寫在最前面

在一個(gè)陽光明媚的下午，我收到了一個(gè)特別的邀請：對騰訊云EdgeOne（簡稱EO），一款致力于提速和加強(qiáng)網(wǎng)站安全的邊緣安全加速平臺(tái)，進(jìn)行深度評(píng)測。

安全測評(píng)來了！對于網(wǎng)絡(luò)安全方向的學(xué)生而言，這是一次絕佳的實(shí)戰(zhàn)機(jī)會(huì)。

帶著濃厚的興趣，我迅速投入到資料搜集中，并很快鎖定了一份報(bào)告------《亞太第一! 騰訊云EdgeOne入選DDoS防護(hù)市場報(bào)告》。這篇報(bào)告不僅展示了EdgeOne在DDoS防護(hù)領(lǐng)域的綜合實(shí)力和專業(yè)性，更是體現(xiàn)了騰訊二十多年來抗擊網(wǎng)絡(luò)暗流的智慧與勇氣。

為了深入評(píng)估其性能，我將重建的個(gè)人博客設(shè)置為測試載體，并配置了一個(gè)月的EO服務(wù)。4月，期待您的"安全交流"https://www.lightrain.asia/。

我還召集了實(shí)驗(yàn)室的同伴們共同參與這次實(shí)戰(zhàn)測試，我們小隊(duì)準(zhǔn)備攻防實(shí)戰(zhàn)，旨在解碼EdgeOne背后的真正技術(shù)實(shí)力和價(jià)值所在。之后如果有機(jī)會(huì)，我們計(jì)劃設(shè)立一個(gè)專用"靶場"進(jìn)行更專項(xiàng)的評(píng)測hh

誠邀您閱讀我們的實(shí)驗(yàn)報(bào)告，一同探索騰訊云EdgeOne的核心承諾：它是如何構(gòu)筑起一道堅(jiān)固無比的安全防線，保障業(yè)務(wù)運(yùn)行的流暢與安全的。

一、產(chǎn)品概述

EdgeOne官網(wǎng)：https://cloud.tencent.com/act/pro/edgeone_promotion_october?from=20421&from_column=20421

邊緣安全加速平臺(tái) EO 官方文檔https://cloud.tencent.com/document/product/1552/69826

1.1 什么是邊緣安全加速平臺(tái) EO？

邊緣安全加速平臺(tái) EdgeOne (Tencent Cloud EdgeOne) 結(jié)合騰訊強(qiáng)大的邊緣計(jì)算技術(shù)，致力于優(yōu)化用戶體驗(yàn)。

• 加速：EdgeOne通過部署近用戶的邊緣節(jié)點(diǎn)，有效減少數(shù)據(jù)訪問延遲，同時(shí)提供動(dòng)靜態(tài)內(nèi)容加速、跨國加速和智能路由優(yōu)化等功能，以保障數(shù)據(jù)傳輸?shù)母咝c穩(wěn)定。

• 安全：EdgeOne提供WAF和DDoS防護(hù)等服務(wù)，利用智能AI和策略引擎阻斷各類攻擊，確保業(yè)務(wù)流暢穩(wěn)定。

相較于傳統(tǒng)CDN、ECDN和SCDN服務(wù)，EdgeOne以其集成的多功能性和高度優(yōu)化的性能突破傳統(tǒng)邊界，為多元化的應(yīng)用場景如游戲、視頻、電商等提供定制化的加速和安全保障，表現(xiàn)出顯著的提升和優(yōu)化，更多功能支持如下表所示：

1.2 EdgeOne產(chǎn)品功能

邊緣安全加速平臺(tái)EO融合了內(nèi)容加速和安全防護(hù)功能，打造了一個(gè)一體化的邊緣安全加速解決方案。它不僅提升了業(yè)務(wù)的訪問速度，還構(gòu)建了從第3層到第7層的全方位安全防護(hù)體系，為用戶帶來了全面的安全保障。

二、準(zhǔn)備工作

在準(zhǔn)備工作的環(huán)節(jié)，先后嘗試了找朋友借的域名、github域名、后面自己購買的域名，因此截圖中有多種域名展示。

經(jīng)驗(yàn)+3：

1. 需要時(shí)域名解析后的網(wǎng)站、即不能是沒有綁定域名的網(wǎng)站ip（報(bào)錯(cuò)請輸入合法的站點(diǎn)）；

注意：需要是域名解析后的網(wǎng)站。例如下方這種就是不可以的，會(huì)報(bào)錯(cuò)。

域名解析就是將域名(地址)與網(wǎng)站服務(wù)器ip地址進(jìn)行綁定關(guān)聯(lián)。

2. 最好非已購買其他CDN、EO等服務(wù)的子域名（流量計(jì)算不方便）；

3. 必須要是自己擁有的域名（無法驗(yàn)證域名歸屬權(quán)），且不能是github網(wǎng)頁域名（文件驗(yàn)證無法實(shí)現(xiàn)，如有會(huì)的大佬還請指點(diǎn)一二）

