dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2165
  • 铜币13236枚
  • 威望5838点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
阅读:1676回复:2

动态CDN加速 降低安全风险

楼主#
更多 发布于:2016-03-10 11:31
一 目标
1. 加速
2. 安全
3. 验证

二 环境

建立"应急机制",对 DDOS/CC/扫描/SQL注入等恶意行为,交给CDN 服务商处理,另一方面为其它项目(如M/API)使用动态CDN 提供数据支持。
其实不止加速,主要目标是安全,因为动态CDN隐藏了源站地址,更拥有WAF防火墙,能够有效拦截诸如:XSS跨站攻击、SQL 注入和其他代码执行等多种攻击方式。
更灵活的加速静态资源,不需要建立一一对应的静态加速域名,静态资源跟随项目加速即可。

测是项目
q.ywwd.net

三 缓存规则

1. 对于PHP结尾的文件不缓存;
2. css/js 缓存 1小时;
3. 图片类 缓存 7天;
4. 其它文件则缓存1分钟(全局默认);

四 已验证
1. 隐藏源站
dig q.ywwd.net
; <<>> DiG 9.9.5-3ubuntu0.5-Ubuntu <<>> q.ywwd.net
省略....
;; ANSWER SECTION:
q.ywwd.net.    1403    IN    CNAME    ywwd.b0.upaiyun.com.
ywwd2.b0.upaiyun.com. 1377 IN    CNAME    cun.b9.aicdn.com.
cun.b9.aicdn.com.    222    IN    A   111.202.75.66
cun.b9.aicdn.com.    222    IN    A   60.28.14.125
cun.b9.aicdn.com.    222    IN   A   123.125.93.20
cun.b9.aicdn.com.    222    IN    A    60.28.14.120
cun.b9.aicdn.com.    222    IN   A    60.28.14.121
省略....

2. 缓存时间
#注意Pragma & Cache-Control 头信息,不缓存
curl -IL http://q.ywwd.net/index.php
    HTTP/1.1 200 OK
    Server: marco/0.9
    Date: Thu, 10 Dec 2015 00:44:58 GMT
    Content-Type: text/html; charset=UTF-8
    Connection: keep-alive
    Vary: Accept-Encoding
    X-Source: C/200
    Set-Cookie: UUID=100abc9c-0227-9c27-98d7-5668cb284906; expires=Fri, 09-Dec-2016 00:44:52 GMT; Max-Age=31536000; path=/; domain=.ywwd.net
    Set-Cookie: SESSION_COOKIE=v01; path=/
    Cache-Control: no-cache, no-store, must-revalidate
    Expires: Sat, 03 Mar 1990 23:33:33 GMT
    Pragma: no-cache
    Age: 6
    X-Cache: MISS|MISS from cun-bj-pek3-105, MISS|MISS from cun-bj-pek2-069
    X-Request-Id: 196340f7fc12452276942eb1c9ecedb3
    Via: S.cun-bj-pek3-106, T.75105.M.2, T.75105.M.1, V.cun-bj-pek3-105, T.7574.M.2, T.7574.M.1, M.cun-bj-pek2-069

#缓存(2分钟),注意Cache-Control 头信息
curl -IL http://q.ywwd.net/topic/472
    HTTP/1.1 200 OK
    Server: marco/0.9
    Date: Thu, 10 Dec 2015 01:28:50 GMT
    Content-Type: text/html; charset=UTF-8
    Connection: keep-alive
    Vary: Accept-Encoding
    X-Source: C/200
    Set-Cookie: UUID=8a434c57-5365-f696-eabc-5668d5c1402f; expires=Fri, 09-Dec-2016 01:28:43 GMT; Max-Age=31536000; path=/; domain=.ywwd.net
    Set-Cookie: SESSION_COOKIE=v01; path=/
    Cache-Control: max-age=120
    Expires: Thu, 10 Dec 2015 01:30:50 GMT
    Age: 7
    X-Cache: MISS|MISS from cun-hz-fdi-150, MISS|MISS from cun-tj-tsn-016
    X-Request-Id: 2821e8c61d6569ef775ff355184d2189
    Via: S.ctn-hz-fdi-020, T.250149.M.2, T.250149.M.1, V.cun-hz-fdi-150, T.149.M.2, T.149.M.1, M.cun-tj-tsn-016

3. 登陆账号
   正常
  
4. 回复延时
   正常
    
5. 上传数据
   正常

6. 安全防护

图片:dcdn1.png


截图是 拦截 sql 注入 与 xss 攻击。


小结

目前项目使用动态CDN加速 已有4个多月,基本满足需求,只是CDN边缘节点与源站之间,因网络链路调整或者延时,偶尔导致 502 /504 等错误,不过出现频率较低,影响不大可以接受;

推荐扩展阅读使用CDN 为网站加速
#
dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2165
  • 铜币13236枚
  • 威望5838点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
沙发#
发布于:2016-06-13 09:47
sql 注入
动态cdn 防止sql 注入,截图

图片:2016-05-30-max.png

dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2165
  • 铜币13236枚
  • 威望5838点
  • 银元150个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 原创写手
板凳#
发布于:2017-02-14 17:10
upyun 503 解决方法
问题描述
使用 upyun 动态cdn ,刷新10次页面 6次 503 错误;

图片:upyun-503-6.png



错误原因
与阿里云盾有关,

图片:upyun-503-f1.png



解决方法

图片:upyun-503-f2.png


阿里云盾,添加信任IP,不过引入新的麻烦,云盾.扫描拦截 0.0.0.0 信任所有IP。。。
参考 https://techs.b0.upaiyun.com/videos/cdnpage/yundun.html
游客

返回顶部