为了提高访问质量,很多网站都会使用CDN服务。在很多人的印象中,CDN不仅可以减少网络拥塞,提高用户访问响应速度和命中率,而且由于很多用户在访问网站内容时不再经过源站,所以CDN还具有隐藏源站IP效应。由于源站的IP是可以隐藏的,所以黑客要想发动网络攻击,首先要找到源站的IP。攻击的难度增加了很多。是不是说使用CDN就可以提高网站的安全性呢?答案是肯定的,但是随着CDN的发展,使用CDN确实会带来一些隐患。CDN科普由于有些同学可能不太了解什么是CDN,下面简单回顾一下。CDN也称为内容分发网络。CDN服务商会在全球主要城市设置CDN缓存服务器。当网站使用CDN服务时,网站的文字、图片等内容都会缓存在这些服务器上。当访问者访问网站时,离访问者最近的CDN服务器负责响应用户请求,以减少网络拥塞,提高用户访问响应速度和命中率。举个简单的例子,A??公司从事自行车销售业务,总部设在北京,在各大城市都设有分公司。用户可以选择线下购买或线上下单。广州一位自行车爱好者在网上购买了某款山地车。A公司不会从北京发货,因为物流时间太长,运输过程中可能会出现各种意外。最好的办法是通知广州的实体店,由广州直接发货给客户。本例中A公司总部为源站,广州分公司为CDN缓存服务器。当客户端向网站发送访问请求时,源站不负责响应该请求,而是由CDN缓存服务器响应所请求的请求。CDN的工作过程大致相同。CDN可分为自建和他人。上面的例子是自建的。如果是他自己搭建的CDN,就相当于代理模式。客户从代理处购买山地车,A公司广州分公司负责送货。这时候A公司就相当于一个CDN服务商,代理就相当于一个网站。我们这里讨论的是第三方CDN,因为自建CDN成本太高,大部分企业使用第三方CDN,比如微客云的CDN就是第三方CDN。使用CDN的安全隐患说完CDN,我们进入正题。使用CDN确实存在安全隐患,这种隐患未必能避免。CND服务主要承载两个任务:性能加速和网络保护。在性能加速方面,第三方CDN会缓存网站数据,访问者访问时直接返回缓存,减轻源站服务器压力。在这个过程中,CDN只能缓存明文数据,不能缓存密文数据。因为如果可以缓存密文数据,就相当于发起了重放攻击。什么是重放攻击?举个简单的例子:A要转100万给B,一般来说,如果黑客C篡改了转账数据,把100万改成自己的名字,银行系统很容易发现,A可以看到转账确认单据,将由银行系统确认。但是,如果C收集了别人留下的密文数据,提前给B转了100万,然后用这个密文数据代替A转给B的数据,A就会看到一张假的确认单。欺骗系统。如果CDN缓存密文数据,也会出现类似的效果。目前TLS/SSL的加密机制不允许发生重放攻击,第三方CDN根本无法绕过这种加密机制。如果想让CDN缓存密文数据,就必须承担CDN发起中间人攻击的风险。在网络保护方面,CDN可能还具有检测恶意流量的功能。基于现有技术,一些黑客攻击可以在不解密流量的情况下被检测到,例如SYNFlood。但是,其中一些需要解密才能被检测到,例如某些应用层的DoS攻击。如果要求CDN防御此类攻击,必然会有一定量的信息暴露给CDN,因为暴露的信息越多,检测就越彻底。但同时,CDN攻击的风险也较大。但如果换个角度来看,这种隐患发生的可能性不大。CDN服务提供商本质上是中介,获得用户和网站双方的信任是其存在的基石。就好像银行不会主动公开客户信息一样。如果CDN服务商发起这样的攻击,无疑无异于自杀。
