為了幫助用戶更好地了解和使用CDN產品，CDN應用實踐進階系統課程開課了。12月17日，阿里雲CDN產品專家彭飛在線分享了《正確使用CDN，讓你更好規避安全風險》議題，內容主要包括以下幾個方面：

使用CDN的常見誤區和問題有哪些？DDoS攻擊是如何一步步演進的？CDN場景中更有效的防護方式是什麼？阿里雲CDN邊緣安全體系如何幫助客戶抵禦攻擊？針對近期潛在安全風險，你可以怎麼做？

客戶體驗和安全穩定是企業的兩大核心訴求

阿里雲CDN正式商業化至今，已經服務了30萬+的全球客戶，其中最核心的兩類場景就是網站和APP的業務。在這個業務中，客戶的核心訴求還是相對集中的，一方面，希望能夠給他們的用戶提供更優質的體驗，需要解決分佈於不同運營商網絡下的終端用戶的跨網訪問效率、廣泛分佈用戶的一致性訪問體驗、中心部署源站成本高昂、突發流量下的彈性擴展以及弱網環境下傳輸性能等等方面的問題；另一方面，客戶希望業務是安全穩定運行，這種穩定就包括了提供SLA可靠性、解決網絡DDoS和CC攻擊、保護內容不被惡意爬取、劫持、篡改等等。綜上所述，用戶體驗和安全穩定是企業的兩大核心訴求。

CDN是企業常用的互聯網服務之一，主要提供內容分發服務。CDN能幫助用戶緩解互聯網網絡擁塞、提高互聯網業務響應速度、是改善用戶業務體驗的重要手段。同時，CDN使用反向代理技術，能有效的保護用戶源站，避免源站暴露進而遭到黑客的攻擊。CDN海量的服務節點天然給用戶提供了一定的防護能力，繼而獲得相應的穩定性提升。默認情況下會用整個CDN大網的網絡能力和計算能力，有效的對抗攻擊者的攻擊。

關於CDN安全的那些誤區和問題

前文提到了CDN節點可以為用戶提供一定的防護能力，其實在使用CDN過程中會有一些常見的誤區，比如：第一個誤區是有些用戶認為用了CDN之後有效保護源站就不需要額外購買安全服務了，甚至可以使用CDN平台來抵抗攻擊；第二個誤區是用戶認為其用了CDN後無需進行任何額外配置，有攻擊CDN自動來抵抗，和其沒什麼關係，對其沒什麼影響。

伴隨這兩種誤區就會產生一些問題，比如：第一個問題是當用戶遭到DDoS攻擊，CDN為保證整體服務質量，會將用戶業務切入沙箱，網站業務質量受到較大影響，且影響該域名後續的CDN加速服務質量。第二個問題是當用戶遭到刷量型CC攻擊，由於請求非常分散，CDN認為是客戶正常業務的流量增長，因此儘力提供服務，造成短時間大量帶寬突增，客戶要為此付出大額賬單，造成較大的經濟損失。

正確地認識網絡攻擊

客戶業務線上運行過程中，不可避免會遇到網絡安全威脅，DDoS攻擊是最典型的。DDoS的核心原理是什麼？是如何發展演進的？ 我們有必要進行詳細的了解，以便於更好的在CDN上給予其防護。

DDoS的核心目標是造成業務損失，受害目標無法對外進行服務，進而造成業務損失。其本質是消耗目標系統的資源，具體有2種實現方式：一種叫做擁塞有限的帶寬，第二種叫耗盡有限的計算資源。本質上CDN給用戶提供的就是這兩種資源。一個是分發的帶寬資源，第二個是在節點上提供相應的算力，所以攻擊本身就是在消耗這個。

其中三類攻擊包括：

一、網絡流量型攻擊

這種攻擊會利用到一些協議漏洞，比如UDP、SMP協議，很輕易地構造出過載大報文來堵塞網絡入口，這就導致正常請求很難進入。

二、耗盡計算資源型攻擊——連接耗盡

最典型的就是網絡層CC，利用HTTP協議的三次握手，給服務器發一半的三次握手請求，後續的一些請求不再發了，所以服務器端就會等待，進而佔用大量的資源，導致服務器連接資源直接被耗盡，服務不可持續。

