CDN日志实时分析解决方案 免费内测正式开放。 想对该解决方案有更深入的了解吗? 看小编分解↓↓↓ 快速了解CDN日志实时分析解决方案 方案简介 通过对CDN访问日志(标准直播LVB、云点播VOD、内容分发网络CDN)的实时采集与推送,实现对日志数据的快速分析与检索。 丰富的分析报表 提供多种分析报表,深入了解CDN访问质量与实时数据情况,挖掘日志数据价值。 ? 自定义检索 打通日志服务(CLS),实现自定义检索日志信息,帮助企业快速定位与自由查询。 方案架构 ? 接入日志服务(CLS),直接使用CLS的检索功能。 应用场景 ? 活动直播 对大型活动期间的CDN质量进行实时监控,及时发现和定位问题 ? 日常监控 CDN质量日常运维监控,多角度报表分析 ? 检索功能能够支持多种语法,方便您能快速检索详细日志数据。 ? ? ? 点击“阅读原文” 申请免费内测
2) 检查源站,查看网站是否可以正常登录-》源站功能正常,排除源站功能问题绑定源站直接访问的时候可以看到无论是http协议还是https协议的,都能正常返回对应的图片。 那么源站这个301跳转和之前cdn返回的423locked 有没有什么关系呢?423错误码的意思是CDN 检测到有回环请,哪里造成了回环请求呢? 让我们来看下客户的配置。 3) 检查客户回源配置 发现客户同时开启 协议跟随回源 回源跟随301302image.pngimage.png结合上面源站测试结果,源站是做了http到https的强制跳转,把整个访问流程用下图描述并分析 方式、会继续以http方式回源站,整过程简化为:http->https->http, 因此造成回环请求,CDN检测到回环请求以后返回给客户端423image.png从上述分析可以看到, 正式由于源站设置了 解决方案对于此case,如果源站设置了https强制跳转,可以通过如下2种方法解决:方法1:关闭回源跟随301302方法2:开启https回源小结这里我们可以看到,CDN加速网站输入账号密码点登陆无反应这种类似的案例一般也可以先检查一下是否有类似的设置
一键接入,全球加速!提供全球范围内快速、稳定、智能、安全的内容加速服务,支持图片、音视频等多元内容分发
2) 检查源站,查看网站是否可以正常登录-》源站功能正常,排除源站功能问题绑定源站直接访问的时候可以看到无论是http协议还是https协议的,都能正常返回对应的图片。 那么源站这个301跳转和之前cdn返回的423locked 有没有什么关系呢?423错误码的意思是CDN 检测到有回环请,哪里造成了回环请求呢? 让我们来看下客户的配置。 3) 检查客户回源配置 发现客户同时开启了协议跟随回源回源跟随301302image.pngimage.png 结合上面源站测试结果,源站是做了http到https的强制跳转,把整个访问流程用下图描述并分析 方式、会继续以http方式回源站,整过程简化为:http->https->http, 因此造成回环请求,CDN检测到回环请求以后返回给客户端423. image.png 从上述分析可以看到, 正式由于源站设置了 解决方案对于此case,如果源站设置了https强制跳转,可以通过如下2种方法解决:方法1:关闭回源跟随301302方法2:开启https回源小结这里我们可以看到,CDN加速网站输入账号密码点登陆无反应这种类似的案例一般也可以先检查一下是否有类似的设置
最近明月为了使用 SSL 的 TLSv1.3 已经将 CDN 切换到又拍云 CDN 了,因为又拍云 CDN 已经全面支持 TLSv1.3 了,这么高大上的 CDN 明月没有理由不尝鲜支持的了。 可是在通过又拍云的 HTTPS 安全检测的时候竟然出现了红色的“不合规”提示(如下图所示),很明显这不科学呀!PCI DSS 是个什么东东?为啥就不合规了呢?? 看到这里大家应该就明白了,所谓的 PCI DSS(第三方支付行业数据安全标准)“不合规”的提示,应该算是 HTTPS 安全检测 (其实就是MySSL.com)工具提前调整了 PCI DSS 合规判定标准 完成上述操作后再次检测就不会再有 PCI DSS 不合规的提示了,明月实测的时候也不知道是因为 CDN 缓存的原因还是啥原因,依然会显示 PCI DSS 不合规,不管了,反正只要是禁用了 TLSv1.0 最新检测截图,不同 CDN 节点呈现的检测结果会有不同,看来真的是缓存原因
