CDN安全面临的问题及防御架构

CDN安全

SQL注入攻击(各开发小组针对密码和权限的管理,和云安全部门的漏洞扫描和渗透测试)

Web Server的安全(运营商和云安全部门或者漏洞纰漏第三方定期发布漏洞报告修复,例如:nginx版本号和nginx resolver和空指针等)

带宽消耗型攻击: (无限CC循环请求某些资源、动态CC专打一些动态页面、无缓冲CC穿透CDN、循环下载CC、SSL)

资源消耗型攻击:(flood攻击,SSL重新多次协商)

种类:SYN flood消耗CPU和内存、SYN flood、UDP flood、ICMP flood、HTTP flood、CC

业务种类:动态内容攻击、针对SSL的攻击、直接针对IP的攻击、DNS劫持

攻击方式:HTTP Get、HTTP Post、Local DNS、DNS flood、DNS 反射、权威DNS、SYN flood(TCP协议的标志位都能组成一个flood)、UDP flood、四层DDos、Connection flood、SSDP

防护手段

系统及硬件:

基于协议栈优化linux操作系统,例如腾讯Tlinux kemel(前置判断和过滤HTTPS支持、前置判断算法改进)、IDC硬件(入口)anti-DDos产品、云清洗(骨干网络、更近源站、节点的本地化)

基于单个节点的防护:

传输层的DDos攻击---XGW(syn flood攻击)和调度系统(运维策略的一种, 例如黑洞)

       应用层的DDos、CC攻击---CDN WAF

CDN整体:

       CDN所有节点联动+高防业务的接入(从交换机开始引入清洗流量集群,最后将流量注入网关)

SCDN:

      带安全能力的边缘节点,中层、上层

      带安全能力的DNS解析

      高防IP+XGW+智能调度系统联动

CDN安全面临的问题及防御架构_第1张图片

CDN安全面临的问题及防御架构_第2张图片

CDN安全面临的问题及防御架构_第3张图片

防御考核

高性能(单机量、集群防护量)

识别攻击(时间+空间双维度,探针部署)

快速响应(秒级响应,秒级清洗,无网络抖动)

误杀问题(逐包检测,精准分析,大数据智能分析)

游戏空连接(防御空连接、防御慢连接、针对游戏的恶意连接、对报文合法性检查)

防御CC攻击(IP+cookie的频率、IP+key的认证、验证码、限速,影响体验)

防御僵尸网络,防御WEB攻击(防御SQL注入、防御XSS、防御跨站攻击) 

你可能感兴趣的:(网络安全,安全,cdn,网络安全)