2.1 選擇：NS（Name Server）接入模式或 CNAME 接入模式

對于想要接入如 EdgeOne 這樣的邊緣加速安全服務(wù)，面臨的選擇包括 NS（Name Server）接入模式和 CNAME 接入模式。而目標(biāo)是僅將 `www.lightrain.asia` 子域名接入 EO，而該子域名目前尚未解析任何網(wǎng)站。

CNAME 接入模式

對于單獨(dú)的子域名接入，CNAME 接入模式往往更加簡單和靈活。這種模式不需要改變整個(gè)域名的 DNS 解析服務(wù)器，只需要為特定的子域名設(shè)置一個(gè) CNAME 記錄指向 EO 提供的域名。按照你的情況，這可能是最方便的方法。步驟如下：

1. 設(shè)置 EO： 在EO 提供商（如 EdgeOne）的控制臺(tái)中，創(chuàng)建一個(gè)新的接入規(guī)則，指定 www.lightrain.asia作為目標(biāo)域名。

2. 獲取 EO CNAME 地址： 在完成上述步驟后，EO 提供商會(huì)給你一個(gè)特定的域名（如www.lightrain.asia.eo.dnse2.com），用于 CNAME 目的。

3. 配置 DNS 記錄： 去到你的域名注冊商或 DNS 服務(wù)提供商處，為 www.lightrain.asia 添加一個(gè) CNAME 記錄，指向第二步中提供的 EO 域名。

4. 等待 DNS 生效： DNS 修改可能需要一些時(shí)間（最多48小時(shí)）來全球生效。

NS接入模式

特點(diǎn):

• NS（Name Server）接入模式適用于希望通過EdgeOne接入整個(gè)域名及其所有子域名的場景。

• 使用此模式需將域名的DNS服務(wù)器更改為EdgeOne提供的DNS服務(wù)器，這將影響域名下所有服務(wù)的DNS解析。

最終選擇CNAME接入模式

由于只需接入特定子域名，最終選擇CNAME接入模式：

• 選擇CNAME接入模式是為了避免影響到域名lightrain.asia下的其他服務(wù)，同時(shí)操作更為簡便。

• 通過CNAME接入，僅將https://www.lightrain.asia子域名接入EdgeOne。設(shè)置時(shí)需指定正確的源服務(wù)器地址，以便EdgeOne能從中獲取內(nèi)容進(jìn)行緩存、分發(fā)及提供安全服務(wù)。

2.2 從零開始快速接入 EdgeOne

已有一個(gè)可供對外訪問的服務(wù)，可以是云服務(wù)器或者是騰訊云 COS 服務(wù)。

步驟一：添加站點(diǎn)

完成以上準(zhǔn)備工作后，即可開始接入至 EdgeOne 。

1. 登錄 邊緣安全加速平臺(tái) EO 控制臺(tái)。

2. 首次登錄控制臺(tái)時(shí)，需要添加一個(gè)可用站點(diǎn)，單擊添加站點(diǎn)。

3. 在站點(diǎn)輸入框中，輸入準(zhǔn)備好的待接入站點(diǎn)域名，例如：example.com；單擊下一步。

注意，需要添加二級(jí)域名。如果想添加實(shí)際業(yè)務(wù)子域名，需要在創(chuàng)建之后再接入。

步驟二：選擇套餐

該步驟需要綁定站點(diǎn)接入的套餐規(guī)格，以便平臺(tái)分配對應(yīng)的服務(wù)資源?？梢酝ㄟ^選購新套餐和綁定至已有套餐兩種方式進(jìn)行綁定：

步驟三：選擇加速區(qū)域和接入模式，完成站點(diǎn)接入

該步驟需要選擇符合需求的加速區(qū)域和接入模式。

1. 選擇加速區(qū)域，加速區(qū)域主要用于分配服務(wù)當(dāng)前站點(diǎn)的節(jié)點(diǎn)資源，當(dāng)選擇中國大陸可用區(qū)及全球可用區(qū)時(shí)，要求當(dāng)前域名已完成工信部備案，如果域名未完成工信部備案，請參考 備案流程 完成域名備案。

