如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

2023/08/28

對不小中小型企業來說，建議要瞭解如何應對邊緣節點的網路攻擊，在CDN邊源節點建立安全的防護系統，讓你可以透過安全的資訊安全防禦措施，避免公司企業網站遭受攻擊，這裡也簡單列出5種不同形式的網路攻擊，讓你一次瞭解如何做好預防的準備。

網路安全環境中常見的5種網路攻擊：

1.DDoS 攻擊 (DDoS Attacks)

分散式阻斷服務攻擊已經有超過 20 年的歷史。這種網路攻擊會使用偽裝的封包直接佔用受害者的上傳頻寬，既簡單又直接。隨著如物聯網 (IoT) 等終端裝置的數量不斷成長，網路攻擊的頻率也越來越頻繁。Alibaba Cloud Security Center 的一份報告指出，100 Gbps 以上的攻擊已屢見不鮮，而 2019 年更盛行高達 500 Gbps 的攻擊。當企業遭受攻擊時，上傳頻寬壅塞，無法接收正常的請求，造成企業的線上服務癱瘓。因此，DDoS 防護是企業需要投入心力應對的一項重要議題。

看更多：企業安全合規5式，做好DDOS防護提升您得網路安全策略！

2.HTTP 洪水攻擊 (HTTP Flood Attack)

與第 4 層 DDoS 攻擊所發動的偽裝封包相較，HTTP 洪水攻擊透過傳送大量的請求，消耗受害伺服器的資源，如 CPU 和記憶體。HTTP 洪水攻擊常見的做法是傳送需要伺服器執行資料庫查詢的請求，因此伺服器的負載與資源消耗量將暴增，導致伺服器回應變慢，甚至造成服務無法使用。

3.網路攻擊 (Web Attacks)

常見的網路攻擊包括 SQL 注入、跨站指令檔 (XSS) 和跨站請求偽裝 (CSRF)。網路攻擊不像 DDoS 和 HTTP 洪水攻擊會傳送大量不必要的請求，而是利用網路設計中既有的漏洞進行攻擊。一旦攻擊得逞，後果可能是目標網站資料庫的內容外洩，或網頁感染特洛伊病毒。資料庫內容外洩可能嚴重影響公司的資料安全性，而網頁感染了特洛伊木馬病毒則會損害公司的安全聲譽，並導致搜尋引擎將網站降級。

4.惡意爬蟲程式 (Malicious Crawlers)

Alibaba Cloud Security Center 發佈的一份報告顯示，2019 年惡意爬蟲程式佔了房地產業、運輸業、遊戲業、電商業和線上論壇攻擊事件的一半以上。惡意爬蟲程式偷竊網站的核心內容，如電商業者的商品價格，並耗損伺服器的資源。

5.劫持攻擊 (Hijacking Attacks)

劫持攻擊十分常見。當網站遭到劫持時，前往該網站的流量會被送到其它網站，造成受害網站的流量和使用者數減少。此外，對媒體和政府網站而言，遭到竄改的內容可能引發重大的政策風險。

如何應對 CDN 邊緣節點上的網路攻擊？

CDN 型邊緣節點安全性 + Anti-DDoS 安全性架構

阿里雲運用多年來在防護領域的豐富專業經驗，推出採用邊緣安全防護機制的 Content Delivery Network (CDN) 安全架構，並結合 Anti-DDoS Scrubbing Center 以提供防護；邊緣安全防護機制是建立在分散的 CDN 節點上。

立即查看：CDN資訊安全服務

圖說：Alibaba Cloud CDN Security Architecture

Alibaba Cloud CDN Security

如上圖所示，在全球 CDN 節點上部署的整個安全架構中，第一層防護為邊緣節點提供了更高的安全性，並藉其多層多面相的流量資料統計資訊與攻擊偵測功能，將 DDoS 和 HTTP 存取流量等資料整合到 Security Brain 以進行全面分析。

