華為云計(jì)算 云知識(shí) CDN可以防護(hù)哪些攻擊?
CDN可以防護(hù)哪些攻擊?
時(shí)間: 2022-05-05 13:46:54
猜你想看:
實(shí)時(shí)語音識(shí)別 云服務(wù)器配置 CDN是什么意思 視頻點(diǎn)播加速 什么是云桌面

 【CDN安全低價(jià)】

由于CDN的分布式架構(gòu),CDN技術(shù)不僅能解決各地區(qū)不同網(wǎng)絡(luò)用戶訪問速度,避免因網(wǎng)絡(luò)擁堵、跨運(yùn)營商、跨地域、跨境等因素帶來的網(wǎng)絡(luò)不穩(wěn)定、訪問延遲高等問題;當(dāng)大規(guī)模惡意攻擊來襲時(shí),CDN邊緣點(diǎn)節(jié)可以做為第一道防線進(jìn)行防護(hù),大大分散攻擊強(qiáng)度,即使是針對動(dòng)態(tài)內(nèi)容的的惡意請求,CDN的智能調(diào)度系統(tǒng)還可以卸載源站壓力,維護(hù)系統(tǒng)平穩(wěn),并可以隱藏網(wǎng)站源IP,遠(yuǎn)離防護(hù)多種DDoS類型攻擊。

 

CDN高防可以防御這些類型的攻擊

 

 

SYN Flood防護(hù)

結(jié)合了syn Cookie、syn proxy、safereset、syn重傳等算法,并引入了IP信譽(yù)機(jī)制,如果該IP的信譽(yù)值較高,則采用syncookie算法;而對于信譽(yù)值較低的源IP,則基于協(xié)議棧行為模式,如果syn包得到驗(yàn)證,則對該連接進(jìn)入syncookie校驗(yàn),一旦該IP的連接得到驗(yàn)證則提高其信譽(yù)值。

 

ACK Flood防護(hù)

利用對稱性判斷來分析出是否有攻擊存在,所謂對稱型判斷,就是收包異常大于發(fā)包,因?yàn)楣粽咄ǔ?huì)采用大量ACK包,并且為了提高攻擊速度,一般采用內(nèi)容基本一致的小包發(fā)送。這可以作為判斷是否發(fā)生ACK Flood的依據(jù)。

 

UDP Flood防護(hù)

UDP協(xié)議與TCP 協(xié)議不同,是無連接狀態(tài)的協(xié)議,并且UDP應(yīng)用協(xié)議五花八門,差異極大,因此針對UDP Flood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對待:判斷包大小,如果是大包攻擊則使用防止UDP碎片方法:根據(jù)攻擊包大小設(shè)定包碎片重組大小,通常不小于1500。在極端情況下,可以考慮丟棄所有UDP碎片。攻擊端口為業(yè)務(wù)端口:根據(jù)該業(yè)務(wù)UDP最大包長設(shè)置UDP最大包大小以過濾異常流量。

 

ICMP防護(hù)

ICMP Flood 的攻擊原理和ACK Flood原理類似,屬于流量型的攻擊方式,也是利用大的流量給服務(wù)器帶來較大的負(fù)載,影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMP報(bào)文, 因此ICMP Flood出現(xiàn)的頻度較低。其防御方法主要是直接過濾ICMP報(bào)文。

 

Connection Flood防護(hù)

Connection Flood是典型的并且非常的有效的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式,這種攻擊方式目前已經(jīng)越來越猖獗。這種攻擊的原理是利用真實(shí)的IP地址向服 務(wù)器發(fā)起大量的連接,并且建立連接之后很長時(shí)間不釋放,占用服務(wù)器的資源,造成服務(wù)器服務(wù)器上殘余連接(WAIT狀態(tài))過多,效率降低,甚至資源耗盡,無 法響應(yīng)其他客戶所發(fā)起的連接。解決方法是:主動(dòng)清除殘余連接;對惡意連接的IP進(jìn)行封禁;限制每個(gè)源IP的連接數(shù);對特定的URL進(jìn)行防護(hù);反查Proxy后面發(fā)起HTTP Get Flood的源。

 

HTTP Get防護(hù)

對是否HTTP Get的判斷,要統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器的每秒鐘的GET 請求數(shù),如果遠(yuǎn)遠(yuǎn)超過正常值,就要對HTTP協(xié)議解碼,找出HTTP Get及其參數(shù)(例如URL等)。然后判斷某個(gè)GET 請求是來自代理服務(wù)器還是惡意請求。并回應(yīng)一個(gè)帶key的響應(yīng)要求請求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端并不響應(yīng)則說明是利用工具發(fā)起的請求,這樣HTTP Get請求就無法到達(dá)服務(wù)器,達(dá)到防護(hù)的效果。

版權(quán)聲明:本文章文字內(nèi)容來自第三方投稿,版權(quán)歸原始作者所有。本網(wǎng)站不擁有其版權(quán),也不承擔(dān)文字內(nèi)容、信息或資料帶來的版權(quán)歸屬問題或爭議。如有侵權(quán),請聯(lián)系contentedit@huawei.com,本網(wǎng)站有權(quán)在核實(shí)確屬侵權(quán)后,予以刪除文章。

CDN可以防護(hù)哪些攻擊?

意見反饋

0/200

提交 取消

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好 反饋提交失?。≌埳院笾卦?!