CDN服務:緩解DDoS攻擊背後功臣—24/7監控中心到底忙什麼?

Back
2022-07-04

CDN服務最有價值的是?答案可能令人意外。

當DDoS緩解成為網站資安顯學,監控、分析、應變、真人回覆,一群24h全年無休的團隊,同時涵蓋SOC資安監控服務(Security Operations Center)及NOC網路託管中心(Network Operations Center)是市場競爭關鍵。(以下簡稱CSS服務,Customer Success Service)

CDN服務最具價值明星:24h監控中心(SOC+NOC)

網路幫助企業提供客戶即時便利服務的同時,資安問題也隨之而來。近期官方嚴格要求提供敏感服務的企業需強化資安,足見網路攻擊是可危及國安的大事。事實上,不論企業產品為何,不穩定的連線品質、個資外洩、詐騙等已對不少知名企業造成信譽與業績的危害。 綜觀各類型的網路攻擊,不論是出於政治威脅、金融要挟或商業競爭意圖,皆對企業造成不同層度的損害。其中,最常見且難以預防的網路攻擊,便是分散式阻斷服務攻擊(distributed denial-of-service attack,簡稱 DDoS 攻擊)。

延伸閱讀:這篇就夠!DDoS是什麼意思?有哪些類型?OSI對照!完全解析

如今即使是沒有技術背景的人,都能在網路上查到攻擊教學,輕鬆發起DDoS攻擊,使得DDoS攻擊相當普遍,因此,對企業來說,所使用的CDN服務是否能即時異常排查、堅實防護與應變,以確保「服務快速而不中斷」成了網路商戰最重要條件。

您可能並未發現,在CDN服務中確保「服務快速而不中斷」的重要核心來自一群24h全年無休,在監控中心坐鎮的技術團隊(Customer Success Service,簡稱CSS)。

CDN服務的24/7監控中心CSS團隊工作內容龐大,從日常維運到攻擊緩解,無一不是細節,實現精緻、客製化服務。
CDN服務的24/7監控中心CSS團隊工作內容龐大,從日常維運到攻擊緩解,無一不是細節,實現精緻、客製化服務。

客製化CDN服務:技術團隊專案維運

CSS團隊不僅是阻擋攻擊而已,而是從網站日常管理的每個細微之處,使客戶體認到前一刻思緒方起,甫回神一切就緒的精緻、客製化服務。

全時段在線的CSS團隊的維運項目龐大,從基本的CDN平台操作、域名配置問題處理及判斷,到協助排查用戶端使用異常、監控域名異常狀態等,以客戶專案模式運作,即時提供建議及幫助,確保客戶網站擁有最佳連線品質及服務不中斷。

CDN服務價值差異:阻擋攻擊實戰經驗

強化網站資安是必要但成本高昂的項目,中小型公司礙於資源限制,培養專屬的網站維運部門並不容易。如果管理的域名高達數十萬筆,且容易遭受網路攻擊,企業內部現有人力將應接不暇。以下列舉CDN服務CSS團隊的工作項目,一窺監控中心管理數十萬域名的日常。

配置域名

  1. DNS記錄配置
    依照客戶需求程度,協助DNS上的記錄配置(ex : 協助配置Cname Record指向ApeiroCDN)。
  2. 大批域名配置
    即時批量配置、移除、修改域名設置及api相關使用文件及操作諮詢。
  3. SSL憑證生成
    提供Sectigo SSL憑證生產的CDN平台,同時也支援客戶自行上傳憑證。除平台會自動替指向CDN服務商的域名憑證做檢測以及重新申請之外,CSS團隊也會定時協助客戶做自行上傳憑證的查驗,協助觀察域名狀態(註冊商狀態、域名到期、Cname解析)、域名設置是否符合憑證生成條件、證書相關問題,使用域名無後顧之憂。
  4. 基礎性防禦WAF規則部署
    CSS需為實戰型團隊,團隊成員均具備攔阻網路攻擊實戰經驗。經由不斷紀錄、不斷成長,團隊統整出一套最通用的基礎型防禦規則。如客戶使用CDN初期尚未建立專屬WAF規則時,CSS團隊需協助配置基礎防禦,之後藉由不斷觀察行為特徵,然後篩選,進而完善專屬客戶的WAF規則庫。

