也就是分布式的DoS攻击,它的攻击源就不是单点的服务器,而是一群僵尸网络,黑客通过系统漏洞在网络上抓取大量肉鸡,运用这些肉鸡在不同的网络里去同时发起攻击,造成的带宽规模可能从10Gbps到100Gbps。对这种分布式的僵尸网络攻击形式,通常防御手段就是用多点的大流量清洗中心去做近源的流量压制,之后再把清洁流量注回到服务器。
第三阶段:DRDoS,分布式反射型拒绝服务攻击。
互联网上的肉鸡抓取可能存在困难,但一旦被发现,很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后,会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备,在处理协议的过程中可能会形成一个攻击流量成本的放大,比如请求NTP 10K返回50K,请求的原地址改成目标服务器,所有终端都以为受害主机在请求,所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间,所以对于这种攻击一个是要在很多的协议源头去做流量的阻断,另一个就是还要通过全球化分布式的DDoS进行相应防御。
第四阶段:未来发展
未来,5g、IPv6和IoT技术发展,会导致单位攻击能力翻10倍、公网IP数量指数增长以及潜在肉鸡无处不在,都是我们将要面临的一些风险。所以未来的攻击规模可能会超过2Tbps甚至更高。
河北战旗信息技术有限公司 . 用心服务 . 客户至上 . 服务电话:400-158-3389
本站不仅提供“加速/高防CDN、DDOS防护、CC防护、云加速”,还提供“联通高防服务器、电信高防服务器、BGP高防服务器、海外高防服务器、双线高防服务器、死扛流量服务器”等服务器租用业务,欢迎光临选购!
备案号:冀ICP备17018066号-8