很多大型网站都会利用加速技术来为用户访问提供更好的服务,但加速技术通常在搭建完成后需要对其进行系统的测试,确保其功能的正常,那么cdn测试是什么?Cdn测试的目的又有哪些呢? 不过CDN的性能通常在建设完成后,都需要进行细致的测试,以确保其能够按照预计为用户提供服务,这项测试通常都是由网站开发工程师来进行。 cdn测试的目的 cdn测试是什么? Cdn测试是为了确保网站加速技术能够正常使用而进行的。 一般来说cdn测试测试的目的,是为了保证cdn服务器能够正常的运行,通常进行cdn测试时首先需要确定访问网站的速度第一次和第二次有没有明显的差异,此外在下载文件时如果去除文件后面的字符下载速度是否会受到影响 cdn测试是什么?Cdn测试一般都是在cdn服务器出现问题后进行的,通过测试可以让网站开发工程师更好的了解问题出现在哪里,从而为其提供全面的修复,从而保证用户在上网浏览时的速度能够得到有效的保障。
随着如今黑客攻击手段不断的提升,关于服务器防护DDOS问题越来越重视,高防CDN就是备受大家关注的服务类型的其中一种。CDN主要作用是访问加速层面,但是它也具备了一定的防御功能。 网络犯罪者不断改变他们的攻击策略,因此企业在攻击发生之前检测并阻止非常重要。主动策略通常涉及风险评估,以及在遭受攻击前,完成对易受攻击点的保护。高防CDN是在CDN的基础上配备了防护ddos功能。 广泛分布的高防CDN节点加上节点之间的智能冗余机制,可以有效地预防黑客入侵以及降低各种DDoS攻击对网站的影响,同时保证较好的服务质量。 使用高防CDN主要有以下优势:1、统计、监控流量,检测攻击支持CDN实时流量统计,用户可查看域名当前状态,自动识别DDoS攻击,智能调度双重攻击检测,流量过大自动调度至防护DDoS清洗节点,稳定护航业务 3、防御CC攻击、DDOS攻击应用自主研发的多层级防护DDoS体系,通过智能HTTP异常过滤检测,针对链接数和特别目标进行限制,结合CC防御系统自动分析、实时交互规则,保障HTTP连接的有效传输,有效防御流量型和应用层攻击
的Access-Control-Allow-Origin为不同的,目的是测试的时候用于区分。 在某些添加下跨域请求会执行简单请求,不做预检检查,所以我们分别将OPTIONS和跨域行为使用curl的方式来模拟浏览器行为测试跨域的详细原理可以参考:https:developer.mozilla.orgzh-CNdocsWebHTTPAccess_control_CORS 正常场景1:针对于模拟正常的跨域请求,我们测试OPTIONS和GET请求如下image.png同时,也存在一些由于设置问题导致报错的场景。 (修改CDN源站,业务请求地址)场景6:在CDN和COS设置的跨域响应头不同是,同时又开启了CDN的缓存源站所有响应头开关后,发起GET请求。 当第二次请求缓存内容时,CDN会处理缓存的COS内容,同时将Access-Control-Allow-Origin修改为CDN的响应头:https:cdn.comimage.png----一下是上述测试的横向对比
等等----问题排查思路:1、确定解析是否正确看下接入域名的解析是否在腾讯云的CDN上,如果没有在腾讯云的CDN的cname记录值上,那么可以自己排查下访问问题了,此时相当于没有使用腾讯云cdn;www.kkdu.net.cn 1.1.1.1windows修改hosts文件绑定节点image.pngimage.png C:WindowsSystem32driversetchosts如果这里源站访问没有报错,没有超时现象(这里都可以进行测试 1.1.1.1:80重点关注如下两个字段(必须一致):HTTP1.1 206 OKContent-Length: 4如果支持继续看下下面补充,如果不支持关闭此配置之后重新核实访问----持续补充:1.检查源站是否配置了证书 ,访问强跳了https协议A:是,cdn配置证书,回源方式选择协议跟随。 2.源站进行访问首页是否存在多次页面跳转A:是,检查cdn上是否配置:回源跟随301302配置,可以关闭测试访问
