当前位置:主页 > 帮助中心 > 技术文档 > 2018-12-06

CDN加速容易受到什么类型的攻击

什么是CDN?CDN是指Content Delivery Network,即内容分发网络。他的设计原理是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。简单地说,CDN 是一个经策略性部署的整体系统,包括分布式存储、负载均衡、网络请求的重定向和内容管理4个要件,而内容管理和全局的网络流量管理(Traffic Management)是CDN的核心所在。通过用户就近性和服务器负载的判断,确保内容以一种极为高效的方式为用户的请求提供服务。目前针对CDN的网络攻击越来越严重,今天维恩网络就来说说CDN容易受到什么类型的攻击?

一、动态内容攻击

CDN服务有一个缺点就是对动态内容请求的处理不能及时更新。由于动态内容并没有存储在CDN服务器中,因此所有动态内容请求都会发送到源服务器。攻击者可以利用这种行为,生成包含HTTP GET请求随机参数的攻击流量。CDN服务器可以立即将这些攻击流量重定向至源服务器进行请求处理。然而,在很多情况下,源服务器无法处理所有的攻击请求,也无法为合法用户提供在线服务,因此就会出现拒绝服务的情况。许多CDN都能够限制发送到受攻击服务器的动态请求数量。

二、基于SSL的攻击

基于SSL的DDoS攻击的攻击目标是安全在线服务。这些攻击容易发起,但是很难缓解,因此成为了攻击者的最爱。为了检测并缓解DDoS SSL攻击,CDN服务器必须首先利用客户的SSL密钥解密流量。如果客户不愿意向CDN提供商提供SSL密钥,SSL攻击流量就会重定向至客户的源服务器,使得客户容易受到SSL攻击侵扰。击中客户源服务器的SSL攻击可以轻易击垮安全在线服务。

三、针对非CDN服务的攻击

CDN服务通常只提供给HTTP/S和DNS应用。VoIP、邮件、FTP和专用协议等客户数据中心的其它在线服务和应用并不是由CDN提供的,因此,流向这些应用的流量并不会通过CDN发送。此外,许多Web应用也不是由CDN提供服务的。攻击者正在利用这一盲点发起不经过CDN发送的针对应用的攻击,并利用可能堵塞客户互联网管道的大规模攻击客户源服务器。一旦互联网管道被堵塞,客户源服务器中的所有应用对合法用户均不可用,包括由CDN提供服务的应用。

四、Web应用攻击

针对Web应用威胁的CDN防护措施的防护水平有限,会将客户Web应用暴露在数据泄露、数据窃取和其它常见Web应用威胁之下。多数基于CDN的Web应用防火墙的功能也很有限,仅适用于一组基本的预定义特征码和规则。许多基于CDN的WAF不能阅读HTTP参数,不会创建主动安全规则,因此无法防御零日攻击和已知威胁。对于在WAF中为Web应用提供优化措施的企业而言,实现这一防护水准所需的成本也是相当高的。

除了上面这几点针对CDN的网络安全威胁外,大部分的CDN服务安全性不够高,很多安全配置都需要手动部署,安全防护能力也不够强。针对这种情况,可以考虑使用维恩网络香港高防服务器,提供1T的超大带宽防护,可以对畸形包进行有效拦截,抵御SYN Flood、ACK Flood、ICMP Flood、DNS Flood等攻击,保障网站服务器安全在线可靠运行。

服务热线

400-678-1356

关注维恩网络