網路攻擊見招拆招?阿里雲高階技術專家趙偉教你在CDN邊緣節點上構建多層縱深防護體系
網路安全態勢嚴峻,常見的五大網路攻擊風險型別
趙偉認為,企業線上服務所面臨的安全風險,主要來自以下五個方面:
- DDoS攻擊
DDoS攻擊型別已有20多年曆史,它攻擊方式簡單直接,透過偽造報文直接擁塞企業上聯頻寬。隨著IoT等終端裝置增多,網路攻擊量也愈發兇猛。根據阿里雲安全中心報告顯示,在2019年,超過100G的攻擊已經比較常見,而且超過 500G 的攻擊也已經成為常態。一旦企業服務面臨這種情況,上聯頻寬被打滿,正常請求無法承接,就會導致企業服務無法正常提供線上服務。因此,防禦DDoS 攻擊依然是企業首先要投入去應對的問題。
- CC攻擊
相比於四層DDoS攻擊偽造報文,CC攻擊透過向受害的伺服器傳送大量請求來耗盡伺服器的資源寶庫CPU、記憶體等。常見的方式是訪問需要伺服器進行資料庫查詢的相關請求,這種情況想伺服器負載以及資源消耗會很快飆升,導致伺服器響應變慢甚至不可用。
- Web攻擊
常見的 Web 攻擊包括SQL 注入、跨站指令碼攻擊XSS、跨站請求偽造CSRF等。與DDoS和CC以大量報文發起的攻擊相比,Web 攻擊主要是利用 Web 設計的漏洞達到攻擊的目標。一旦攻擊行為實施成功,要麼網站的資料庫內容洩露,或者網頁被掛馬。資料庫內容洩露嚴重影響企業的資料安全,網頁被掛馬會影響企業網站的安全形象以及被搜尋引擎降權等。
- 惡意爬蟲
根據阿里雲安全中心的報告資料顯示,2019年,惡意爬蟲在房產、交通、遊戲、電商、資訊論壇等幾個行業中的佔比都超過50%。惡意爬蟲透過去爬取網站核心的內容,比如電商的價格資訊等,對資訊進行竊取,同時也加重伺服器的負擔。
- 劫持篡改
劫持和篡改比較常見,當網站被第三方劫持後,流量會被引流到其他網站上,導致網站的使用者訪問流量減少,使用者流失。同時,對於傳媒、政務網站來說,內容被篡改會引發極大的政策風險。
企業線上業務需要構建多層次縱深防護
面對愈發嚴峻的網路安全態勢,為了應對以上安全風險,企業在關注線上業務的流暢、穩定的同時,也要構建多層次縱深防護體系,從各個層面建立響應的應對措施和防護機制。
- 在網路層,需要進行DDoS攻擊的清洗和處理,當造成更嚴重影響需要透過切換IP以及聯合黑洞機制去緩解。
- 在傳輸層,相較於傳統明文傳輸,透過https的支援去進行傳輸層面加密,來避免證照偽造。
- 在應用層,需要進行CC防護、防爬、業務防刷的能力部署,防止惡意攻擊者刷頻寬的情況發生,避免經濟和業務損失。貼近源站的防護方面,需要部署WAF和防篡改,對源站和內容進行防護。
企業需要在網路層、傳輸層、應用層等多層次構建防護能力,同時在應用層,對於不同場景要有不同防護措施。
基於CDN構建邊緣安全+高防中心防護安全架構
基於對縱深防護的理解,阿里雲CDN的安全架構是基於CDN分散式節點實現的邊緣安全防護機制,同時聯動高防清洗中心進行防護。
如下圖所示,整體安全架構第一層防護就是構建在全球CDN節點上,將更多安全能力加強在邊緣節點上,透過多層次多維度流量資料統計和攻擊檢測的能力,包括DDoS、HTTP訪問資訊等資料彙總到安全大腦,安全大腦再對資料進行綜合分析,針對不同層次的攻擊下發相應的動態防禦策略到邊緣節點。與此同時,邊緣節點自身也會進行自動防禦和清洗。另外,整體安全架構將WAF和防篡改能力部署在回源節點上,對攻擊到達源站之前進行防禦。如果源站希望只在CDN服務之下,不想暴露在公網上,整體架構也會基於CDN提供源站高階防護能力,避免源站被惡意掃描者被發現。
對於金融、政府等場景,需要具備大流量抗D的能力,CDN有海量邊緣節點透過自己的排程和清洗能力把大部分DDoS攻擊給消化掉。當一旦出現更嚴重的DDoS攻擊時,安全大腦會指導智慧排程,將被攻擊的流量切換到高階防護節點去清洗。
阿里雲CDN安全架構三個核心能力
在以上的CDN安全架構基礎之上,趙偉也對DDoS防護智慧排程、Web防護以及機器流量管理三個核心能力進行解讀。
一、DDoS防護智慧排程:邊緣節點分散式抗D與高防中心大流量抗D聯動
DDoS防護智慧排程的策略是,業務流量預設透過CDN分發,最大程度確保加速效果和使用者體驗,而當檢測到大流量 DDoS 攻擊之後,智慧排程會判斷嚴重程度並決策由高防進行 DDoS清洗,同時根據攻擊情況進行區域排程或全域性排程,而當DDoS 攻擊停止後,智慧排程系統會自動決策將高防服務的業務流量排程回 CDN 邊緣節點,盡最大可能的保證正常加速效果。
DDoS防護智慧排程最核心就是邊緣加速、智慧排程、T級防護三塊,邊緣加速的基礎上具備充分的DDoS攻擊檢測以及智慧排程的能力,決策什麼時候進行高防去清洗,嚴重的攻擊進入T級防護中心進行清洗。目前方案已經在金融行業、傳媒行業沉澱了典型客戶。
二、Web防護——八層安全功能,層層過濾惡意請求