2. 選擇接入模式，EdgeOne 提供了兩種接入模式，分別為 NS 接入模式和 CNAME 接入模式。

步驟四：添加子域名，以及加速域名

根據(jù)所選擇接入模式不同，添加子域名的步驟也會(huì)有所區(qū)別，請根據(jù)步驟三內(nèi)所選擇的不同接入模式來添加加速域名。

CNAME接入模式：

1. 單擊左側(cè)菜單欄的站點(diǎn)列表，選擇所添加的站點(diǎn)，進(jìn)入站點(diǎn)詳情管理。

2. 單擊域名服務(wù) > 域名管理 進(jìn)入域名管理詳情頁，單擊添加域名，新增加速域名。

3. 填寫需添加的加速域名以及對應(yīng)的源站信息，單擊下一步。

注意，這里的回源協(xié)議不要選擇 HTTPS，因?yàn)槿绻褂昧?EO 回源訪問之后，Github 自己是檢測不出來的，然后也不會(huì)給你自動(dòng)配置 HTTPS，所以千萬不要選 HTTPS！通過 HTTP 才能正?；卦丛L問 Github 源網(wǎng)站。

4. 這里選擇跳過。域名添加完成后，可以前往【規(guī)則引擎】自行配置。

5. 驗(yàn)證歸屬權(quán)。

不同的域名服務(wù)商，對應(yīng)不同的添加方式，具體驗(yàn)證步驟可參考官方文檔：https://cloud.tencent.com/document/product/1552/90434

6. 配置CNAME記錄

注意：這個(gè)和上一步動(dòng)作相同，但配置的內(nèi)容不一樣，也是不可省略的一步。

步驟五：如何驗(yàn)證加速域名已經(jīng)生效

完成 CNAME 配置后，平臺(tái)將自動(dòng)檢測當(dāng)前 CNAME 狀態(tài)是否已生效，如果在域名管理列表的狀態(tài)一欄顯示當(dāng)前 CNAME 已生效，則當(dāng)前域名已正確配置并開啟加速。

如果已正確配置 CNAME，當(dāng)前狀態(tài)仍顯示未生效，也可能是域名解析服務(wù)商的 CNAME 解析生效延遲。

可以提前手動(dòng)驗(yàn)證：在 Windows 系統(tǒng)中，打開 cmd 運(yùn)行程序，以域名 www.example.com為例，您可以在 cmd 內(nèi)運(yùn)行：nslookup -qt=cname www.example.com，根據(jù)運(yùn)行的解析結(jié)果內(nèi)，可以查看該域名的 CNAME 信息。若 CNAME 結(jié)果為 EdgeOne 內(nèi)分配的 CNAME 地址，即已切換至 EdgeOne 加速。

步驟六：部署/更新 SSL 托管證書至 EdgeOne 域名

為什么要部署SSL證書？

為網(wǎng)站配置SSL證書，是提升網(wǎng)站安全性和建立用戶信任的重要步驟。

官方回答：通過啟用HTTPS，可以確保數(shù)據(jù)在用戶與網(wǎng)站之間傳輸時(shí)的加密，從而保護(hù)用戶信息免受第三方的窺視和篡改。

簡單來說：如果沒有部署SSL證書，瀏覽器往往會(huì)警告訪問者網(wǎng)站的安全性問題，顯示"您訪問的網(wǎng)站不安全"的提示，這多少有點(diǎn)影響用戶體驗(yàn)，也給人一種不專業(yè)的印象。

如何部署SSL證書？（部署付費(fèi)SSL托管證書，請見官方文檔：https://cloud.tencent.com/document/product/1552/88874）

1. 進(jìn)入配置頁后，先填入你的域名，再選擇證書。

2. 在域名管理頁面，選擇待配置證書的域名，在 HTTPS 列內(nèi)單擊編輯，彈出 HTTPS 證書配置。

3. 選擇申請免費(fèi)證書后，單擊確定，即可完成免費(fèi)證書的申請和安裝。

4. 部署完成后，可以在域名管理列表頁中，將鼠標(biāo)懸停于已配置圖標(biāo)上，可展示當(dāng)前已部署的證書信息。

接入EdgeOne準(zhǔn)備工作的小結(jié)