三、耗盡計算資源型攻擊——應用耗盡

典型是是7層的應用層CC攻擊。這種攻擊發出的攻擊請求，從報文來看，看不出他有非常明顯的畸形或有害性，很難去做相應的判斷。由於七層CC都是正常的業務請求，同時CDN只是緩存內容，並不了解業務邏輯，同時業務也經常會遇到客戶業務突發，當CC攻擊時，如果無特殊的錯誤碼異常，從CDN角度來看會和正常的業務上量是一樣的，因此也會儘力服務。進而CC攻擊會形成突髮帶寬峰值，進而產生高額賬單，因此給客戶造成了較大的經濟損失。

DDoS攻擊的演進

了解到攻擊實質之後，再看看整個攻擊的演進過程，便於大家更好地了解攻擊原理。整個的演進大概分為四個階段：

第一個階段：DoS攻擊

基於一個單點的服務器進行攻擊流量的發送。這時流量規模在500Mbps到10Gbps之間，由於傳統服務器的硬件、服務性能、帶寬水平都有限，在這樣的流量規模之下，就可以造成服務器的全面癱瘓，甚至終止。通過對傳統硬件設備直接進行流量清洗的單點防護，再回到服務器，就可以達到防禦目的。同時，也可以對相應的原IP進行封禁。

第二階段：DDoS攻擊

也就是分佈式的DoS攻擊，它的攻擊源就不是單點的服務器，而是一群殭屍網絡，黑客通過系統漏洞在網絡上抓取大量肉雞，運用這些肉雞在不同的網絡里去同時發起攻擊，造成的帶寬規模可能從10Gbps到100Gbps。對這種分佈式的殭屍網絡攻擊形式，通常防禦手段就是用多點的大流量清洗中心去做近源的流量壓制，之後再把清潔流量注回到服務器。

第三階段：DRDoS，分佈式反射型拒絕服務攻擊。

互聯網上的肉雞抓取可能存在困難，但一旦被發現，很快這個周期就會丟失掉。所以這些殭屍網絡在控制一定的這個周期數量後，會通過反射的機制向目標主體進行攻擊。反射的主要機制是互聯網上公共的真實存在的設備，在處理協議的過程中可能會形成一個攻擊流量成本的放大，比如請求NTP 10K返回50K，請求的原地址改成目標服務器，所有終端都以為受害主機在請求，所有請求都會回到受害主機。整個流量可能會從100Gbps到2Tbps之間，所以對於這種攻擊一個是要在很多的協議源頭去做流量的阻斷，另一個就是還要通過全球化分佈式的DDoS進行相應防禦。

第四階段：未來發展

未來，5g、IPv6和IoT技術發展，會導致單位攻擊能力翻10倍、公網IP數量指數增長以及潛在肉雞無處不在，都是我們將要面臨的一些風險。所以未來的攻擊規模可能會超過2Tbps甚至更高。

CDN場景中應該怎麼去更加有效的防護？

沿着以上兩個核心場景來看，一個是擁塞帶寬，一個是耗盡資源。

對於擁塞有限帶寬入口這類攻擊，本質上要在流量上Hold住。CDN天然具有豐富的節點資源，使用分佈式的網絡將攻擊分散到不同的邊緣節點，同時在近源清洗後返回服務端。

對於耗盡有限資源資源這類攻擊，本質上要做到攻擊的快速可見，並且能夠把相應特徵進行阻斷。單純依靠CDN不能特別有效的解決問題，需要通過CDN節點上的配置，完成智能精準檢測DDoS攻擊，並自動化調度攻擊到DDoS高防進行流量清洗。這時候需要用戶購買高防抗DDoS的產品。

本質上標準的CDN仍然是一個內容分發產品，不是安全產品，也沒有承諾安全方面的SLA，因此，如果用戶需要更加專業的安全服務，還是需要選擇雲安全的DDoS等產品，形成多級的安全防護體系，來更加有效的進行風險防禦。

那麼，具體阿里雲CDN結合雲安全的產品之後，能夠提供怎樣的安全防護體系呢？

政企安全加速解決方案 是一套基於基於阿里雲CDN構建的邊緣安全體系，核心能力是加速，但又不止於加速。加速是整體方案的基礎，依託於阿里雲全站加速平台，通過自動化動靜分離，智能路由選路，私有協議傳輸等核心技術，提升靜動態混合站點的全站加速效果。在加速基礎之上，為客戶提供WAF應用層安全、DDoS網絡層安全、內容防篡改、全鏈路HTTPS傳輸，高可用安全，安全合規 6大方面安全能力，從客戶業務流量進入CDN產品體系，一直到回到客戶源站，全鏈路提供安全保障，保障企業互聯網業務的安全加速。

