為了幫助使用者更好地瞭解和使用CDN產品，CDN應用實踐進階系統課程開課了。12月17日，阿里雲CDN產品專家彭飛線上分享了《正確使用CDN，讓你更好規避安全風險》議題，內容主要包括以下幾個方面：

使用CDN的常見誤區和問題有哪些？
DDoS攻擊是如何一步步演進的？
CDN場景中更有效的防護方式是什麼？
阿里雲CDN邊緣安全體系如何幫助客戶抵禦攻擊？
針對近期潛在安全風險，你可以怎麼做？

客戶體驗和安全穩定是企業的兩大核心訴求

阿里雲CDN正式商業化至今，已經服務了30萬+的全球客戶，其中最核心的兩類場景就是網站和APP的業務。在這個業務中，客戶的核心訴求還是相對集中的，一方面，希望能夠給他們的使用者提供更優質的體驗，需要解決分佈於不同運營商網路下的終端使用者的跨網訪問效率、廣泛分佈使用者的一致性訪問體驗、中心部署源站成本高昂、突發流量下的彈性擴充套件以及弱網環境下傳輸效能等等方面的問題；另一方面，客戶希望業務是安全穩定執行，這種穩定就包括了提供SLA可靠性、解決網路DDoS和CC攻擊、保護內容不被惡意爬取、劫持、篡改等等。綜上所述，使用者體驗和安全穩定是企業的兩大核心訴求。

CDN是企業常用的網際網路服務之一，主要提供內容分發服務。CDN能幫助使用者緩解網際網路網路擁塞、提高網際網路業務響應速度、是改善使用者業務體驗的重要手段。同時，CDN使用反向代理技術，能有效的保護使用者源站，避免源站暴露進而遭到駭客的攻擊。CDN海量的服務節點天然給使用者提供了一定的防護能力，繼而獲得相應的穩定性提升。預設情況下會用整個CDN大網的網路能力和計算能力，有效的對抗攻擊者的攻擊。

關於CDN安全的那些誤區和問題

前文提到了CDN節點可以為使用者提供一定的防護能力，其實在使用CDN過程中會有一些常見的誤區，比如：第一個誤區是有些使用者認為用了CDN之後有效保護源站就不需要額外購買安全服務了，甚至可以使用CDN平臺來抵抗攻擊；第二個誤區是使用者認為其用了CDN後無需進行任何額外配置，有攻擊CDN自動來抵抗，和其沒什麼關係，對其沒什麼影響。

伴隨這兩種誤區就會產生一些問題，比如：第一個問題是當使用者遭到DDoS攻擊，CDN為保證整體服務質量，會將使用者業務切入沙箱，網站業務質量受到較大影響，且影響該域名後續的CDN加速服務質量。第二個問題是當使用者遭到刷量型CC攻擊，由於請求非常分散，CDN認為是客戶正常業務的流量增長，因此盡力提供服務，造成短時間大量頻寬突增，客戶要為此付出大額賬單，造成較大的經濟損失。

正確地認識網路攻擊

客戶業務線上執行過程中，不可避免會遇到網路安全威脅，DDoS攻擊是最典型的。DDoS的核心原理是什麼？是如何發展演進的？我們有必要進行詳細的瞭解，以便於更好的在CDN上給與其防護。

DDoS的核心目標是造成業務損失，受害目標無法對外進行服務，進而造成業務損失。其本質是消耗目標系統的資源，具體有2種實現方式：一種叫做擁塞有限的頻寬，第二種叫耗盡有限的計算資源。本質上CDN給使用者提供的就是這兩種資源。一個是分發的頻寬資源，第二個是在節點上提供相應的算力，所以攻擊本身就是在消耗這個。

其中三類攻擊包括：

一、網路流量型攻擊
這種攻擊會利用到一些協議漏洞，比如UDP、SMP協議，很輕易地構造出過載大報文來堵塞網路入口，這就導致正常請求很難進入。

二、耗盡計算資源型攻擊——連線耗盡

最典型的就是網路層CC，利用HTTP協議的三次握手，給伺服器發一半的三次握手請求，後續的一些請求不再發了，所以伺服器端就會等待，進而佔用大量的資源，導致伺服器連線資源直接被耗盡，服務不可持續。