IDS和IPS概述IDS(intrusion detection system)入侵检测系统,旁路检测设备,工作在网络层,并行接在内网所需防护设备的链路上,通过抓取流量分析数据包,匹配规则库检测到恶意数据进行报警处理 大多数防火墙和入侵检测设备对DNS流量是放行的,能有一定效果的绕过入侵检测设备和防火墙的检测。由于dns传输的过程会经过很多dns节点服务器,所以传输速度会相对较慢。 Domain FrontingDomain Fronting,中文译名 “域前置” 或 “域名前置”,用于隐藏服务器真实ip并伪装成高信誉域名与目标通讯,来规避IDS的流量检测,Domain Fronting 的核心技术是 CDN。 CDN请求机制:如果有多台设备使用同一个cdn服务器,那么服务器就可以通过host头去寻找指定的真实服务器。同一个cdn服务器下不存在多个ip绑定一个域名,绑定同样的域名会有错误提示。
0x02:CDN配置方法1、将域名的NS记录指向CDN厂商提供的DNS服务器。2、给域名设置一个cname记录,将它指向CDN厂商提供的另一个域名。 0x03:CDN检测方法利用“全球Ping”快速检测目标网址是否存在CDN,如果得到的IP归属地是某CDN服务商,或者每个地区得到的IP地址都不一样则说明可能存在CDN,可用以下几个网站检测! 注:全球Ping有一定机率可以得到目标服务器真实IP地址,因为CDN服务商没有某些地区CDN节点。 (10) 通过社工CDN控制台找到真实IP(11) Zmap全网扫描及F5 LTM解码法这两种方法都是前辈们写的,个人感觉较为复杂,并没有实践测试过,不知道是否真可行? 笔者曾经在一次渗透测试过程中也遇到过类似情况,就是成功绑定了真实IP后,虽然能够正常访问到目标网站,但是仍然没有绕过云WAF,具体情况有点记不太清了,当时没有去细研究这个问题!
0x00 验证CDN站点如何验证站点是否存在CDN最简单的办法如下:方法一:描述: 使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN,多地 Ping 网站有:http :ping.chinaz.comhttp:ping.aizhan.comhttp:ce.cloud.360.cn方法二:描述:使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 方法三:描述: 一般做了CDN的网站会有CNAME域名解析记录,我们可以使用各种工具帮助检测目标网站是否使用了CDN可以参见如下网站http:www.cdnplanet.comtoolscdnfinderhttp 13.根据HTML代码进行搜索友推荐一个新的IOT搜索引擎,跟前面提到的两个相似,叫FOFA 钟馗之眼,这个东西优点是支持HTML源代码检索;https:fofa.so#搜索CND网站的关键字 title 监控双向进出的流量、甚至修改、替换、删除、注入报文,通信的双方都可能无法检测到报文已经被恶意篡改的事实。
其实CDN技术本身就是对用户dns劫持,只是这种劫持是良性的友好的是为用户提供帮助的,那么cdn被劫持怎么办?如何避免cdn劫持? 其实CDN技术本身就是对用户dns劫持,只是这种劫持是良性的友好的是为用户提供帮助的,那么cdn被劫持怎么办?如何避免cdn劫持? 目前避免cdn被劫持cdn被劫持怎么办的方法主要有通过对http进行加密,这样http的内容在被传输中可以让黑客无法检测所传输的内容,从而有效的避免出现cdn被劫持的问题。至于cdn被劫持怎么办? cdn被劫持怎么办?Cdn被劫持后用户所访问的网站内容将会被偷换,严重时会造成经济上的损失,因此一旦遇到cdn被劫持的问题,就应当尽快对电脑进行病毒查杀处理,确保将造成cdn劫持的恶意程序彻底消灭。 目前避免cdn被劫持cdn被劫持怎么办的方法主要有通过对http进行加密,这样http的内容在被传输中可以让黑客无法检测所传输的内容,从而有效的避免出现cdn被劫持的问题。至于cdn被劫持怎么办?