咱們其實(shí)做的工作，簡單來說，就是讓網(wǎng)站更快、更安全、更靠譜了。具體來說，分了這么幾步：

1. 添加EdgeOne服務(wù)器，將EdgeOne的源指向Github服務(wù)器 - 在這一步中，我們將EdgeOne的源頭設(shè)置為Github服務(wù)器。這意味著我們的網(wǎng)站內(nèi)容能夠通過EdgeOne平臺(tái)快速傳遞給訪客，利用EdgeOne的邊緣計(jì)算能力，優(yōu)化內(nèi)容的分發(fā)速度。

2. DNS配置，將CNAME指向EdgeOne - 緊接著，我們在DNS設(shè)置中將CNAME記錄指向我們的EdgeOne。這一操作的好處是，當(dāng)有人嘗試訪問我們的域名時(shí)，DNS會(huì)引導(dǎo)他們到EdgeOne上，借此加快訪問速度，提高網(wǎng)站的響應(yīng)能力。

3. SSL證書發(fā)放，并綁定到EdgeOne - 最后，為了網(wǎng)站的安全性，我們?yōu)樽约旱挠蛎C發(fā)了SSL證書，并將該證書綁定到EdgeOne上。通過這個(gè)證書，我們的網(wǎng)站能夠?qū)崿F(xiàn)HTTPS加密訪問，不僅增強(qiáng)了安全性，還能使瀏覽器標(biāo)記我們的網(wǎng)站為"安全網(wǎng)站"。

通過這一系列的設(shè)置，我們不僅加速了網(wǎng)站內(nèi)容的分發(fā)，還通過EdgeOne的高級(jí)安全功能增強(qiáng)了網(wǎng)站的安全防護(hù)，為訪客提供了更快速、更安全的訪問體驗(yàn)。

2.3 可換綁站點(diǎn)

注意：停用并刪除站點(diǎn)，是可以換綁站點(diǎn)ip的

這點(diǎn)感覺非常的人性化 ~

2.4 安全性攻擊測試方案

為了測試EdgeOne提供的安全服務(wù)，我們擬對受EdgeOne保護(hù)的個(gè)人博客筆記站點(diǎn)進(jìn)行攻擊。攻擊測評(píng)方案主要關(guān)注于識(shí)別和防御可能遭受的安全威脅，包括但不限于暴力破解攻擊、注入攻擊、跨站腳本（XSS）攻擊、跨站請求偽造（CSRF）等。

針對EO安全服務(wù)特性，我們先初步設(shè)計(jì)攻擊測評(píng)方案，然后在性能測試中給出實(shí)際安全測試效果。初步方案設(shè)計(jì)如下：

DDoS攻擊

• 是什么：分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）是指攻擊者通過網(wǎng)絡(luò)遠(yuǎn)程控制大量僵尸主機(jī)向一個(gè)或多個(gè)目標(biāo)發(fā)送大量攻擊請求，堵塞目標(biāo)服務(wù)器的網(wǎng)絡(luò)帶寬或耗盡目標(biāo)服務(wù)器的系統(tǒng)資源，導(dǎo)致其無法響應(yīng)正常的服務(wù)請求。

• 測試目標(biāo)：評(píng)估EdgeOne對大規(guī)模流量攻擊的防御能力。

CC攻擊壓力測試

• 是什么：“CC攻擊"通常指的是"DDoS攻擊”（分布式拒絕服務(wù)攻擊）的一種形式。它專注于攻擊HTTP（超文本傳輸協(xié)議）協(xié)議，即網(wǎng)絡(luò)瀏覽器和Web服務(wù)器之間的通信協(xié)議。CC攻擊的目標(biāo)是使Web服務(wù)器或網(wǎng)站無法響應(yīng)正常的HTTP請求，通常通過向目標(biāo)發(fā)送大量的HTTP請求來實(shí)現(xiàn)。這些請求可能是合法的，但是它們的數(shù)量和速率超出了目標(biāo)系統(tǒng)的處理能力，導(dǎo)致服務(wù)不可用。

• 測試目標(biāo)：評(píng)估EdgeOne對大規(guī)模流量攻擊的防御能力。

Web漏洞掃描

• 是什么：Web漏洞掃描是指通過自動(dòng)化工具或手動(dòng)方式檢測網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序中存在的安全漏洞。這些漏洞可能會(huì)導(dǎo)致信息泄露、未經(jīng)授權(quán)的訪問、拒絕服務(wù)攻擊或其他安全威脅。作為黑客攻擊的先行軍，如果能夠精確的發(fā)現(xiàn)Web漏洞掃描攻擊并且有效的阻攔就能夠很好的去防護(hù)網(wǎng)站免受跨站腳本（XSS）、跨站請求偽造（CSRF）等攻擊的威脅。