防禦政策可動態傳送到邊緣節點，抵禦不同層級的攻擊。同時，邊緣節點也能自動自主防禦和自行清理。此外，整體安全架構在原始節點上部署了 WAF 與竄改防護，在攻擊抵達原始站點前即展開防禦。如果原始站點僅提供 CDN 服務，並未暴露在公有網路中，整體安全架構也會為其提供 CDN 為主的進階防護，避免惡意掃描程式找到該原始站點。

看更多：什麼是多重內容傳遞網路(Multi CDN)？網站停機有哪些原因？

在金融和政府的應用場景中，CDN 擁有大量的邊緣節點，可透過其自行排程和清理功能消化多數的攻擊流量，藉此抵禦高頻寬和高容量的 DDoS 攻擊。當 DDoS 攻擊變得更加凌厲時，Security Brain 會利用智慧排程功能，將攻擊流量傳送到進階的防護節點進行清洗。

三大 Alibaba Cloud CDN 安全架構的核心特色

除了上述的 CDN 安全架構之外，Zhao Wei 還介紹了阿里雲的三大核心功能，包括 Anti-DDoS 智慧排程、網路保護和機器流量管理。

1. Anti-DDoS 智慧排程：多重元件間的協作機制

Anti-DDoS 智慧排程是一種協作機制，負責協調邊緣節點上分散的 Anti-DDoS 防護與高頻寬、高容量的 Anti-DDoS Pro 防護

圖說：Anti-DDoS Intelligent Scheduling

Anti-DDoS Intelligent Scheduling

Anti-DDoS 智慧排程的原則是按預設透過 CDN 傳遞業務流量，以獲得最快的速度以及最佳的使用者體驗。當偵測到高頻寬、高容量的 DDoS 攻擊時，智慧排程功能將判定其安全層級，並透過 Anti-DDoS Pro 清洗 DDoS 攻擊。視攻擊的嚴重程度而定，Anti-DDoS Pro 也可執行本機或全域的排程作業。當 DDoS 攻擊停止後，智慧排程會自動將 Anti-DDoS Pro 服務的業務流量傳回 CDN 邊緣節點，以盡量恢復正常加速。

Anti-DDoS 智慧排程的核心由邊緣加速、智慧排程和 Tbps 級保護三個元件組成。以邊緣加速為基礎部署的充份 DDoS 攻擊偵測加上智慧排程，可判定要透過 Anti-DDoS Pro 或 Tbps 級保護中心清理攻擊流量。這個解決方案已廣為金融業和媒體業的客戶所採用。

2. 網路保護：透過八個安全保護層篩除惡意請求

網路攻擊防護政策必須透過層層篩選，以抵禦惡意的請求。第一層為存取控制，指定對 HTTP 請求的攔截政策。第二層是區域封鎖，攔截來自無效或異常區域的請求。第三層是 IP 信譽系統，可歸類惡意行為並透過阿里雲多年來累計的網際網路 IP 位址大數據資料檔攔截 IP 位址。第四層是黑名單，攔截特定的 UA 或 IP 位址。上述四層都採用精準攔截。第五層是頻率控制，攔截相對異常高頻率的 IP 位址。第六層則管理網際網路上的機器流量，並封鎖惡意的爬蟲程式。第七和第八層為原始站點提供 WAF 與進階防護。

圖說：Web Application Protection

Web Application Protection

在所有存取請求中，有些是正常的使用者請求，有些可能是爬蟲程式，注入程式碼、惡意和跨站的請求。不同的防護層，可濾除惡意的請求，將正常的請求傳回原始站點。

3. 機器流量管理：找出網際網路機器人程式流量並予以封鎖

機器流量管理功能部署於邊緣節點上。當各種網際網路存取進入 CDN 邊緣節點時，機器流量管理先擷取原始用戶端的資訊，分析並計算用戶端的特徵值，再以 Alibaba Cloud Security 多年來建立和維護的機器流量特徵資料庫，與所得結果進行比對和辨識。

正常存取、搜尋引擎和商業爬蟲程式都是預期中且可接受的網站行為，而惡意爬蟲程式則會遭攔截。從應對措施層面看來，機器流量管理比起內嵌在一般網頁中的常見防護措施較不具侵入性，且可提供較流暢的存取。

