作者:juniu网络 来源:互联网 发布时间:2022-01-04
近来高防cdn流量攻击越来越严重,网络流量攻击无疑是无形的杀手尤其是ddos流量攻击。那么高防cdn非常容易遭受到什么种类的流量攻击呢?以下是会危及到高防cdn的5大威胁,公司必须防范这些威胁。
1、动态内容流量攻击
流量攻击者了解到,高防cdn服务中的重大盲点是对动态内容请求的处理。由于动态内容并没有存放在高防cdn服务器中,因此所有动态内容请求都会发送到源服务器。流量攻击者可以利用这种行为,生成包含HTTP GET请求随机参数的流量攻击流量。高防cdn服务器可以立即将这些流量攻击流量重定向至源服务器开展请求处理。然而,在越来越多情况下,源服务器无法处理所有的流量攻击请求,也无法为合法用户提供在线服务,因此就会出现拒绝服务的情况。
许多高防cdn都能够限制发送到受流量攻击服务器的动态请求数量。这就意味着,他们无法区分流量攻击者和合法用户,速率限制也会拦截合法用户。
2、基于SSL的流量攻击
基于SSL的ddos流量攻击的流量攻击目标是安全在线服务。这些流量攻击非常容易发起,但是很难缓解,因此成为了流量攻击者的最爱。为了检测并缓解ddos SSL流量攻击,高防cdn服务器必须首先利用客户的SSL密钥解密流量。如果客户不愿意向高防cdn提供商提供SSL密钥,SSL流量攻击流量就会重定向至客户的源服务器,使得客户非常容易受到SSL流量攻击侵扰。击中客户源服务器的SSL流量攻击可以轻易击垮安全在线服务。
在涉及到WAF技术的ddos流量攻击中,高防cdn网络在可拓展性能的每秒SSL连接数方面还有一个明显劣势,并可能出现严重的延时问题。PCI和其它安全合规性也是一个问题,有时候会限制IDC信息中心为客户提供服务的水平,这是因为并不是所有的高防cdn都具备跨所有IDC信息中心的PCI合规性。这可能再次增加延时并引发审计问题。
3、针对非高防cdn服务的流量攻击
高防cdn服务通常只提供给HTTP/S和DNS运用。Voip、邮件、FTP和专用协议等客户IDC信息中心的其它在线服务和运用并不是由高防cdn提供的,因此,流向这些运用的流量并不会根据高防cdn发送。此外,许多网站运用也不是由高防cdn提供服务的。流量攻击者正在利用这一盲点发起不经过高防cdn发送的针对运用的流量攻击,并利用可能堵塞客户互联网管道的大规模流量攻击客户源服务器。一旦互联网管道被堵塞,客户源服务器中的所有运用对合法用户均不可用,包括由高防cdn提供服务的运用。
4、直接ip流量攻击
一旦流量攻击者发起了针对客户源网站服务器ip地址的直接流量攻击,即使是由高防cdn提供服务的运用也会遭受到流量攻击。这些流量攻击可能是UDP洪水或ICMP洪水等不经由高防cdn服务开展传送的网络洪水,将直接击中客户源服务器。此类大流量网络流量攻击可能堵塞互联网管道,关闭源服务器中的所有运用和在线服务,包括由高防cdn提供服务的运用或在线服务。通常,IDC信息中心“防护”的错误配置可能导致运用直接非常容易受到流量攻击侵扰。
5、网站运用流量攻击
针对网站运用威胁的高防cdn防护措施的防护水平有限,会将客户网站运用暴露在信息暴露、信息窃取和其它常见网站运用威胁之下。多数基于高防cdn的网站运用防火墙的功能也很有限,仅适用于一组基本的预定义特征码和规则。许多基于高防cdn的WAF不能阅读HTTP参数,不会创建主动安全规则,因此无法防护零日流量攻击和已知威胁。对于在WAF中为网站运用提供提升措施的公司而言,实现这一防护水准所需的成本也是相当高的。
除了之前已确认的重大盲点外,多数高防cdn安全服务都不够隐私,因此可能需要数小时的手动布署才能将安全配置覆盖到所有网络服务器。安全服务正在使用速率限制等过时的技术,该技术在上个流量攻击活动中已被证实效率较低,缺乏网络行文分析、质询-应答机制等功能。