我们常常说性能测试,但通常我们只关注后端性能,那么前端性能怎么测试呢?今天就介绍一个WEB前端性能分析工具WebPageTest。 可以运行简单的测试或执行高级测试,包括多步骤事务、视频捕获、内容阻塞等等。还将依据测试结果提供丰富的诊断信息,包括资源加载瀑布图,页面速度优化检查和改进建议,会给每一项内容一个最终的评级。 当过期时间设置小于30天,将评定为警告Use A CDN适用对象:所有静态的非HTML内容(css, js 以及图片)检查内容:检查是否托管在一个已知的CDN上(CName映射到一个已知的CDN网络上) .超过整体页面80%为静态资源时,则需要考虑使用CDN,将静态资源托管在CDN上,你可以从这里知道当前已知的CDN用一个例子来看WebPageTest的具体分析数据 使用很简单,数据分析也不需要给出更多说明 说明:左上角是你设置的测试信息,右上角是最终的各项分析的评级,提供了原始数据下载,有具体的数据分析,有测试网页的截图以及测试视频回放。各种详细的数据还可以点击链接进去查看。
CDN侧改造:CDN源站转换工具集成了sharpP组件,CDN的OC结点新增支持 sharpP副本的缓存,整体流程大致如下: 客户端发起请求后,OC结点根据请求UA检查Accept字段是否带有imagesharpp 整体方案:结合之前我们做的自适应、webP方案,与sharpP可以完全兼容,在CDN源站是3项单独的配置,可以按需配合或单独使用,整体方案如下图 优先判断是否有自适应,然后检查sharpP,如果sharpP 4.图片检测监控 1)为了提高接入效率,减少人工验证步骤,我们开发了图片检测监控工具,定时监控业务页面图片在各OC结点返回是否正常。 5.sharpP开启验证 上传一张新图片,使用手Q安卓版本访问已支持sharpP域名的CDN图片,如果请求带了Accept:imagesharpp,检查返回图片格式是否为sharpP。 文章来源公众号:小时光茶社(Tech Teahouse) 相关推荐 谷歌开源图片压缩算法Guetzli实测体验报告 借助腾讯云CDN开启全站https及问题解决分享
另外UDP也经常被忽视,无论是防火墙的限制规则还是网络入侵检测系统,缺乏拦截和检测。左下两个图是普通的反弹shell,可以看到是明文内容,为了躲避流量内容检查,攻击者还常进行加密,由右边俩图。 从文件落地到JAVA内存马,从BS架构的内容明文通讯到CS架构的内容加密通讯,无论是对抗主机层检测还是对抗流量层检测,隐蔽性都是大大提高的,从右边的演示图可以看到请求的文件在服务器上是不存在的,流量也是加密的 很难缓解和检测,如果直接封禁,会影响使用,如果不封禁,通讯是加密的,很起来跟正常访问没有什么区别,不好检测。 如果有条件自主研发安全检测策略,那么可以深入分析各类木马通讯实现特性,针对性补齐检测规则,不管是DNS、ICMP,还是HTTP、CDN通讯,大部分还是有一些特征的。 然后还可以尝试使用AI做流量检测,非白即黑,当然真正落地难度是很大的。仅依靠流量检测肯定是不行的,还需要构建纵深检测体系,包括主机异常行为,内网横移行为、数据外传行为等,端点安全检测是很重要的。
案例背景: cdn节点测试访问异常,出现空响应,直接访问源站正常,这里看起来像是节点出现异常。问题描述: 通过cdn节点访问出现rst,绑定源站访问正常。 2.绑定节点测试可以复现,绑定节点测试两种方法: 1)在windows上C:WindowsSystem32driversetchosts文件: image.png 在浏览器上直接访问域名资源。 rst导致回源失败,从而cdn节点访问失败。 解决方案: 可以通过接口拿到cdn侧回源层ip,检查下源站是否对这些回源层ip有封堵。 https:cloud.tencent.comdocumentproduct22841954 使用API Explorer在线调用:image.pngimage.png总结: 这里遇到有访问失败的问题,也可以检查下源站是否有限制或者
导语:一般网站会使用cdn防御,我们访问时会经过cdn再经过源站服务器,这样我们进行渗透测试很容易被拦截,我们的思路是这样的,通过找到源站ip之后,把IP添加到hosts文件里面去;你访问网站返回的就是真实 IP了,这样我们再进行测试,就会少很多麻烦。 在不同地区ping同一个网址,我们得到不同的IP地址,那么这种情况,我们就可以判断该网站开了CDN加速。 讲得在通俗易懂就是“就近原则”了可选线路1:多个地点Ping服务器,网站测速 - 站长工具图示: ?可选线路2:网站测速工具_超级ping _多地点ping检测 - 爱站网图示: ? 确定网站使用cdn后,如何找到真实ip?
