DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos防攻击_防御服务器_新用户优惠

05-03 DDOS防御

ddos防攻击_防御服务器_新用户优惠

之前我们研究了越来越流行的多CDN策略,以及如何最好地保护它们。这一部分将更广泛地了解cdn,以及如何从"边缘"恢复安全性,从而提高web应用程序的整体安全性。正如我们在本系列文章的第一部分中所解释的,防御ddoscc攻击,内容交付网络(CDN)已经存在很长一段时间,并且已经发展成为一种有效的web内容交付方式。内容存储在分布在网络"边缘"的呈现点(POP)上,dos和ddos攻击与防御论文,当最终用户请求缓存内容时,该内容直接从离他们最近的地方供应。随着CDN的普及,CDN提供商也开始将安全机制集成到他们的网络中,从而产生了"边缘安全"的概念:当一个新的请求到达"边缘"PoP时,它也会被检查是否存在已知的安全威胁。如果发现此类威胁,则阻止通信;如果没有,则允许其通过。这种方法对CDN供应商非常有意义,因为它利用了他们现有的基础设施,而且随着CDN服务成本的不断下降,这是一种提供增值服务的经济高效的方式。然而,从web应用程序的角度来看,这种方法带来了许多关键的挑战。[您可能还喜欢:保护多CDN第一部分:多CDN的安全挑战]如果你只有一把锤子,那么每个问题都是一颗钉子有句老话,如果你只有一把锤子,那么每个问题都像钉子。基于CDN的安全性也是如此。因为cdn都是关于web内容交付的(用这个比喻来说),对它们的一切都是一个HTTP请求。他们的重点是流量本身,而对底层应用程序的考虑相对较少。这在web应用程序安全性方面带来了许多困难:无应用程序上下文:cdn主要关注HTTP/sweb流量,对底层web应用程序、其结构或漏洞几乎没有察觉。因此,CDN安全策略往往遵循标准化的模板,这些模板不能根据特定应用程序的需要自动调整,或者需要大量的手动定制。仅入站流量:由于cdn的作用是加速网站内容,根据定义,它们只检查网站的入站流量。它们不具备检查(和保护)出站网络流量的任何功能,也不提供任何数据泄漏预防(DLP)功能。仅在云上:cdn是仅限云的服务。因此,根据定义,他们不能提供基于前提的或混合的安全解决方案,也不能与现有的基于前提的安全解决方案接口,即使需要这样的解决方案。按设计负除了缺少应用程序上下文之外,大多数cdn都坚持一种"消极"的安全方法:即,除了显式阻止的内容外,它们允许所有内容通过。这与"积极的"安全方法相反,后者考虑到合法流量的上下文特性,然后阻止所有不合法的内容。然而,传输层的ddos防御软件,由于其设计方式,大多数CDN在结构上无法应用积极的安全模型:预定义的静态策略:"积极"安全需要自动的自学习,包括查看所有流量。然而,由于每个CDN‘edge’PoP只看到了总体安全性的一小部分,因此它无法推断它对整个流量的意义,并且对于所有PoP来说,彼此通信将产生太多的流量开销,使网络无法处理。因此,cdn不能应用实时学习,必须依赖预定义的、基于静态签名的安全策略。零日漏洞:由于cdn依赖于带有基于签名的策略的"负"安全模型,默认情况下,它们允许通过所有流量,除非明确禁止。因此,从定义上说,他们无法应对他们以前从未见过的紧急零日威胁。它们必须等待供应商手动配置签名,然后由每个客户手动启用。传播时间长:由于CDN安全筛选是在"边缘"完成的,因此必须集中配置安全策略,然后将其传播到每个单独的"边缘"PoP。随着cdn的规模和流量的增长,过滤信息所需的时间也在增加。事实上,cdn花费数小时在整个网络上传播安全更新并不少见。当你受到攻击时,这一次很重要。[您可能还喜欢:保护多CDN第二部分:保护多CDN的方法]内置漏洞除了安全方法的结构限制外,ddos防御服务系统,由于其基本设计,大多数CDN还存在许多内置的安全漏洞:动态内容攻击:构建cdn是为了缓存静态内容并将动态内容重定向回源服务器。黑客知道这一点,因此设计了拒绝服务(DoS)攻击,产生大量动态httpget请求。此类攻击无法通过"边缘"安全机制进行处理,CDN必须采用暴力速率限制程序,限制对网站的合法流量,内网ddos怎么防御,并导致严重的误报。转发循环攻击:转发循环攻击是恶意用户操纵CDN的内部请求转发机制,使网络重复处理请求,从而对网络实施拒绝服务(DoS)攻击的机制。来自加州大学伯克利分校和清华大学的计算机科学家进行的一项独立研究发现,在16个测试的主要CDN中,每个CDN都容易受到某种形式的转发循环攻击。尤其是,Dam-Flooding攻击(随着时间的推移积累大量请求,然后一次触发所有请求)和CDN间循环(在多个CDN之间创建转发循环)被证明特别难以防御。基于SSL的攻击:随着越来越多的互联网流量被加密,SSL泛滥正在成为一个关键的攻击媒介,因为它们需要从目标服务器获得大量的计算资源。然而,cdn在处理基于SSL的攻击方面能力很差,因为它们要求客户共享SSL证书(从而减少隐私),并在云端单独解密每个SSL包(从而产生大量延迟),否则根本无法保护客户免受此类攻击。从边缘后退如我们所见,基于CDN的"边缘"安全性有许多显著的缺点,这会导致更大的安全风险和更多的操作开销。这些缺点中的许多都源于CDN设计所要求的"消极"安全模型。为了克服这些缺点,客户应该考虑从众所周知的优势后退一步,采用基于"积极"安全性的安全机制,而不是依赖CDN基础设施来保护他们的web应用程序。阅读"网络安全认知与现实:来自首席执行官的观点"立即下载

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/50185.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 6789305访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X