基于邊緣云的機器流量管理技術(shù)實(shí)戰

企業(yè)邊緣應用面臨的挑戰

cdn/' target='_blank'>CDN是通過(guò)在全球范圍內分布式地部署邊緣服務(wù)器將各類(lèi)互聯(lián)網(wǎng)內容緩存到靠近用戶(hù)的邊緣服務(wù)器上，從而降低用戶(hù)訪(fǎng)問(wèn)時(shí)延并大幅減少穿越互聯(lián)網(wǎng)核心網(wǎng)的流量?；ヂ?lián)網(wǎng)業(yè)務(wù)使用CDN已經(jīng)成為一種必然的選擇。傳統網(wǎng)站防護基本上都是保護源站，客戶(hù)購買(mǎi)防火墻、WAF等產(chǎn)品就可以保護自己核心業(yè)務(wù)的內容不被惡意竊取。但傳統防護方式并不能完全滿(mǎn)足業(yè)務(wù)流量通過(guò)CDN分發(fā)的場(chǎng)景：

1. 部署位置在源站前，主要為了保護源站。在CDN架構中，頁(yè)面基本都緩存在CDN上，爬蟲(chóng)可以直接從CDN上直接爬走用戶(hù)敏感業(yè)務(wù)數據。

2. 識別手段主要依靠在用戶(hù)頁(yè)面中嵌入JS，這種方式本質(zhì)上修改了用戶(hù)的頁(yè)面，有很強的侵入性，并且只能適配web業(yè)務(wù)，針對api業(yè)務(wù)不生效。

3. 處置手段一般通過(guò)頻次控制，對高頻的IP等特征進(jìn)行限制，這種方式容易被繞過(guò)，現在爬蟲(chóng)基本都會(huì )采用IP代理池的方式，隨機修改請求的header字端，這樣很難找到特征進(jìn)行頻次控制。

CDN當前承接了主站大量業(yè)務(wù)，也必然要保證業(yè)務(wù)瀏覽和交易體驗，防止內容不被惡意竊取。越來(lái)越多的業(yè)務(wù)數據緩存在CDN的邊緣服務(wù)器上，邊緣安全的權重越來(lái)越高。而基于邊緣云的機器流量管理應運而生，應對CDN邊緣安全隱患，實(shí)現用戶(hù)應用數據安全保護。

邊緣云的機器流量管理的實(shí)現及優(yōu)勢

基于CDN邊緣節點(diǎn)的機器流量管理分析及處理流程如下圖所示：

互聯(lián)網(wǎng)訪(fǎng)問(wèn)一般分為用戶(hù)正常，商業(yè)搜索引擎訪(fǎng)問(wèn)，惡意爬蟲(chóng)訪(fǎng)問(wèn)等，機器流量管理通過(guò)在邊緣提取請求報文特征，基于報文特征識別請求類(lèi)型，在邊緣阻斷惡意爬蟲(chóng)訪(fǎng)問(wèn)，保護CDN上緩存資源不被惡意爬取。

1. 基于CDN邊緣網(wǎng)絡(luò )架構實(shí)現機器流量管理能力，通過(guò)請求報文特征識別域名的請求類(lèi)型，區分是正常的請求還是惡意的機器請求，幫助用戶(hù)管理自己的請求，阻斷惡意請求。
2. 通過(guò)識別域名的請求類(lèi)型，實(shí)時(shí)標記出請求的報文類(lèi)型，非常直觀(guān)的展示出當前的業(yè)務(wù)請求中的報文類(lèi)型，客戶(hù)可以直觀(guān)的感知到自己的網(wǎng)站的訪(fǎng)問(wèn)類(lèi)型分布情況，針對異常的報文類(lèi)型進(jìn)行處置。

1. 通過(guò)處置報文類(lèi)型而不是處置IP，只要惡意請求的報文類(lèi)型不變，攻擊者隨機頭部字段或者使用秒撥代理IP池都無(wú)法繞過(guò)。

機器流量管理實(shí)際結果驗證

PS：如想了解更多關(guān)于阿里云邊緣云的業(yè)務(wù)，可釘釘搜索加群35469210