當前，許多企業都意識到ddos防禦對維護非凡客戶體(tǐ)驗而言至關重要。這是爲什麽呢？因爲網絡攻擊對加載時間或最終用戶體(tǐ)驗的影響遠超過其他因素，網絡攻擊是應用性能的無症狀殺手。

作爲向最終用戶提供高可用和高性能内容的經銷商(shāng)，CDN是客戶體(tǐ)驗的關鍵。然而，CDN網絡中(zhōng)的新漏洞也讓很多人想知(zhī)道CDN本身是否容易遭受到各類攻擊侵擾，如：循環攻擊。

那麽，CDN容易遭受到什麽類型的攻擊呢？以下(xià)是會危及到CDN的5大(dà)威脅，企業必須防範這些威脅。

盲點1：動态内容攻擊

攻擊者了解到，CDN服務中(zhōng)的重大(dà)盲點是對動态内容請求的處理。由于動态内容并沒有存儲在CDN服務器中(zhōng)，因此所有動态内容請求都會發送到源服務器。攻擊者可以利用這種行爲，生(shēng)成包含HTTP GET請求随機參數的攻擊流量。CDN服務器可以立即将這些攻擊流量重定向至源服務器進行請求處理。然而，在很多情況下(xià)，源服務器無法處理所有的攻擊請求，也無法爲合法用戶提供在線服務，因此就會出現拒絕服務的情況。

許多CDN都能夠限制發送到受攻擊服務器的動态請求數量。這就意味着，他們無法區分(fēn)攻擊者和合法用戶，速率限制也會攔截合法用戶。

盲點2：基于SSL的攻擊

基于SSL的DDoS攻擊的攻擊目标是安全在線服務。這些攻擊容易發起，但是很難緩解，因此成爲了攻擊者的最愛。爲了檢測并緩解DDoS SSL攻擊，CDN服務器必須首先利用客戶的SSL密鑰解密流量。如果客戶不願意向CDN提供商(shāng)提供SSL密鑰，SSL攻擊流量就會重定向至客戶的源服務器，使得客戶容易受到SSL攻擊侵擾。擊中(zhōng)客戶源服務器的SSL攻擊可以輕易擊垮安全在線服務。

在涉及到WAF技術的DDoS攻擊中(zhōng)，CDN網絡在可擴展性能的每秒SSL連接數方面還有一(yī)個明顯劣勢，并可能出現嚴重的延遲問題。PCI和其它安全合規性也是一(yī)個問題，有時候會限制數據中(zhōng)心爲客戶提供服務的能力，這是因爲并不是所有的CDN都具備跨所有數據中(zhōng)心的PCI合規性。這可能再次增加延遲并引發審計問題。

盲點3：針對非CDN服務的攻擊

CDN服務通常隻提供給HTTP/S和DNS應用。VoIP、郵件、FTP和專用協議等客戶數據中(zhōng)心的其它在線服務和應用并不是由CDN提供的，因此，流向這些應用的流量并不會通過CDN發送。此外(wài)，許多Web應用也不是由CDN提供服務的。攻擊者正在利用這一(yī)盲點發起不經過CDN發送的針對應用的攻擊，并利用可能堵塞客戶互聯網管道的大(dà)規模攻擊客戶源服務器。一(yī)旦互聯網管道被堵塞，客戶源服務器中(zhōng)的所有應用對合法用戶均不可用，包括由CDN提供服務的應用。

盲點4：直接IP攻擊

一(yī)旦攻擊者發起了針對客戶源Web服務器IP地址的直接攻擊，即使是由CDN提供服務的應用也會遭受到攻擊。這些攻擊可能是UDP洪水或ICMP洪水等不經由CDN服務進行傳送的網絡洪水，将直接擊中(zhōng)客戶源服務器。此類大(dà)流量網絡攻擊可能堵塞互聯網管道，關閉源服務器中(zhōng)的所有應用和在線服務，包括由CDN提供服務的應用或在線服務。通常，數據中(zhōng)心“防護”的錯誤配置可能導緻應用直接容易受到攻擊侵擾。

盲點5：Web應用攻擊

針對Web應用威脅的CDN防護措施的防護水平有限，會将客戶Web應用暴露在數據洩露、數據竊取和其它常見Web應用威脅之下(xià)。多數基于CDN的Web應用防火(huǒ)牆的功能也很有限，僅适用于一(yī)組基本的預定義特征碼和規則。許多基于CDN的WAF不能閱讀HTTP參數，不會創建主動安全規則，因此無法防禦零日攻擊和已知(zhī)威脅。對于在WAF中(zhōng)爲Web應用提供優化措施的企業而言，實現這一(yī)防護水準所需的成本也是相當高的。

除了之前已确認的重大(dà)盲點外(wài)，多數CDN安全服務都不夠敏感，因此可能需要數小(xiǎo)時的手動部署才能将安全配置覆蓋到所有網絡服務器。安全服務正在使用速率限制等過時的技術，該技術在上個攻擊活動中(zhōng)已被證實效率較低，缺乏網絡行文分(fēn)析、質詢-應答機制等功能。