當前�����,許多企業都意識到DDoS防御對維護非凡客戶體驗而言至關重要���。這是為什么呢���?因為網絡攻擊對加載時間或最終用戶體驗的影響遠超過其他因素�����,網絡攻擊是應用性能的無癥狀殺手��。
作為向最終用戶提供高可用和高性能內容的經銷商���,CDN是客戶體驗的關鍵�����。然而���,CDN網絡中的新漏洞也讓很多人想知道CDN本身是否容易遭受到各類攻擊侵擾��,如:循環攻擊����。
那么CDN容易遭受到什么類型的攻擊呢��?以下是會危及到CDN的5大威脅����,企業必須對這些威脅有所防范����。
盲點1:動態內容攻擊
攻擊者了解到���,CDN服務中的重大盲點是對動態內容請求的處理�。由于動態內容并沒有存儲在CDN服務器中�,因此所有動態內容請求都會發送到源服務器��。攻擊者可以利用這種行為�,生成包含HTTP GET請求隨機參數的攻擊流量����。CDN服務器可以立即將這些攻擊流量重定向至源服務器進行請求處理�。然而�,在很多情況下�,源服務器無法處理所有的攻擊請求���,也無法為合法用戶提供在線服務��,因此就會出現拒絕服務的情況�。
許多CDN都能夠限制發送到受攻擊服務器的動態請求數量�。這就意味著���,他們無法區分攻擊者和合法用戶�����,速率限制也會攔截合法用戶�����。
盲點2:基于SSL的攻擊
基于SSL的DDoS攻擊的攻擊目標是安全在線服務����。這些攻擊容易發起���,但是很難緩解��,因此成為了攻擊者的最愛�。為了檢測并緩解DDoS SSL攻擊�����,CDN服務器必須首先利用客戶的SSL密鑰解密流量�。如果客戶不愿意向CDN提供商提供SSL密鑰��,SSL攻擊流量就會重定向至客戶的源服務器��,使得客戶容易受到SSL攻擊侵擾���。擊中客戶源服務器的SSL攻擊可以輕易擊垮安全在線服務����。
在涉及到WAF技術的DDoS攻擊中��,CDN網絡在可擴展性能的每秒SSL連接數方面還有一個明顯劣勢����,并可能出現嚴重的延遲問題��。
PCI和其它安全合規性也是一個問題���,有時候會限制數據中心為客戶提供服務的能力�,這是因為并不是所有的CDN都具備跨所有數據中心的PCI合規性���。這可能再次增加延遲并引發審計問題�����。
盲點3:針對非CDN服務的攻擊
CDN服務通常只提供給HTTP/S和DNS應用����。VoIP��、郵件����、FTP和專用協議等客戶數據中心的其它在線服務和應用并不是由CDN提供的�,因此�,流向這些應用的流量并不會通過CDN發送���。此外���,許多Web應用也不是由CDN提供服務的�����。攻擊者正在利用這一盲點發起不經過CDN發送的針對應用的攻擊��,并利用可能堵塞客戶互聯網管道大規模攻擊客戶源服務器��。一旦互聯網管道被堵塞�,客戶源服務器中的所有應用對合法用戶均不可用�����,包括由CDN提供服務的應用�����。
盲點4:直接IP攻擊
一旦攻擊者發起了針對客戶源Web服務器IP地址的直接攻擊��,即使是由CDN提供服務的應用也會遭受到攻擊�。這些攻擊可能是UDP洪水或ICMP洪水等不經由CDN服務進行傳送的網絡洪水�����,將直接擊中客戶源服務器���。此類大流量網絡攻擊可能堵塞互聯網管道�,關閉源服務器中的所有應用和在線服務��,包括由CDN提供服務的應用或在線服務�����。通常�,數據中心“防護”的錯誤配置可能導致應用直接容易受到攻擊侵擾�����。
盲點5:Web應用攻擊
針對Web應用威脅的CDN防護措施的防護水平有限�����,會將客戶Web應用暴露在數據泄露�����、數據竊取和其它常見Web應用威脅之下�。多數基于CDN的Web應用防火墻的功能也很有限�����,僅適用于一組基本的預定義特征碼和規則����。許多基于CDN的WAF不能閱讀HTTP參數��,不會創建主動安全規則���,因此無法防御零日攻擊和已知威脅���。對于在WAF中為Web應用提供優化措施的企業而言��,實現這一防護水準所需的成本也是相當高的�。
除了之前已確認的重大盲點外����,多數CDN安全服務都不夠敏感����,因此可能需要數小時的手動部署才能將安全配置覆蓋到所有網絡服務器�����。安全服務正在使用速率限制等過時的技術�,該技術在上個攻擊活動中已被證實效率較低��,缺乏網絡行文分析��、質詢-應答機制等功能����。