三、耗盡計算資源型攻擊——應用耗盡

典型是是7層的應用層CC攻擊。這種攻擊發出的攻擊請求，從報文來看，看不出他有非常明顯的畸形或有害性，很難去做相應的判斷。由於七層CC都是正常的業務請求，同時CDN只是快取內容，並不瞭解業務邏輯，同時業務也經常會遇到客戶業務突發，當CC攻擊時，如果無特殊的錯誤碼異常，從CDN角度來看會和正常的業務上量是一樣的，因此也會盡力服務。進而CC攻擊會形成突發頻寬峰值，進而產生高額賬單，因此給客戶造成了較大的經濟損失。

DDoS攻擊的演進

瞭解到攻擊實質之後，再看看整個攻擊的演進過程，便於大家更好地瞭解攻擊原理。整個的演進大概分為四個階段：

第一個階段：DoS攻擊

基於一個單點的伺服器進行攻擊流量的傳送。這時流量規模在500Mbps到10Gbps之間，由於傳統伺服器的硬體、服務效能、頻寬水平都有限，在這樣的流量規模之下，就可以造成伺服器的全面癱瘓，甚至終止。透過對傳統硬體裝置直接進行流量清洗的單點防護，再回到伺服器，就可以達到防禦目的。同時，也可以對相應的原IP進行封禁。

第二階段：DDoS攻擊

也就是分散式的DoS攻擊，它的攻擊源就不是單點的伺服器，而是一群殭屍網路，駭客透過系統漏洞在網路上抓取大量肉雞，運用這些肉雞在不同的網路裡去同時發起攻擊，造成的頻寬規模可能從10Gbps到100Gbps。對這種分散式的殭屍網路攻擊形式，通常防禦手段就是用多點的大流量清洗中心去做近源的流量壓制，之後再把清潔流量注回到伺服器。

第三階段：DRDoS，分散式反射型拒絕服務攻擊。

網際網路上的肉雞抓取可能存在困難，但一旦被發現，很快這個週期就會丟失掉。所以這些殭屍網路在控制一定的這個週期數量後，會透過反射的機制向目標主體進行攻擊。反射的主要機制是網際網路上公共的真實存在的裝置，在處理協議的過程中可能會形成一個攻擊流量成本的放大，比如請求NTP 10K返回50K，請求的原地址改成目標伺服器，所有終端都以為受害主機在請求，所有請求都會回到受害主機。整個流量可能會從100Gbps到2Tbps之間，所以對於這種攻擊一個是要在很多的協議源頭去做流量的阻斷，另一個就是還要透過全球化分散式的DDoS進行相應防禦。

第四階段：未來發展

未來，5g、IPv6和IoT技術發展，會導致單位攻擊能力翻10倍、公網IP數量指數增長以及潛在肉雞無處不在，都是我們將要面臨的一些風險。所以未來的攻擊規模可能會超過2Tbps甚至更高。

CDN場景中應該怎麼去更加有效的防護？

沿著以上兩個核心場景來看，一個是擁塞頻寬，一個是耗盡資源。

對於擁塞有限頻寬入口這類攻擊，本質上要在流量上Hold住。CDN天然具有豐富的節點資源，使用分散式的網路將攻擊分散到不同的邊緣節點，同時在近源清洗後返回服務端。

對於耗盡有限資源資源這類攻擊，本質上要做到攻擊的快速可見，並且能夠把相應特徵進行阻斷。單純依靠CDN不能特別有效的解決問題，需要透過CDN節點上的配置，完成智慧精準檢測DDoS攻擊，並自動化排程攻擊到DDoS高防進行流量清洗。這時候需要使用者購買高防抗DDoS的產品。

本質上標準的CDN仍然是一個內容分發產品，不是安全產品，也沒有承諾安全方面的SLA，因此，如果使用者需要更加專業的安全服務，還是需要選擇雲安全的DDoS等產品，形成多級的安全防護體系，來更加有效的進行風險防禦。

那麼，具體阿里雲CDN結合雲安全的產品之後，能夠提供怎樣的安全防護體系呢？

政企安全加速解決方案是一套基於基於阿里雲CDN構建的邊緣安全體系，核心能力是加速，但又不止於加速。加速是整體方案的基礎，依託於阿里雲全站加速平臺，透過自動化動靜分離，智慧路由選路，私有協議傳輸等核心技術，提升靜動態混合站點的全站加速效果。在加速基礎之上，為客戶提供WAF應用層安全、DDoS網路層安全、內容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規 6大方面安全能力，從客戶業務流量進入CDN產品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業網際網路業務的安全加速。

