近来CDN攻击愈演愈烈,网络攻击无疑是隐形杀手,尤其是DDOS。因此,CDN易受哪几种攻击?这里有五个威胁会危及CDN,企业必须加以防范。
1.攻击动态内容。
攻击者知道CDN服务的主要盲点在于处理动态内容请求。因为动态内容并不保存在CDN服务器中,所以所有的动态内容请求都会发送给源服务器。黑客可以使用这个行为来产生含有HTTPGET请求的随机参数的攻击流量。CDN服务器可以将这些攻击流量立即重定向到请求处理的源服务器。但是,源服务器在许多情况下不能处理所有攻击请求,不能为合法用户提供在线服务,因此就产生了拒绝服务。
很多cdn会限制发送给受攻击服务器的动态请求数。也就是说,它们不能区分攻击者和合法用户,限速系统拦截合法用户。
2.攻击基于SSL。
以安全联机服务为目标,实现对基于SSL的服务的攻击。这类攻击容易发动,却难以缓和,因而成为攻者的最爱。CDN服务器必须先用客户的SSL密钥对通信进行连接,以探测并减轻这种SSSL攻击。若客户不愿意将SSL密钥提供给CDN提供商,SSL攻击通信就会重定向到客户的源服务器,使客户易受SSL攻击。SSL攻击对客户源服务器的攻击可以轻松击败安全联机服务。
CDN网络在WAF技术下的一次SoS攻击中,每秒的可SL连接具有明显的缺点,并可能导致严重的延迟问题。PCI与其他安全性的合规性也是一个问题,有时会限制数据中心向客户提供服务的能力,因为并非所有cdn都与PCI符合。这样会再次增加延迟,造成审计问题。
3.攻击非CDN服务。
CDN服务通常仅用于HTTP/S和DNS应用。由于CDN不能提供VoIP、邮件、FTP、特殊协议等客户数据中心的其他在线服务和应用,因此流量不会通过CDN传输。另外,许多网络应用并不能通过CDN访问。入侵者正在利用这个盲点向不通过CDN发送的应用程序发起攻击,大规模攻击客户的源服务器,有可能阻断客户的互联网渠道。在阻止Internet管道之后,合法用户将无法使用客户端源服务器中的所有应用程序,包括由CDN提供服务的应用程序。
4.IP直接攻击。
当攻击发起对客户源Web服务器的IP地址的直接攻击时,甚至CDN服务的应用程序都会受到攻击。这类攻击可以是未通过CDN服务传输的网络性UDP泛洪或ICMP泛洪,将直接攻击客户源服务器。这样一种高流量的网络攻击可以堵塞互联网管道,关闭源服务器上的所有应用程序和在线服务,包括CDN服务或在线服务。经常错误地配置数据中心“保护”会导致应用程序直接易受攻击。
五、网络应用程序攻击。
对CDN的保护措施对网络应用威胁的保护有限,这将使客户网络应用面临数据泄露、数据盗窃等常见网络应用威胁。CDN在网络应用中的防火墙功能大多是有限的,仅适用于一些基本的预定义的特征码和规则。很多基于CDN的WAF不能读取HTTP参数,也不能创建主动安全规则,从而不能抵御零日攻击和已知威胁。达到此保护级别的成本对于在WAF中为Web应用程序提供优化措施的企业来说也是相当高的。
大多数CDN安全服务都不够敏感,可能需要人力部署数小时才能覆盖所有网络服务器,但这是以前发现的主要盲点。由于采用了过时的技术,如速率限制,安全服务在上次攻击中被证明是低效的,缺乏网络文本分析,挑战-响应机制等功能。