高防CDN应用层DDoS防护



大规模网络DDoS攻击往往引起很多关注。但是从缓解的角度来看第3-4层攻击并不复杂。减轻这类攻击的能力总是归结为一个简单的问题:谁拥有更多的网络容量或缓解服务。另一方面应用层DDoS攻击则是完全不同的故事。在防御这些隐蔽和复杂的攻击时,成功与否取决于你的安全技术的多大以及它的利用程度。
 
第7层DDoS攻击的成功缓解依赖于准确分析传入流量的能力。区分人类机器人和被劫持的网络浏览器。因此第7层缓解过程往往比攻击本身复杂得多。从概念的角度来看CDN互联的DDoS防护是基于应用程序周围的一组同心环,每个环都过滤了不同部分的流量。每个环本身都可以轻松绕过。他们一致工作几乎可以阻止所有恶意流量。虽然一些DDoS攻击可能会在外环停止,但持续的多向量攻击只能通过使用全部(或大部分)来停止。同样重要的是CDN互联的方法可以让绝大多数合法访问者访问受攻击的网站,而不会有任何变化并且不会中断用户体验。
 
1.客户端分类与容量层7攻击
 
在某些情况下攻击者可能会使用容量应用层攻击(例如HTTP洪水)作为分心来屏蔽其他更有针对性的攻击。这些攻击通常由相对原始的机器人执行,其高网络利用率允许攻击者以最少的计算资源提供非常大的容量攻击。通过停止最外层的体积攻击CDN互联能够过滤出这些攻击并深入探测更有针对性的攻击。
 
CDN互联通过比较签名和检查各种属性来识别和过滤这些机器人:IP和ASN信息,HTTP标头,Cookie支持变体,Javascript脚印和其他迹象。区分人类和bot流量,在“好”和“坏”机器人之间,并确定AJAX和API。CDN互联高级客户分类使用专门构建的代理。这样可以很容易地引入协议的细微变化和偏差,并测试客户端如何处理它们。客户分类和指纹识别的另一个重要作用是识别“好机器人”,例如搜索引擎监控工具和其他已知的机器人,搜索引擎优化,支付和其他关键网站功能所必需的机器人。
 
2.访问者白名单和声誉
 
在标记并阻止恶意容量流量后CDN互联将剩余的网站流量分为“灰色”(可疑)和“白色”(合法)访问者。CDN互联的声誉系统支持此任务,该系统能够隔离合法流量同时还使识别出的访问者的缓解过程透明化。通过在应用程序内的会话中维护访问者状态,系统能够识别真实用户以及重复违规者。当处理注册用户onlt环境时这对会话持久性至关重要。在这种情况下基于信誉的解决方案主要是为了防止肇事者获得合法令牌并重播他们绕过其他保护环。
 
3.用于直接攻击向量的Web应用防火墙
 
在某些情况下DDoS攻击可以用作结束的手段,为更传统的攻击媒介(例如利用已知漏洞或其他协议或Web服务器弱点)设置舞台。在这种情况下攻击者使用DDoS来削弱周边防御或使安全设备崩溃,使他们能够访问公司网络窃取数据等。除了提供DDoS防护外CDN互联的服务还包括企业级Web应用防火墙,该防火墙可以保护网站免受任何应用层威胁,例如SQL注入跨站点脚本非法资源访问和远程文件包含。
 
2.进步挑战
 
CDN互联应用了一系列渐进式挑战,旨在确保强大的DDoS防护和不间断的用户体验之间的最佳平衡。这个想法是通过使用提供客户端的精确识别(人或机器人,“好”或“坏”)的一组透明挑战(例如cookie支持,Javascript执行等)来最小化误报。由于某些原因测试失败的人类用户可以选择完成CAPTCHA测试并继续。使用这种算法只有0.01%的访问者经历了CAPTCHA。减灾服务中的大量努力致力于避免挑战或使其变得透明。今天的任何高级网站都使用AJAX和图像。在今天越来越多的情况下DDoS代理能够模拟浏览器,包括基于Cookie的会话状态管理。但是实现其他浏览器功能(如Javascript支持)则更为复杂。CDN互联使用复杂的算法分析客户构成的风险并决定适当的挑战级别。
 
1.行为异常检测
 
每个描述的安全环都可以单独规避。会话cookie可以被捕获和重播,僵尸网络可以使用多个IP。事实上一些攻击媒介甚至可以使用真实(被劫持)的人员的PC和真实的浏览器。这就是为什么CDN互联还使用异常检测规则来检测复杂的第7层攻击的可能实例。CDN互联充当了一个自动化的安全网络,可以捕捉可能在裂缝中滑过的攻击。异常检测规则可检测显然非人为的行为模式,并可能指示被远程控制的被劫持或受恶意软件感染的主机执行DDoS攻击。
 
CDN互联由经验丰富的安全运营中心(SOC)专业人员组成的团队为组织提供持续监控和缓解。我们的安全团队和24×7支持人员主动分析应用程序的内部行为,并在广泛使用之前检测到不规则使用情况。CDN互联的团队使用灵活的脚本语言来执行可能的行动和决策,可以立即调整安全策略以应对潜在的威胁。大多数DDoS攻击媒介不能单靠网络容量来缓解。今天复杂的新威胁的出现迫使DDoS防护行业停止关注网络组件,并开始考虑流量分析和访问者分类。在基于浏览器的僵尸网络和JS解密漫游器的时代,反DDoS解决方案也必须发展。为了提供一致的非侵入式缓解措施,这些服务必须采用多层架构,其设计需要网络技能,安全专业知识和对流量路由的深入理解。
 
CDN互联专业提供国内外高防cdn加速服务