Многие организации, использующие CDN (сети доставки контента),осознают, что защиты от DDoS атак недостаточно для обеспечения должного уровня безопасности и отличного пользовательского опыта. Ничего не вредит скорости загрузки так, как кибер-атака, которая влияет и на производительность, и на сам сайт. Если вы не хотите жертвовать скоростью своего сайта и хотите продолжить использовать CDN сеть, узнайте, какие атаки наиболее распространены в 2017 году, чтобы быть к ним готовым.
Атаки динамического контента
Не так давно киберпреступники выяснили, что доставки динамического контента – слабое место CDN услуг. Поскольку он не хранится на серверах, все запросы приходят на сервер-источник. Хакеры могут направить зловредный трафик со случайными параметрами в запросе HTTP GET. CDN серверы будут перенаправлять трафик на сервер-источник для обработки запроса. Однако у большинства серверов нет возможности справиться с таким трафиком, что вызовет отказ работы сети.
Большинство CDN сетей не ограничивают количество динамических запросов и не различают, от кого они идут: от обычного пользователя или хакеров. Таким образом, ограничив количество запросов, вы случайно можете ограничить доступ для своих посетителей.
Атаки, основанные на SSL
Такие атаки направлены на онлайн услуги, которыми пользуется жертва, и их крайне сложно предотвратить. Вот почему многие хакеры предпочитают именно их. Чтобы обнаружить и предотвратить DDOS SSL атаку, CDN сеть должна зашифровать запрос, используя SSL ключи пользователя. Если пользователь отказывается предоставить их CDN провайдеру, злонамеренный SSL трафик будет направлен на его сервер-источник и подвергнет работу опасности. Атаки, направленные на сервер-источник, могут легко его сломать.
Если DDOS-атака совершается с помощью WAF-технологий, сеть доставки контента может иметь угрозы безопасности, связанные с SSL соединениями в секунду и масштабируемостью – время ожидания значительно повысится. Могут повяиться проблемы с протокольной управляющей информацией, и тогда пользователю будет ограничен доступ к некоторым датацентрам. Не у всех CDN сетей есть совместимость со стандартом безопасности PCI, из-за чего могут возникнуть сложности со временем ожидания.
Атаки на сервисы вне CDN сетей
Некоторые CDN технологии работают только для HTTP(S) и DNS приложений. Другие онлайн-сервисы (например, VoIP, почта, FTP) сетями доставки данных не обслуживаются, а потому не отслеживаются. Кроме того, некоторые CDN также не поддерживают приложения, реализованные на базе Web. Пользуясь этим недостатком, хакеры атакуют приложения, не отслеживаемые CDN сетями, и получают доступ к серверу-источнику пользователя. Если весь интернет-трафик будет поглощаться, приложения на сервере-источнике пользователя будут недоступны для посетителей, даже если те будут обслуживаться CDN сетью.
Прямые IP-атаки
Приложения, обслуживаемые CDN сетью, могут быть атакованы хакерами напрямую через IP адрес веб-сервера пользователя. Как правило, киберпреступники предпочитают атаки через протокол UDP и протокол управления сообщениями в сети Интернет, которые не отслеживаются CDN сетью и могут быть направлены прямо на сервер пользователя. Такой тип атак поглощает Интернет трафик и негативно влияет на все приложения и сервисы на сервере-источнике, включая те, что обслуживаются CDN. Зачастую приложения подвергаются опасности, если в датацентре было некорректно осуществлено экранирование.
Атаки веб-приложений
В большинстве CDN сетей защита от угроз веб-приложений ограничена – может происходить утечка данных и возникать другие проблемы. Шлюзы безопасности, используемые в CDN, имеют минимальные возможности: они используют заранее установленные правила и идентификаторы. Выбирайте CDN сети с продвинутым шлюзом безопасности: они учитывают HTTP-параметры, меняют правила обеспечения безопасности и защищают от разных угроз и атак.
Еще одна слабая сторона CDN сетей – недостаток гибкости. Некоторые конфигурации безопасности должны настраиваться часами. Если используются устаревшие технологии (например, предел скорости передачи), сеть не сможет анализировать поведение сети и адаптироваться соответственно им.
INXY предлагает сети доставки контента от отличных провайдеров. В них используются современные технологии, а серверы расположены в датацентрах с круглосуточным мониторингом безопасности.
1
В социальных сетях