分配、管理域名

需配合客戶需求,對不同的APP Profile專案(域名分類系統)給予相應配置建議。

  1. 回源策略判斷,分配源伺服器流量
    回源是指用戶端請求資源時,如果CDN節點上並無緩存該資源,CDN節點需回源伺服器取得資源。某些特定域名需依用戶所在地,制定不同的回源策略。除依地區設定回源策略外,也支援IP Hash / Round Robin / Weight 等方式,CSS團隊需判斷並選擇最適合的策略。
  2. 多樣化特殊高端口加密訪問
    域名支援設置多個高端口,一般來說使用加密端口所進行的訪問為port 443,但在特殊情況下(如:CN Block port 443),CSS團隊需協助多樣化端口設置。
圖為實際使用CDN服務的操作畫面,支援http加開不同的端口功能。
圖為實際使用CDN服務的操作畫面,支援https加開不同的端口功能。
圖為實際使用CDN服務的操作畫面,支援http加開不同的端口功能。
  1. 支援Websocket功能,隨時優化
    當CDN上配置的域名均默認支援websocket功能時,CSS需隨時依客戶需求,做到針對特定路徑的websocket優化。
  2. 協助緩存設定,網站更新無需等待
    不論是緩存時間修改、緩存路徑與檔案類型設定,CSS團隊需提供全天候支援即時修改,並且修改後立即生效,與坊間常見的系統罐頭回覆以及長時間等候的生效時間有天壤之別,因此客戶在修改網頁資訊及配置時無需遲遲等待。
  3. 無暇處理域名跳轉時,可於CDN上操作
    當有A域名跳轉至B域名、跳轉至特定port、跳轉到特定路徑等相關需求,且客戶無法修改源伺服器設定時,CSS將透過CDN上的WAF實現跳轉,意即在CDN上完成用戶端的跳轉行為。

延伸閱讀:緩解DDoS攻擊的6種解決方法!使用CDN省下資安技術與人力

分秒必爭:「即時」CDN監控、分析、告警服務

在日常監控上,即使CDN平台上配置高階自訂監控面板,以足夠監控與分析。CSS團隊也能因應不同客戶需求,另於專業告警監控平台取得詳細資訊,如需要,甚至提供獨立資源,儲存單一客戶群組的日誌,借重第三方數據蒐集與報表,與CSS團隊分析能力,讓客戶高枕無憂。

即時告警提醒

如遭遇以下問題,CSS團隊需在第一時間監控到異常情況,並立刻處理。同時也需回報問題及處理進度。

  • 域名出現回源延遲(CDN到源伺服器)問題時
  • 域名出現大量error code時
  • 域名出現瞬間湧入大流量時

防禦型CDN服務:DDoS攻擊緩解

DDoS攻擊可以具體分成兩種形式:

  • 頻寬消耗型:以消耗頻寬為目的,使正常用戶因連線頻寬耗盡而無法連線至目標系統。
  • 資源消耗型:以耗盡系統記憶體或處理器資源為目的,阻止目標系統處理合法請求。

它們都是透過大量合法或偽造的請求占用大量網路以及設備資源,以達到癱瘓網路及系統之目的。而DDOS攻擊在基於OSI網路七層模型的架構基礎上,又可以分類為L3、L4攻擊以及L7攻擊,適用不同緩解方式。

客製化CDN服務:ApeiroCDN的DDoS攻擊防禦架構,24/7監控中心包含防護中心、清洗中心與資訊安全中心。
客製化CDN服務:ApeiroCDN的DDoS攻擊防禦架構,24/7監控中心包含防護中心、清洗中心與資訊安全中心。

L3、L4 DDOS攻擊處理:自動切換Tb級清洗中心

CDN上的WAF防禦設置專門處理L7攻擊,但DDOS攻擊也存在於L3、L4,那麼這個情況該如何應對?CDN服務商不僅需有專注於監控L7的CSS團隊,更需與(自有)線路商保持著即時性聯繫。當網站遭遇L3與L4攻擊時,(自有)線路商會於偵測到攻擊後,自動將線路切換至清洗中心清洗,並同時告知CSS團隊。CSS團隊在收到消息後一分鐘內即對客戶發送通知,並提供受影響的域名清單。

  • UDP Flooding
  • TCP Flooding
  • ICMP Flooding
客製化CDN服務:ApeiroCDN的WAF(Web Application Firewall)功能多樣,專門應付複雜L7攻擊
客製化CDN服務:ApeiroCDN的WAF(Web Application Firewall)功能多樣,專門應付複雜L7攻擊。

針對性WAF防禦規則設置:L7 DDoS攻擊處理

CSS團隊需針對特定來源的異常流量進行特徵觀察,監控該特定訪問行為所帶的表頭資訊,並使用這些資訊制定針對性的WAF規則。包含常見的host、uri、accept-language、accept-encoding、referrer等,這些資訊皆可排列組合,為每一次的攻擊配對出最有效的防禦。