CDN邊緣安全——網絡層與應用層雙重安全

一、網絡層

銀行，證券，保險等金融行業的業務線上化已經成為常見的業務辦理模式，客戶的 金融網銀，網上業務辦理業務，一般情況下Web攻擊較多，遭遇DDoS網絡攻擊的場景並不常見，但一旦發生DDoS攻擊，企業核心互聯網業務就面臨癱瘓風險，將會嚴重影響企業品牌，產生重大資損。因此一般情況銀行客戶都在源站側部署DDoS防護能力，同時在CDN邊緣分發側，也希望CDN能利用大量分佈式的節點優勢，提供邊緣DDoS防護能力，在邊緣檢測DDoS攻擊並實現攻擊阻斷，保護源站不受到攻擊衝擊。最終實現，無攻擊CDN分發，有攻擊DDoS防護。

在CDN的邊緣節點具備基礎的抗D的防護能力。如果用戶當前的攻擊流量比較高，達到了用戶設置的閾值之後，就可以自動化的檢測到當前的攻擊的流量，並且通過智能調度的方式，將當前惡意的請求全部解析到高防的IP。高防IP的產品去做流量的攻擊檢測，以及攻擊的清洗防護，整個過程是自動化實現。

整個業務流程是：

• 客戶需要分別開通CDN和DDoS高防產品，並將域名配置在兩個產品中，其次，將高防側生成的調度CNAME在CDN側進行聯動配置。配置後即可實現無攻擊CDN分發，有攻擊DDoS防護的效果
• 在遇到攻擊時，首先，自動化丟棄非80|443端口非正常流量，第二，CDN會智能識別網絡層攻擊行為，精準，實時將DDoS攻擊區域流量切換到高防服務，整個過程完全自動化，無需用戶介入；第三，在高防側用戶可以享受最高超過1T的DDoS防護和清理能力，以及超過250W QPS的防護能力
• 當攻擊結束後，CDN將自動將流量重新調度回CDN網絡，實現正常業務分發

如上就能夠完整平滑的實現CDN與高防的聯動，實現無攻擊CDN分發，有攻擊DDoS防護。

二、應用層

零售客戶通過線上電商進行產品宣傳和售賣已經成為一種常見的銷售模式，無論是企業官網，電商平台，運營活動頁面，只要是面向互聯網業務無可避免的，經常經常遭遇Web，CC，刷量攻擊，對客戶體驗，穩定性產生較大影響。客戶在源站部署WAF能力，保護源站。同樣，在CDN分發側，希望在雲端進行Web安全防護。客戶會優先開啟觀察模式，在雲端感知到網絡攻擊風險，然後，逐步灰度源站策略，實現多級防護結構，保證源站安全。

阿里雲CDN團隊與雲安全團隊合作，將沉澱多年的雲WAF能力，注入到CDN邊緣節點，實現WEB攻擊的邊緣安全防護。

大家都知道，CDN產品一般由2層節點構成多級分發體系，邊緣節點更靠近客戶，回源上層節點與源站交互獲取源站內容，回源節點和邊緣節點之間形成多級緩存，提升命中率。當前，雲WAF能力已經注入到CDN回源節點，針對動態回源請求，防護OWASP Top10威脅，例如：SQL注入，XSS跨站等常見Web攻擊；同時客戶還能享受到0 DAY漏洞更新能力，24小時內提供高危漏洞虛擬補丁防護。

然而僅能解決回源防護就足夠了嗎？如果出現惡意刷量，惡意爬取，大文件CC攻擊場景，僅會對CDN邊緣節點產生影響，請求不經過L2，會產生大量下行帶寬，極大提升客戶的帶寬成本。所以，CDN在邊緣節點提供頻次控制，機器流量管理能力。通過頻次控制能力，用戶可以自定義防護規則，有效識別異常的高頻訪問，邊緣抵禦CC攻擊。通過機器流量管理能力，識別惡意爬蟲，刷單軟件等機器流量，有效降低下行帶寬，節約成本。

通過以上兩層能力，CDN可以為用戶提供較為立體的應用層防護能力。

希望大家能夠更實際的去了解，並根據實際需求情況進行配置。以下是CDN頻次控制、區域封禁、DDoS聯動功能的釘釘群，可以掃碼進群進行申請開通。同時，大家也可以在控制台開通CDN WAF功能，享受到相應服務。對於對安全有進一步需求的政企客戶，歡迎加入政企安全加速產品交流釘釘群，聯繫群中的架構師獲得更充分的建議。