针对CDN的那些网络攻击

昨天就小聪浅薄的知识给大家介绍了一下CDN这个技术，可是在现在这个五花八门的花花网络世界里，网络攻击是那么的常见。在许多IDC服务的提供商页面，可以轻易地找到安全防护的各种产品，而这些年，高防服务器也备受各大企业的青睐；因为高防服务器都是自带DDoS防御的，因为DDoS防御现在对于维护客户体验感这一点来说很重要；网络攻击对于网站加载时间和最终用户体验的影响远远比其他因素要大，很有可能会带来直接的损失。

要知道，作为一个向广大用户提供可用和高性能内容的站长，CDN是客户体验的关键。但是在CDN网络中的新漏洞也是非常吸引黑客大大们关注的。那么他们会如何利用CDN的盲点和漏洞来攻击我们呢？今天纳讯网络小聪就给大家介绍一下针对CDN的网络攻击，希望广大运营者也反针对这些攻击做出防范。

攻击一：动态内容攻击。对于CDN服务，众所周知的一个盲点就是对动态内容请求的处理，而攻击者也同样意识到并且深深地利用它。由于动态内容并没有存储在CDN服务器里面，所以所有的动态内容请求都会直接发送到源服务器；而黑客就会抓住这个点，利用这种行为生成包含HTTP GET请求随机参数的攻击流量（通俗点也就是常用的一种DDoS攻击）；而CDN服务器就会立即将这些攻击流量重定向至源服务器进行请求处理。可是在很多情况下，我们的源服务器会无法处理所有的攻击请求，同时也无法为真实的用户提供在线服务，这就是平时会出现拒绝服务的原因。在我们的常见的CDN服务器中，许多都会限制发送到受攻击服务器的动态请求数量；这样其实也意味着它们没有办法去区分攻击者和真实用户，从而速率限制也会直接拦截我们的用户，这样就很有可能直接失去这个用户了。

攻击二：基于SSL的攻击。这种DDoS攻击的目标是安全在线服务；它们很容易发起，但是却很难缓解，所以就成为了黑客们的最爱，也成为了纳讯网络小聪最讨厌的攻击。为了检测并且缓解DDoS SSL攻击，CDN服务器必须要做的是要利用客户的SSL密钥解密流量；在这种情况下如果我们的客户不愿意想CDN提供商提供SSL密钥的话，攻击流量就会重定向至客户的源服务器，这样子的话客户就会受到SSL攻击的困扰了；严重一点说，如果这个SSL攻击直接击中了客户的源服务器，那么它就能轻易地击垮你的在线服务，到了这一步，会发生啥事就不能预估了。

而且另一点，在涉及到WAF技术的DDoS攻击里面，CDN网络在可拓展性能的每秒SSL连接数上还有一个相当明显的劣势，从而导致可能会出现非常严重的延迟问题。PCI和其他安全合规性也是一个不能忽视的问题，有些时候会直接限制我们的数据中心为你提供服务的能力，因为现在的网络世界里不是所有的CDN否具备着跨越所有数据中心的PCI合规性的；所以这很有可能会再次增加延迟，甚至还有可能会引发审计问题。这样的话损失就不可估量了。

攻击三：针对非CDN服务的攻击。昨天也有稍微提及到，CDN服务通常只提供给HTTP/S和DNS应用，而邮件、FTP、VoIP、专用协议等这些客户数据中心的其他在线服务和应用其实并不是由CDN提供的；而且还有很多Web应用也不是由CDN提供服务的，所以流向这些应用的流量并不会通过CDN发送。基于这一点，攻击者又有新发现了，他们会利用这一盲点发起不经过CDN发送的而直接针对应用的攻击，并且往往会利用可能堵塞客户互联网管道大规模地攻击客户的源服务器；一旦成功地堵塞了我们的互联网管道，这样我们的源服务器中所有的应用就会对所有的用户都不可用了，包括由CDN提供服务的应用。

攻击四：直接IP攻击。这种攻击说的是攻击者直接发起针对源Web服务器IP地址的直接攻击；一旦攻击了，那么由CDN提供服务的应用也不能逃避被攻击的命。这些攻击可能是UDP洪水或者ICMP洪水等不经由CDN服务进行传送的网络洪水，它们会直接击中源服务器。这些大流量的网络攻击造成的后果也是有点难以缓解的，因为它很有可能会堵塞互联网管道、关闭源服务器中所有的应用和在线服务，当然也会包括由CDN提供服务的应用和在线服务了。而在我们日常使用的服务器中，如果你服务器存放的数据中心的“防护”配置不太对的话，就很有可能会导致应用受到攻击者的青睐，当然啦，我们纳讯网络的技术大大还是很值得大家信赖的！

攻击五：Web应用攻击。这种攻击很多时候是因为CDN防护措施不到位，或者说针对Web应用威胁的防护水平有限；很有可能会将客户Web应用暴露在数据泄露、窃取和其他常见的Web应用威胁之下。而且我们常见的很多基于CDN的Web应用防火墙的功能也有点不够，多数仅仅适用于一组基本的预定义特征码和规则；而且有很多基于CDN的WAF都不能阅读HTTP参数，也不会创建主动的安全规则，这样的话就无法防御零日攻击和已知的威胁。但是据小聪了解，对于在WAF中为Web应用提供优化的，要实现这一防护所需要的成本就，小聪觉得有点小贵小贵小贵……

除了小聪上面说的这五点常见常用威胁之外，很多CDN安全服务器其实都不是很敏感，也就是说它们很有可能会需要N个小时来手动部署才能将安全配置覆盖到所有的网络服务器上；也有些安全服务还在使用速率限制等过时的技术；这些都会让攻击者有机可乘的。所以说防护如何做到位，那是一个技术活，当然就由纳讯网络的技术大大们来啦~这一点小聪也做不到呢！