CDN邊緣安全——網路層與應用層雙重安全

一、網路層

銀行，證券，保險等金融行業的業務線上化已經成為常見的業務辦理模式，客戶的金融網銀，網上業務辦理業務，一般情況下Web攻擊較多，遭遇DDoS網路攻擊的場景並不常見，但一旦發生DDoS攻擊，企業核心網際網路業務就面臨癱瘓風險，將會嚴重影響企業品牌，產生重大資損。因此一般情況銀行客戶都在源站側部署DDoS防護能力，同時在CDN邊緣分發側，也希望CDN能利用大量分散式的節點優勢，提供邊緣DDoS防護能力，在邊緣檢測DDoS攻擊並實現攻擊阻斷，保護源站不受到攻擊衝擊。最終實現，無攻擊CDN分發，有攻擊DDoS防護。

在CDN的邊緣節點具備基礎的抗D的防護能力。如果使用者當前的攻擊流量比較高，達到了使用者設定的閾值之後，就可以自動化的檢測到當前的攻擊的流量，並且透過智慧排程的方式，將當前惡意的請求全部解析到高防的IP。高防IP的產品去做流量的攻擊檢測，以及攻擊的清洗防護，整個過程是自動化實現。

整個業務流程是：

•客戶需要分別開通CDN和DDoS高防產品，並將域名配置在兩個產品中，其次，將高防側生成的排程CNAME在CDN側進行聯動配置。配置後即可實現無攻擊CDN分發，有攻擊DDoS防護的效果
•在遇到攻擊時，首先，自動化丟棄非80|443埠非正常流量，第二，CDN會智慧識別網路層攻擊行為，精準，實時將DDoS攻擊區域流量切換到高防服務，整個過程完全自動化，無需使用者介入；第三，在高防側使用者可以享受最高超過1T的DDoS防護和清理能力，以及超過250W QPS的防護能力
•當攻擊結束後，CDN將自動將流量重新排程回CDN網路，實現正常業務分發

如上就能夠完整平滑的實現CDN與高防的聯動，實現無攻擊CDN分發，有攻擊DDoS防護。

二、應用層

零售客戶透過線上電商進行產品宣傳和售賣已經成為一種常見的銷售模式，無論是企業官網，電商平臺，運營活動頁面，只要是面向網際網路業務無可避免的，經常經常遭遇Web，CC，刷量攻擊，對客戶體驗，穩定性產生較大影響。客戶在源站部署WAF能力，保護源站。同樣，在CDN分發側，希望在雲端進行Web安全防護。客戶會優先開啟觀察模式，在雲端感知到網路攻擊風險，然後，逐步灰度源站策略，實現多級防護結構，保證源站安全。

阿里雲CDN團隊與雲安全團隊合作，將沉澱多年的雲WAF能力，注入到CDN邊緣節點，實現WEB攻擊的邊緣安全防護。

大家都知道，CDN產品一般由2層節點構成多級分發體系，邊緣節點更靠近客戶，回源上層節點與源站互動獲取源站內容，回源節點和邊緣節點之間形成多級快取，提升命中率。當前，雲WAF能力已經注入到CDN回源節點，針對動態回源請求，防護OWASP Top10威脅，例如：SQL隱碼攻擊，XSS跨站等常見Web攻擊；同時客戶還能享受到0 DAY漏洞更新能力，24小時內提供高危漏洞虛擬補訂防護。

然而僅能解決回源防護就足夠了嗎？如果出現惡意刷量，惡意爬取，大檔案CC攻擊場景，僅會對CDN邊緣節點產生影響，請求不經過L2，會產生大量下行頻寬，極大提升客戶的頻寬成本。所以，CDN在邊緣節點提供頻次控制，機器流量管理能力。透過頻次控制能力，使用者可以自定義防護規則，有效識別異常的高頻訪問，邊緣抵禦CC攻擊。透過機器流量管理能力，識別惡意爬蟲軟體等機器流量，有效降低下行頻寬，節約成本。

透過以上兩層能力，CDN可以為使用者提供較為立體的應用層防護能力。

CDN應用進階 | 正確使用CDN 讓你更好規避安全風險