  • 手勢驗證:如某些頁面不支援用以攔阻常見的暴力破解密碼攻擊手法的驗證功能,我們提供手勢驗證功能。
  • 水桶:如針對帶有特定表頭內容刷特定uri的行為作出速率限制,由CDN將異常行為用戶IP進行水桶。
  • 黑名單封鎖:最基礎的黑名單封鎖功能,針對IP來源進行攔阻。如確認特定表頭內容為異常,亦可直接設定將帶有特定表頭資訊的來源用戶進行阻擋。

ApeiroCDN即支援多功能、高彈性的防禦動作部署,不僅可以針對是否帶有特定表頭資訊來設定、更可以依據不同特定值來做更加細緻的部署。例如:

  • 當訪問者表頭未帶有accept-encoding即做阻擋。
  • 當訪問者表頭帶有accept-encoding且值為gzip者,訪問行為為host帶有uri:/,且超過速率限制(如:30秒5次),即進行水桶、阻擋、驗證。

輔以CSS團隊即時性監控,能在攻擊流量發起後數分鐘內完成觀察並開始部署,將攻擊流量輕易攔阻於CDN。

延伸閱讀:WAF是什麼(Web Application Firewall)?傳統防火牆不管用了?

線路備援,緩解攻擊時,其他域名仍享加速線路

CSS團隊不僅設置阻擋規則加以防禦,同時,也會同時全面關注客戶其他域名狀況。例如:時常可以見到若遭受攻擊的域名流量過大,因所使用的頻寬到達上限導致影響到其他域名,因此,CSS團隊必須在攻擊阻擋當下,觀察攻擊所造成的寬帶影響,適時將被攻擊域名切換至防禦線路上——提供良好的備援線路切換服務,讓CDN上的其他域名始終處於CDN提供的加速線路且擁有穩定的訪問體驗,不因單一域名受到攻擊而受到影響。

延伸閱讀:殭屍網路猖獗,被動防守沒用!懂分析CDN Log才能預防!

問題排查,即時CDN技術服務

24/7 CSS團隊的價值在於,打破業界使用系統罐頭訊息回覆的常態,能在獲知異常反饋時立刻提供有效協助,包括域名使用、線路異常、用戶使用異常排解等。

  1. 擅長運用不同指令進行域名狀態確認
  • whois:確認域名狀態、過期與否、Nameserver
  • dig:確認域名解析及指向
  • ping、tcping:確認域名是否能確實收發訊息
  • traceroute、MTR:確認域名線路狀況
  1. 熟悉利用多種測試工具進行疑難排解
    亞洲市場常見的中國防火長城Block問題,能透過多種工具推理確認究竟是IP Block問題還是域名Block問題。CSS團隊需能提供即時性IP切換服務,並能協助客戶在數分鐘內完美解決問題。
  • Boce
  • CatchPoint
  • 17CE
  1. 具堅實的Http code相關知識
    CSS團隊能在獲知相關報錯反饋時,第一時間根據所得到的error code判斷問題層面、處理方法,並提供客戶簡單易懂的說明,立即予以處理。
  2. 配合瀏覽器開發者工具,即使是頁面元件顯示問題,也能輕易找出根本原因
  • 利用對元件所回應的Http code判斷常見的訪問頁面卡在加載中、訪問異常問題,究竟是出於域名本身線路,或元件顯示異常問題。
  • 某些系列的域名需要做跨來源資源共用(CORS)相關設置,方能保證順暢無異常的訪問,CSS團隊能夠即時協助客戶透過平台設置WAF功能來確保域名在執行跨域請求時能夠正常運作。
ApeiroCDN擁有多年阻擋攻擊實戰經驗CSS團隊,實力堅強且隨時待命,確保網站服務永不中斷。

現今網路使用者不僅會因為訪問當下的體驗而影響訪問的慾望及次數,在出現問題時的危機處理及反應速度更是會直接影響用戶對於商務平台的觀感及信賴程度,最終影響用戶的留存。 選用ApeiroCDN,提供大亞洲區極速飆網服務,更有CSS長久以來服務客戶的管理經驗加成,有效提高用戶的留存率、網站資料的安全性,使您在專注發展商務活動時能夠心無罣礙,筆直前行。

延伸閱讀:網站趨勢!滿足速度、資安、一站式管理的 CDN 架構如何運作?

ApeiroCDN全年無休、不間斷24×7 CSS維運服務

極速用戶體驗、第一時間即刻救援、堅實的網路防護您絕對值得擁有!

Share this post

Blog