什麼是CDN?CDN的全稱是Content Delivery Network,即內容分發網絡。其基本思路是儘可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節,使內容傳輸的更快、更穩定。簡單地說,CDN 是一個經策略性部署的整體系統,包括分佈式存儲、負載均衡、網絡請求的重定向和內容管理4個要件,而內容管理和全局的網絡流量管理(Traffic Management)是CDN的核心所在。通過用戶就近性和服務器負載的判斷,確保內容以一種極爲高效的方式爲用戶的請求提供服務。目前針對CDN的網絡功擊越來越嚴重,今天墨者安全就來說說CDN容易遭到什麼類型的功擊?
1、動態內容功擊
CDN服務有一個重大漏洞,就是對動態內容請求的處理。由於動態內容並沒有存儲在CDN服務器中,因此所有動態內容請求都會發送到源服務器。功擊者可以利用這種行爲,生成包含HTTP GET請求隨機參數的功擊流量。CDN服務器可以立即將這些功擊流量重定向至源服務器進行請求處理。然而,在很多情況下,源服務器無法處理所有的功擊請求,也無法爲合法用戶提供在線服務,因此就會出現拒絕服務的情況。許多CDN都能夠限制發送到受功擊服務器的動態請求數量。這就意味着,他們無法區分功擊者和合法用戶,速率限制也會攔截合法用戶。
2、基於SSL的功擊
基於SSL的DDoS功擊的功擊目標是安全在線服務。這些功擊容易發起,但是很難緩解,因此成爲了功擊者的最愛。爲了檢測並緩解DDoS SSL功擊,CDN服務器必須首先利用客戶的SSL密鑰解密流量。如果客戶不願意向CDN提供商提供SSL密鑰,SSL功擊流量就會重定向至客戶的源服務器,使得客戶容易受到SSL功擊侵擾。擊中客戶源服務器的SSL功擊可以輕易擊垮安全在線服務。
3、針對非CDN服務的功擊
CDN服務通常只提供給HTTP/S和DNS應用。VoIP、郵件、FTP和專用協議等客戶數據中心的其它在線服務和應用並不是由CDN提供的,因此,流向這些應用的流量並不會通過CDN發送。此外,許多Web應用也不是由CDN提供服務的。功擊者正在利用這一盲點發起不經過CDN發送的針對應用的功擊,並利用可能堵塞客戶互聯網管道的大規模功擊客戶源服務器。一旦互聯網管道被堵塞,客戶源服務器中的所有應用對合法用戶均不可用,包括由CDN提供服務的應用。
4、直接IP功擊
一旦功擊者發起了針對客戶源Web服務器IP地址的直接功擊,即使是由CDN提供服務的應用也會遭受到功擊。這些功擊可能是UDP洪水或ICMP洪水等不經由CDN服務進行傳送的網絡洪水,將直接擊中客戶源服務器。此類大流量網絡功擊可能堵塞互聯網管道,關閉源服務器中的所有應用和在線服務,包括由CDN提供服務的應用或在線服務。通常,數據中心“防護”的錯誤配置可能導致應用直接容易受到功擊侵擾。
5、Web應用功擊
針對Web應用威脅的CDN防護措施的防護水平有限,會將客戶Web應用暴露在數據泄露、數據竊取和其它常見Web應用威脅之下。多數基於CDN的Web應用防火牆的功能也很有限,僅適用於一組基本的預定義特徵碼和規則。許多基於CDN的WAF不能閱讀HTTP參數,不會創建主動安全規則,因此無法防禦零日功擊和已知威脅。對於在WAF中爲Web應用提供優化措施的企業而言,實現這一防護水準所需的成本也是相當高的。
除了上面這五點針對CDN的網絡安全威脅外,大部分的CDN服務安全性不夠高,很多安全配置都需要手動部署,安全防護能力也不夠強。針對這種情況,墨者安全建議使用專業高防產品--墨者盾,提供1T的超大帶寬防護,可以對畸形包進行有效攔截,抵禦SYN Flood、ACK Flood、ICMP Flood、DNS Flood等功擊,通過JS驗證、瀏覽器指紋、ACL等技術抵禦CC功擊,保障企業服務器安全。