如何應對邊緣節點的網路攻擊?在 CDN 邊緣節點建立防護系統!

2023/08/28

對不小中小型企業來說,建議要瞭解如何應對邊緣節點的網路攻擊,在CDN邊源節點建立安全的防護系統,讓你可以透過安全的資訊安全防禦措施,避免公司企業網站遭受攻擊,這裡也簡單列出5種不同形式的網路攻擊,讓你一次瞭解如何做好預防的準備。

網路安全環境中常見的5種網路攻擊:

1.DDoS 攻擊 (DDoS Attacks)

分散式阻斷服務攻擊已經有超過 20 年的歷史。這種網路攻擊會使用偽裝的封包直接佔用受害者的上傳頻寬,既簡單又直接。隨著如物聯網 (IoT) 等終端裝置的數量不斷成長,網路攻擊的頻率也越來越頻繁。Alibaba Cloud Security Center 的一份報告指出,100 Gbps 以上的攻擊已屢見不鮮,而 2019 年更盛行高達 500 Gbps 的攻擊。當企業遭受攻擊時,上傳頻寬壅塞,無法接收正常的請求,造成企業的線上服務癱瘓。因此,DDoS 防護是企業需要投入心力應對的一項重要議題。


看更多:企業安全合規5式,做好DDOS防護提升您得網路安全策略!

2.HTTP 洪水攻擊 (HTTP Flood Attack)

與第 4 層 DDoS 攻擊所發動的偽裝封包相較,HTTP 洪水攻擊透過傳送大量的請求,消耗受害伺服器的資源,如 CPU 和記憶體。HTTP 洪水攻擊常見的做法是傳送需要伺服器執行資料庫查詢的請求,因此伺服器的負載與資源消耗量將暴增,導致伺服器回應變慢,甚至造成服務無法使用。

3.網路攻擊 (Web Attacks)

常見的網路攻擊包括 SQL 注入、跨站指令檔 (XSS) 和跨站請求偽裝 (CSRF)。網路攻擊不像 DDoS 和 HTTP 洪水攻擊會傳送大量不必要的請求,而是利用網路設計中既有的漏洞進行攻擊。一旦攻擊得逞,後果可能是目標網站資料庫的內容外洩,或網頁感染特洛伊病毒。資料庫內容外洩可能嚴重影響公司的資料安全性,而網頁感染了特洛伊木馬病毒則會損害公司的安全聲譽,並導致搜尋引擎將網站降級。

4.惡意爬蟲程式 (Malicious Crawlers)

Alibaba Cloud Security Center 發佈的一份報告顯示,2019 年惡意爬蟲程式佔了房地產業、運輸業、遊戲業、電商業和線上論壇攻擊事件的一半以上。惡意爬蟲程式偷竊網站的核心內容,如電商業者的商品價格,並耗損伺服器的資源。

5.劫持攻擊 (Hijacking Attacks)

劫持攻擊十分常見。當網站遭到劫持時,前往該網站的流量會被送到其它網站,造成受害網站的流量和使用者數減少。此外,對媒體和政府網站而言,遭到竄改的內容可能引發重大的政策風險。

如何應對 CDN 邊緣節點上的網路攻擊?

CDN 型邊緣節點安全性 + Anti-DDoS 安全性架構

阿里雲運用多年來在防護領域的豐富專業經驗,推出採用邊緣安全防護機制的 Content Delivery Network (CDN) 安全架構,並結合 Anti-DDoS Scrubbing Center 以提供防護;邊緣安全防護機制是建立在分散的 CDN 節點上。

立即查看:CDN資訊安全服務

圖說:Alibaba Cloud CDN Security Architecture

Alibaba Cloud CDN Security


如上圖所示,在全球 CDN 節點上部署的整個安全架構中,第一層防護為邊緣節點提供了更高的安全性,並藉其多層多面相的流量資料統計資訊與攻擊偵測功能,將 DDoS 和 HTTP 存取流量等資料整合到 Security Brain 以進行全面分析。

防禦政策可動態傳送到邊緣節點,抵禦不同層級的攻擊。同時,邊緣節點也能自動自主防禦和自行清理。此外,整體安全架構在原始節點上部署了 WAF 與竄改防護,在攻擊抵達原始站點前即展開防禦。如果原始站點僅提供 CDN 服務,並未暴露在公有網路中,整體安全架構也會為其提供 CDN 為主的進階防護,避免惡意掃描程式找到該原始站點。

看更多:什麼是多重內容傳遞網路(Multi CDN)?網站停機有哪些原因?

在金融和政府的應用場景中,CDN 擁有大量的邊緣節點,可透過其自行排程和清理功能消化多數的攻擊流量,藉此抵禦高頻寬和高容量的 DDoS 攻擊。當 DDoS 攻擊變得更加凌厲時,Security Brain 會利用智慧排程功能,將攻擊流量傳送到進階的防護節點進行清洗。

三大 Alibaba Cloud CDN 安全架構的核心特色

除了上述的 CDN 安全架構之外,Zhao Wei 還介紹了阿里雲的三大核心功能,包括 Anti-DDoS 智慧排程、網路保護和機器流量管理。

1. Anti-DDoS 智慧排程:多重元件間的協作機制

Anti-DDoS 智慧排程是一種協作機制,負責協調邊緣節點上分散的 Anti-DDoS 防護與高頻寬、高容量的 Anti-DDoS Pro 防護

圖說:Anti-DDoS Intelligent Scheduling

Anti-DDoS Intelligent Scheduling


Anti-DDoS 智慧排程的原則是按預設透過 CDN 傳遞業務流量,以獲得最快的速度以及最佳的使用者體驗。當偵測到高頻寬、高容量的 DDoS 攻擊時,智慧排程功能將判定其安全層級,並透過 Anti-DDoS Pro 清洗 DDoS 攻擊。視攻擊的嚴重程度而定,Anti-DDoS Pro 也可執行本機或全域的排程作業。當 DDoS 攻擊停止後,智慧排程會自動將 Anti-DDoS Pro 服務的業務流量傳回 CDN 邊緣節點,以盡量恢復正常加速。