(符合预期),有的节点返回是图片(不符合预期)诊断与分析问题复现:由于我们测试所访问的节点和用户访问到的节点不一定相同。 测试自己所在节点返回符合预期的mp4类型不代表其他节点就一定都是mp4. 结合用户反馈的异常节点,绑定host进行访问, 如下可见, 确实返回了图片类型的资源。 源站分析及配置检查检查返回的图片和源视频的关系,发现返回的图片是视频的首帧的图像。 同时去检查客户使用的源站是COS源站。 CDN缓存策略检查检查CDN域名设置,发现这个域名开启了过滤参数缓存。开启了过滤参数缓存也就是根路径缓存, 带参数和不带参数的缓存的都是一样的,访问的时候也是带参数和不带参数访问的都是一样的。 如果启用了cos的这个功能, 建议cdn侧一定关闭过滤缓存这个功能, 避免由于源站按参数吐资源导致的访问cdn缓存不符合预期的情况。 其他三方源站同理。
为了确保网络在使用时能够具有较高的数据传输效率,目前很多用户都会采用建立cdn服务器的方式来解决网络卡顿的问题,但cdn服务器在建立时需要根据要求对其进行部署。那么cdn怎么部署? cdn怎么部署在部署cdn之前首先需要寻找一个在国内访问速度较快的服务器,然后需要在该服务器上安装cdn控制面板,一般来说控制面板可以选择设置较为简单而功能比较强大的LuManager,该控制面板自带了 cdn的缓存功能,在安装完成后可以对该cdn服务器进行功能测试,测试完成后服务器会自动生产需要加速网站的镜像缓存,此后用户在访问时将会直接浏览镜像中的缓存文件,对于静态文件会带来很好的加速效果。 Cdn部署问题很多用户对于cdn怎么部署都不是非常有经验,在部署完成后经常会发现加速的效果不如预期。 其实造成这种问题的原因比较多样化,一般来说在选择访问速度快的服务器时,一般需要根据所在的地理位置来优先选择靠近所在地的服务器,此外所安装的cdn控制面板软件的选择也非常关键,因此如果出现加速不理想情况可以首先检查这两处有没有正确配置
此时,Media Cloud 将测试配置是否正确,单击 START TESTS 开始测试,测试全部成功后单击 NEXT。 7. 测试多媒体内容1. 撰写文章,添加多媒体内容并发布。 2. 复制文章中的图片地址,或通过浏览器调试工具检视图片路径,可以看到图片地址为腾讯云 COS 对象存储上的地址。3. 使用腾讯云 CDN为保存 WordPress 附件的存储桶配置 CDN 加速。可参阅 CDN 加速配置 文档。 将 CDN SETTINGS 中的 CDN Base URL 设置为您的 CDN 域名,例如 COS 的默认加速域名https:wordpress-1250000000.file.myqcloud.com 检查先前发布的文章中的多媒体内容,可以看到相关的地址已经指向您配置的 CDN 域名。 e0c3e9b987154c1def4e67676ef736e1.png 腾讯云存储-公众号.jpg
内容分发网络(CDN)通过将站点内容发布至遍布全国的海量加速节点,使用户可就近获取所需内容,避免网络拥堵、地域、运营商等因素带来的访问延迟问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
网站备案
文件存储
即时通信
