服务器CDN防御，让你更好规避安全风险( 二 ) _生活百科

DDoS攻击的演进了解到攻击实质之后，再看看整个攻击的演进过程，便于大家更好地了解攻击原理。整个的演进大概分为四个阶段：
第一个阶段：DoS攻击
基于一个单点的服务器进行攻击流量的发送。这时流量规模在500Mbps到10Gbps之间，由于传统服务器的硬件、服务性能、带宽水平都有限，在这样的流量规模之下，就可以造成服务器的全面瘫痪，甚至终止。通过对传统硬件设备直接进行流量清洗的单点防护，再回到服务器，就可以达到防御目的。同时，也可以对相应的原IP进行封禁。
第二阶段：DDoS攻击
也就是分布式的DoS攻击，它的攻击源就不是单点的服务器，而是一群僵尸网络，黑客通过系统漏洞在网络上抓取大量肉鸡，运用这些肉鸡在不同的网络里去同时发起攻击，造成的带宽规模可能从10Gbps到100Gbps 。对这种分布式的僵尸网络攻击形式，通常防御手段就是用多点的大流量清洗中心去做近源的流量压制，之后再把清洁流量注回到服务器。
第三阶段：DRDoS，分布式反射型拒绝服务攻击。
互联网上的肉鸡抓取可能存在困难，但一旦被发现，很快这个周期就会丢失掉。所以这些僵尸网络在控制一定的这个周期数量后，会通过反射的机制向目标主体进行攻击。反射的主要机制是互联网上公共的真实存在的设备，在处理协议的过程中可能会形成一个攻击流量成本的放大，比如请求NTP 10K返回50K，请求的原地址改成目标服务器，所有终端都以为受害主机在请求，所有请求都会回到受害主机。整个流量可能会从100Gbps到2Tbps之间，所以对于这种攻击一个是要在很多的协议源头去做流量的阻断，另一个就是还要通过全球化分布式的DDoS进行相应防御。
第四阶段：未来发展
未来，5g、IPv6和IoT技术发展，会导致单位攻击能力翻10倍、公网IP数量指数增长以及潜在肉鸡无处不在，都是我们将要面临的一些风险。所以未来的攻击规模可能会超过2Tbps甚至更高。
CDN场景中应该怎么去更加有效的防护？沿着以上两个核心场景来看，一个是拥塞带宽，一个是耗尽资源。

文章插图

对于拥塞有限带宽入口这类攻击，本质上要在流量上Hold住。CDN天然具有丰富的节点资源，使用分布式的网络将攻击分散到不同的边缘节点，同时在近源清洗后返回服务端。
对于耗尽有限资源资源这类攻击，本质上要做到攻击的快速可见，并且能够把相应特征进行阻断。单纯依靠CDN不能特别有效的解决问题，需要通过CDN节点上的配置，完成智能精准检测DDoS攻击，并自动化调度攻击到DDoS高防进行流量清洗。这时候需要用户购买高防抗DDoS的产品。
本质上标准的CDN仍然是一个内容分发产品，不是安全产品，也没有承诺安全方面的SLA，因此，如果用户需要更加专业的安全服务，还是需要选择云安全的DDoS等产品，形成多级的安全防护体系，来更加有效的进行风险防御。
那么，具体阿里云CDN结合云安全的产品之后，能够提供怎样的安全防护体系呢？

文章插图

政企安全加速解决方案是一套基于基于阿里云CDN构建的边缘安全体系，核心能力是加速，但又不止于加速。加速是整体方案的基础，依托于阿里云全站加速平台，通过自动化动静分离，智能路由选路，私有协议传输等核心技术，提升静动态混合站点的全站加速效果。在加速基础之上，为客户提供WAF应用层安全、DDoS网络层安全、内容防篡改、全链路HTTPS传输，高可用安全，安全合规 6大方面安全能力，从客户业务流量进入CDN产品体系，一直到回到客户源站，全链路提供安全保障，保障企业互联网业务的安全加速。
CDN边缘安全——网络层与应用层双重安全一、网络层
银行，证券，保险等金融行业的业务线上化已经成为常见的业务办理模式，客户的金融网银，网上业务办理业务，一般情况下Web攻击较多，遭遇DDoS网络攻击的场景并不常见，但一旦发生DDoS攻击，企业核心互联网业务就面临瘫痪风险，将会严重影响企业品牌，产生重大资损。因此一般情况银行客户都在源站侧部署DDoS防护能力，同时在CDN边缘分发侧，也希望CDN能利用大量分布式的节点优势，提供边缘DDoS防护能力，在边缘检测DDoS攻击并实现攻击阻断，保护源站不受到攻击冲击。最终实现，无攻击CDN分发，有攻击DDoS防护。

服务器CDN防御，让你更好规避安全风险( 二 )

秒懂生活扩展阅读