Anti-DDoS 智慧排程的核心由邊緣加速、智慧排程和 Tbps 級保護三個元件組成。以邊緣加速為基礎部署的充份 DDoS 攻擊偵測加上智慧排程,可判定要透過 Anti-DDoS Pro 或 Tbps 級保護中心清理攻擊流量。這個解決方案已廣為金融業和媒體業的客戶所採用。

2. 網路保護:透過八個安全保護層篩除惡意請求

網路攻擊防護政策必須透過層層篩選,以抵禦惡意的請求。第一層為存取控制,指定對 HTTP 請求的攔截政策。第二層是區域封鎖,攔截來自無效或異常區域的請求。第三層是 IP 信譽系統,可歸類惡意行為並透過阿里雲多年來累計的網際網路 IP 位址大數據資料檔攔截 IP 位址。第四層是黑名單,攔截特定的 UA 或 IP 位址。上述四層都採用精準攔截。第五層是頻率控制,攔截相對異常高頻率的 IP 位址。第六層則管理網際網路上的機器流量,並封鎖惡意的爬蟲程式。第七和第八層為原始站點提供 WAF 與進階防護。

圖說:Web Application Protection

Web Application Protection


在所有存取請求中,有些是正常的使用者請求,有些可能是爬蟲程式,注入程式碼、惡意和跨站的請求。不同的防護層,可濾除惡意的請求,將正常的請求傳回原始站點。

3. 機器流量管理:找出網際網路機器人程式流量並予以封鎖

機器流量管理功能部署於邊緣節點上。當各種網際網路存取進入 CDN 邊緣節點時,機器流量管理先擷取原始用戶端的資訊,分析並計算用戶端的特徵值,再以 Alibaba Cloud Security 多年來建立和維護的機器流量特徵資料庫,與所得結果進行比對和辨識。

正常存取、搜尋引擎和商業爬蟲程式都是預期中且可接受的網站行為,而惡意爬蟲程式則會遭攔截。從應對措施層面看來,機器流量管理比起內嵌在一般網頁中的常見防護措施較不具侵入性,且可提供較流暢的存取。

下圖顯示一個使用案例。首先,實施機器流量管理政策後,前往某網域名稱的流量會受到分析。左方的圓餅圖顯示的場景為,某網域名稱啟用機器流量分析後,發現超過 82% 的請求都來自惡意的爬蟲程式。右方的圖表顯示,啟用機器流量的惡意爬蟲流量攔截功能後,該網域名稱的尖峰頻寬減少了 80% 以上。

圖說:Machine Traffic Management

Machine Traffic Management


CDN 安全防護指南:管理竄改、攻擊和內容

CDN 資源專用,提升企業安全性

CDN 也為數位政府服務與大型企業等具有高度安全需求的情境提供專屬資源群組。

第一點:CDN 可將安全的加速節點實際隔開並獨立建置,其整合不同的安全功能,並提供單一節點、進階的 Anti-DDoS 防護。

第二點:CDN 提供專屬的 IP 資源,保護您的業務運作免於安全威脅,避免單一使用者受到的攻擊影響其他使用者的工作。

第三點:CDN 支援單一使用者對網域獨立進行排程。因此,單一使用者遭受到的 DNS 攻擊不會影響其他使用者。這使得 CDN 可以抵擋數百萬每秒查詢數 (QPS) 的 DNS 洪水攻擊。

看更多:內容傳遞網路(CDN)提供哪些服務?Alibaba Cloud CDN如何?


內容與平台的生產層級安全性

平台內容合規性

阿里雲以人工智慧 (AI) 和大量的樣本組為基礎,利用深度學習技術訓練了一套辨識模型,可以準確辨識出 CDN 加速處理圖像中的色情內容。藉此,阿里雲能根據使用者的需求,提供多層級的辨識,彈性的管理與管控解決方案。CDN 的整體色情內容偵測準確度超過 99%,可取代僅有 90% 準確度的人工審查,並大幅降低違規的風險。

便利且安全

CDN 簡化了安全性加速架構,因此運維人員可以輕鬆地進行一站式、自助服務的配置以及 API 控制。這使得運維人員能夠實施例行的攻擊監控與警示,端對端故障排除,自動防護與即時顯示完整資料日誌。同時,專為大型促銷活動而設計的護航與重大事件回應系統,可協助企業保護應用程式抵禦安全風險並確保系統穩定性。

除了上述技術外,CDN 還獲得了 Classified Protection 2.0 Level-3、ISO 9001、PCI-DSS 和其他認證。其網路安全性、資料安全性以及服務安全性的功能,皆已獲得全球權威機構的肯定。


果核數位是阿里雲通路合作夥伴,前身為遊戲橘子IDC、資安、系統及網路事業部門,目前為遊戲橘子(6180)和三商電腦(2427)等兩家上市公司合資的專業二類電信公司。我們擁有三地機房與國內主要電信業者建立直連網路(Direct Peering),提供7X24全時服務台灣多家頂尖的線上遊戲與數位內容公司。

數十年豐富的資安防禦經驗,有專業團隊強化企業資安,提供進階威脅防護與手機App防護服務。雲端服務則高度整合虛擬與實體機房,以及安全即時內容傳遞,一站式全球服務,提供專業技術支援與顧問建議,評估客戶需求提供最適架構,建置佈署效益最大化。


文章來源:https://www.alibabacloud.com/blog/597999


其他訊息