CDN 如何防御 DDoS 攻击？有哪些安全防护机制？

CDN 安全防护的重要性

随着网络攻击日益频繁和复杂，CDN 不仅是内容分发工具，更是重要的安全防护层。CDN 安全防护能够有效防御各种网络攻击，保护源站和用户数据安全。

主要安全威胁

1. DDoS 攻击

分布式拒绝服务攻击是 CDN 面临的最大威胁：

攻击类型：

• ** volumetric attacks**：通过大量流量耗尽带宽
• Protocol attacks：利用协议漏洞耗尽连接资源
• Application layer attacks：针对应用层的攻击（如 HTTP Flood）

攻击规模：

• 小型攻击：<1 Gbps
• 中型攻击：1-10 Gbps
• 大型攻击：10-100 Gbps
• 超大型攻击：>100 Gbps

2. Web 应用攻击

针对 Web 应用的各种攻击：

常见攻击：

• SQL 注入：通过输入恶意 SQL 语句获取数据
• XSS（跨站脚本）：注入恶意脚本窃取用户信息
• CSRF（跨站请求伪造）：伪造用户请求执行未授权操作
• 文件包含攻击：包含恶意文件执行代码

3. 恶意爬虫和抓取

自动化程序大量抓取网站内容：

危害：

• 消耗大量带宽和服务器资源
• 窃取网站内容和数据
• 影响正常用户体验

4. 数据泄露

敏感数据被非法获取：

泄露途径：

• 未加密的传输数据
• 配置错误的访问控制
• 漏洞利用

CDN 安全防护机制

1. DDoS 防护

流量清洗

CDN 通过分布式网络清洗恶意流量：

工作原理：

1. 检测异常流量模式
2. 识别攻击特征
3. 过滤恶意流量
4. 转发正常流量

清洗能力：

• 边缘清洗：在边缘节点直接过滤
• 中心清洗：汇聚到清洗中心处理
• 混合清洗：边缘和中心结合

流量限流

限制单个 IP 或用户的请求频率：

限流策略：

nginx
# 限制单个 IP 每秒最多 10 个请求
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

location / {
    limit_req zone=one burst=20 nodelay;
}

限流级别：

• IP 级限流：基于源 IP
• 用户级限流：基于用户标识
• URL 级限流：基于特定 URL

智能识别

使用 AI/ML 技术识别攻击：

识别方法：

• 行为分析：分析访问模式
• 特征匹配：匹配已知攻击特征
• 机器学习：训练模型识别新型攻击

2. WAF（Web Application Firewall）

Web 应用防火墙保护应用层安全：

WAF 功能

核心功能：

• 输入验证：验证和过滤用户输入
• 输出编码：编码输出防止 XSS
• 访问控制：控制访问权限
• 攻击检测：检测和阻止攻击

规则示例：

nginx
# 防止 SQL 注入
if ($args ~* "union.*select.*from") {
    return 403;
}

# 防止 XSS
if ($args ~* "<script|javascript:") {
    return 403;
}

WAF 部署模式

部署方式：

• 反向代理模式：CDN 作为反向代理
• 透明代理模式：透明拦截流量
• DNS 模式：通过 DNS 重定向流量

3. 访问控制

IP 白名单/黑名单

控制允许或拒绝访问的 IP：

nginx
# 白名单
allow 192.168.1.0/24;
allow 10.0.0.0/8;
deny all;

# 黑名单
deny 1.2.3.4;
deny 5.6.7.0/24;
allow all;

地理位置限制

基于地理位置限制访问：

应用场景：

• 仅允许特定国家/地区访问
• 阻止来自高风险地区的访问
• 符合地区法规要求

配置示例：

nginx
# 仅允许中国访问
geo $allowed_country {
    default no;
    CN yes;
}

if ($allowed_country = no) {
    return 403;
}

Referer 检查

防止盗链和非法引用：

nginx
# 检查 Referer
valid_referers none blocked example.com *.example.com;

if ($invalid_referer) {
    return 403;
}

4. 加密传输

HTTPS/TLS 加密

保护数据传输安全：

配置要点：

• 使用强加密套件
• 启用 HSTS
• 定期更新证书

nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;

Token 认证

使用 Token 验证请求合法性：

Token 生成：

python
import hashlib
import time

def generate_token(secret_key, path, timestamp):
    data = f"{secret_key}{path}{timestamp}"
    return hashlib.sha256(data.encode()).hexdigest()

Token 验证：

nginx
# 验证 Token
if ($arg_token != $expected_token) {
    return 403;
}

5. 爬虫防护

识别爬虫

识别合法和非法爬虫：

识别方法：

• User-Agent 分析
• 行为模式识别
• 访问频率分析

爬虫管理

管理策略：

• 白名单：允许合法爬虫（如 Googlebot）
• 黑名单：阻止恶意爬虫
• 限流：限制爬虫访问频率

nginx
# 限制爬虫访问频率
if ($http_user_agent ~* "bot|spider|crawler") {
    limit_req zone=crawler_zone rate=5r/s;
}

安全监控和告警

1. 实时监控

监控指标：

• 流量异常：流量突然增加或减少
• 请求异常：异常请求模式
• 错误率：错误率突然升高
• 响应时间：响应时间异常

2. 告警机制

告警级别：

• P1（紧急）：正在遭受攻击
• P2（重要）：检测到可疑活动
• P3（一般）：安全配置问题

告警方式：

• 邮件
• 短信
• 即时通讯工具
• 监控大屏

3. 日志分析

日志内容：

• 访问日志：记录所有请求
• 安全日志：记录安全事件
• 错误日志：记录错误信息

分析工具：

• ELK Stack（Elasticsearch, Logstash, Kibana）
• Splunk
• Graylog

安全最佳实践

1. 分层防护

实施多层安全防护：

shell
用户 → CDN 边缘节点 → WAF → 源站

各层职责：

• 边缘节点：基础防护、流量清洗
• WAF：应用层防护
• 源站：深度防护

2. 最小权限原则

仅授予必要的权限：

• 最小化公开的端口和服务
• 限制访问权限
• 定期审查权限

3. 定期安全审计

审计内容：

• 安全配置检查
• 漏洞扫描
• 渗透测试
• 安全策略审查

4. 应急响应计划

响应流程：

1. 检测攻击
2. 隔离受影响系统
3. 分析攻击来源
4. 修复漏洞
5. 恢复服务
6. 总结经验

常见安全问题及解决方案

问题 1：CC 攻击

问题描述：大量 HTTP 请求耗尽服务器资源

解决方案：

• 启用 WAF
• 实施限流策略
• 使用验证码
• IP 黑名单

问题 2：盗链

问题描述：其他网站引用你的资源

解决方案：

• 配置 Referer 检查
• 使用 Token 认证
• 启用防盗链功能

问题 3：数据泄露

问题描述：敏感数据被非法获取

解决方案：

• 启用 HTTPS
• 加密敏感数据
• 实施访问控制
• 定期安全审计

面试要点

回答这个问题时应该强调：

1. 了解 CDN 面临的主要安全威胁
2. 掌握 CDN 的各种安全防护机制
3. 理解安全防护的分层策略
4. 有实际的安全配置和防护经验
5. 能够分析和应对安全事件