Web防護的策略是透過層層過濾,來抵禦惡意請求。第一層是精準訪問控制,指具體對http請求的攔截策略;第二層是區域封禁,對業務無效區或者異常地域請求進行攔截;第三層IP信譽系統,是利用阿里雲多年積累的網際網路IP大資料畫像,對惡意行為進行分類並對IP進行攔截;第四層是黑名單系統,是對某些UA或者IP進行攔截,以上四層都屬於精確攔截;第五層是頻次控制,對相對高頻且訪問異常IP進行攔截;第六層是對於網際網路機器流量進行管理,阻斷惡意爬蟲;第七第八層是WAF和源站高階防護,對於源站進行更深層次的防護。
趙偉認為:CDN邊緣節點是最接近網際網路使用者的,在所有的訪問請求中,可能有正常使用者的請求,當然也會存在爬蟲、注入、跨站的訪問請求,經過以上逐層的防護策略,過濾掉相應惡意請求,最終可以達到只有正常請求返回源站的效果。
三、機器流量管理——識別網際網路Bot流量,阻斷惡意爬蟲
機器流量管理部署在邊緣,當各種網際網路訪問進入CDN邊緣節點之後,機器流量管理系統會提取最原始的Client資訊,分析資訊計算Client特徵值,並與阿里雲安全積累的機器流量特徵庫進行匹配,最終識別結果,正常訪問、搜尋引擎、商業爬蟲這些行為是網站期望的行為,會被放行,而惡意爬蟲會被攔截。在處置動作上,機器流量管理相比當前常見嵌入在正常頁面中的行為,侵入性有所降低,支援相對平滑的接入。
下圖是一個實際的案例,在執行機器流量管理策略的時候,首先會對某域名進行流量分析,左側圖是針對某域名開啟機器流量分析後,識別出超過 82% 的請求為惡意爬蟲,然後開啟攔截機器流量中的惡意爬蟲流量後,如右側圖所示,域名峰值頻寬下降超過80%。
CDN目前已經是網際網路流量的主要入口,把安全能力注入CDN邊緣節點,為客戶提供一站式安全加速解決方案成為行業大勢所趨。在釋出會的最後,趙偉分享到:未來,阿里雲政企安全加速解決方案將在場景化、便捷化、智慧化三個方面深耕,為客戶提供更貼近需求的、更快捷省心的、更智慧高效的安全策略,讓CDN可以成為每個企業線上服務的第一道防線,來保障企業應用的安全、穩定執行。
:
活動福利:
2020年6月30日前,CDN加速10Mbps以內頻寬免費試用1個月,30Gbps DDoS防護、高階版WAF試用1周,並贈送一次漏洞掃描服務,總名額限100個,先到先得。
答疑釘釘群:34249460
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31550522/viewspace-2693280/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網路黑客節慶狂歡趨勢科技見招拆招黑客
- 阿里雲高階技術專家空見: CDN的資料化之路阿里
- 防禦網路攻擊的六大絕招
- Webpack 之常見見招拆招Web
- 知物由學 | 見招拆招,Android應用破解及防護祕籍Android
- IPS主動式防護 多層深層保護企業網路(轉)
- 在邊緣構建智慧網路的未來
- 遊戲伺服器防ddos攻擊,三招搞定ddos攻擊遊戲伺服器
- 杭州州招[中級、高階、資深]前端前端
- 上海趣頭條招資深,高階golangGolang
- 【技術乾貨】聽阿里雲CDN安防技術專家金九講SystemTap使用技巧阿里
- 2022年常見攻擊路徑分析和防護建議
- DNS成網路攻擊重點物件,如何構建立體化域名安全防護體系?DNS物件
- 高防伺服器如何防禦網路攻擊伺服器
- 阿里雲楊敬宇:四層技術構建基於城市場景的邊緣計算阿里
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 如何防禦DDOS攻擊?網路安全技術學多久?
- 秒懂邊緣雲 | 邊緣雲技術進階
- 深耕邊緣計算 揭秘阿里雲邊緣雲網一體化的技術實踐阿里
- 攻擊欺騙防禦技術在網路攻防實戰中的演化
- 無線網路攻擊有哪些?如何防護?
- 網際網路企業安全高階指南讀書筆記之大規模縱深防禦體系設計與實現筆記
- 常見網路攻擊有哪些?如何防禦?
- 【技術乾貨】聽阿里雲CDN安防技術專家金九講tengine+lua開發阿里
- 常見的攻擊方式以及防護策略
- 企業及個人如何有效防護網路攻擊?
- 雲防火牆:防禦企業上雲“億”點網路攻擊防火牆
- 交流分享 | 關基保護綜合防控體系如何構建?天懋資訊一招幫您搞定
- 如何檢測網站被掛馬 安全專家教你3大招徹底防止攻擊網站
- 攻擊面管理預防網路攻擊原理?
- CDN高階技術專家周哲: 深度剖析短影片分發過程中的使用者體驗最佳化技術點
- 駭客攻擊技術之高階SQL隱碼攻擊技術(轉)SQL
- 無線網路攻擊分為幾類?如何防護?
- 網路分流器-網路分流器-DDoS攻擊與防護
- 見招拆招的卡牌遊戲,你也能打贏宮本武藏!遊戲
- ArborNetworks基於應用層防護DDoS攻擊
- 網路釣魚攻擊常見手段及防範措施!
- 盤點:常見UDP反射放大攻擊的型別與防護措施UDP反射型別