下圖顯示一個使用案例。首先，實施機器流量管理政策後，前往某網域名稱的流量會受到分析。左方的圓餅圖顯示的場景為，某網域名稱啟用機器流量分析後，發現超過 82% 的請求都來自惡意的爬蟲程式。右方的圖表顯示，啟用機器流量的惡意爬蟲流量攔截功能後，該網域名稱的尖峰頻寬減少了 80% 以上。

圖說：Machine Traffic Management

Machine Traffic Management

CDN 安全防護指南：管理竄改、攻擊和內容

CDN 資源專用，提升企業安全性

CDN 也為數位政府服務與大型企業等具有高度安全需求的情境提供專屬資源群組。

第一點：CDN 可將安全的加速節點實際隔開並獨立建置，其整合不同的安全功能，並提供單一節點、進階的 Anti-DDoS 防護。

第二點：CDN 提供專屬的 IP 資源，保護您的業務運作免於安全威脅，避免單一使用者受到的攻擊影響其他使用者的工作。

第三點：CDN 支援單一使用者對網域獨立進行排程。因此，單一使用者遭受到的 DNS 攻擊不會影響其他使用者。這使得 CDN 可以抵擋數百萬每秒查詢數 (QPS) 的 DNS 洪水攻擊。

內容與平台的生產層級安全性

平台內容合規性

阿里雲以人工智慧 (AI) 和大量的樣本組為基礎，利用深度學習技術訓練了一套辨識模型，可以準確辨識出 CDN 加速處理圖像中的色情內容。藉此，阿里雲能根據使用者的需求，提供多層級的辨識，彈性的管理與管控解決方案。CDN 的整體色情內容偵測準確度超過 99%，可取代僅有 90% 準確度的人工審查，並大幅降低違規的風險。

便利且安全

CDN 簡化了安全性加速架構，因此運維人員可以輕鬆地進行一站式、自助服務的配置以及 API 控制。這使得運維人員能夠實施例行的攻擊監控與警示，端對端故障排除，自動防護與即時顯示完整資料日誌。同時，專為大型促銷活動而設計的護航與重大事件回應系統，可協助企業保護應用程式抵禦安全風險並確保系統穩定性。

除了上述技術外，CDN 還獲得了 Classified Protection 2.0 Level-3、ISO 9001、PCI-DSS 和其他認證。其網路安全性、資料安全性以及服務安全性的功能，皆已獲得全球權威機構的肯定。

雲力橘子是阿里雲通路合作夥伴，前身為遊戲橘子IDC、資安、系統及網路事業部門，目前為遊戲橘子(6180)和三商電腦(2427)等兩家上市公司合資的專業二類電信公司。我們擁有三地機房與國內主要電信業者建立直連網路(Direct Peering)，提供7X24全時服務台灣多家頂尖的線上遊戲與數位內容公司。

數十年豐富的資安防禦經驗，有專業團隊強化企業資安，提供進階威脅防護與手機App防護服務。雲端服務則高度整合虛擬與實體機房，以及安全即時內容傳遞，一站式全球服務，提供專業技術支援與顧問建議，評估客戶需求提供最適架構，建置佈署效益最大化。

文章來源:https://www.alibabacloud.com/blog/597999

其他訊息

產業訊息

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

其他訊息

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

如何有效監控雲端成本？用「用量」而非「費用」來分析異常

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

主動追蹤 AWS 「資源用量」，避免配額用盡造成任務失敗

我的網站慢嗎？如何檢測讓網站加速？新手必知 5 項網站優化指南！

阿里雲訪問控制與權限設置教學

該怎麼選擇 GCP Disk ?

AWS-WorkSpaces雲端桌面服務 (下集)

SOC 是什麼？SOC 資訊安全監控 v.s NOC 網路操作中心的差異？

2021 OWASP Top 10 A08軟體及資料完整性失效

OWASP前10大A07認證及驗證機制失效，瞭解如何修補及預防！

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！

嚇！手遊資安危機　數小時恐喪失上億營收

從Google Play下載App保證安全!？資安業者：超過100款惡意程式會偷資料、點擊詐騙

網銀App漏洞金管會關注