• 測試目標(biāo)：評(píng)估EdgeOne對Web漏洞掃描攻擊的防御能力

SQL注入攻擊

• 是什么：SQL注入攻擊利用了應(yīng)用程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷或過濾不嚴(yán)的漏洞，攻擊者可以在web應(yīng)用程序中事先定義好的查詢語句的結(jié)尾上添加額外的SQL語句，在管理員不知情的情況下實(shí)現(xiàn)非法操作，以此來實(shí)現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢，從而進(jìn)一步得到相應(yīng)的數(shù)據(jù)信息。

• 測試目標(biāo)：評(píng)估EdgeOne對SQL注入攻擊的防御能力

三、性能測試

3.1 EdgeOne產(chǎn)品費(fèi)用

個(gè)人版1個(gè)月6.8r，基礎(chǔ)版1個(gè)月288r，熟悉了解的小伙伴可以評(píng)論一下性價(jià)比------之前沒接觸過，不了解。

下述測評(píng)為基礎(chǔ)版套餐的表現(xiàn)能力》

3.2 驗(yàn)證站點(diǎn)加速效果

這一小節(jié)，我們測試在站點(diǎn)接入后，對站點(diǎn)是否具有訪問加速的提升。

在站點(diǎn)接入前，可以看到該站點(diǎn)在接入前加載總耗時(shí)較長，平均為3.735s才能響應(yīng)。響應(yīng)狀況一片紅，原因簡單：在這個(gè)基本靜態(tài)的博客中，暫時(shí)還沒有配置任何有關(guān)的加速預(yù)覽設(shè)計(jì)。

在站點(diǎn)接入后，設(shè)置網(wǎng)頁的智能加速方案，通過訪問已在 EdgeOne 內(nèi)接入的加速域名，可以看到國內(nèi)絕大多數(shù)節(jié)點(diǎn)1s內(nèi)即可響應(yīng)訪問,平均響應(yīng)訪問時(shí)間1.696s。

（在閱讀文檔時(shí)，注意到騰訊EO產(chǎn)品對動(dòng)態(tài)、動(dòng)靜態(tài)結(jié)合的資源都能智能加速。但需要注意的是，此功能為收費(fèi)服務(wù)。）

那么這里的原理是什么？為什么加了一個(gè)EO之后，網(wǎng)頁的訪問速度變快了這么多？

帶著問題去官方文檔中找答案：https://cloud.tencent.com/document/product/1552/96193

站點(diǎn)加速服務(wù)是專門針對 HTTP/HTTPS 等應(yīng)用層協(xié)議的互聯(lián)網(wǎng)內(nèi)容分發(fā)加速服務(wù)，尤其適合用于網(wǎng)站、在線應(yīng)用、流媒體等內(nèi)容的分發(fā)。站點(diǎn)加速可通過豐富的功能配置 ，如緩存優(yōu)化，文件優(yōu)化，網(wǎng)絡(luò)優(yōu)化等，幫助您實(shí)現(xiàn)更高效、更穩(wěn)定的內(nèi)容分發(fā)，提升業(yè)務(wù)用戶的體驗(yàn)滿意度，從而增強(qiáng)您的網(wǎng)站、應(yīng)用或其他在線服務(wù)的競爭力。

關(guān)于邊緣安全加速平臺(tái)EO的原理，可以通過一個(gè)簡單的比喻來理解：你開了一家連鎖超市，不僅在全國各地開設(shè)了許多分店（EO節(jié)點(diǎn)），還在每個(gè)分店安裝了高級(jí)的安全監(jiān)控系統(tǒng)和提供了專業(yè)的顧客服務(wù)。這個(gè)安全監(jiān)控系統(tǒng)能夠識(shí)別并阻止任何試圖損壞商品、貨架等不合適行為，并且專業(yè)的顧客服務(wù)保證了每位顧客在購物過程中遇到問題時(shí)都能得到快速而有效的幫助。

這樣一來，不僅顧客可以在離他們更近的分店購買到想要的商品，享受快速便捷的服務(wù)，同時(shí)還能在一個(gè)安全可靠的環(huán)境中購物，大大提高了他們的購物體驗(yàn)。而對于超市（網(wǎng)站）來說，這不僅減輕了總店（原始服務(wù)器）的壓力，提高了商品（內(nèi)容）的交付速度，還大大增強(qiáng)了安全性，減少了盜竊（網(wǎng)絡(luò)攻擊）的風(fēng)險(xiǎn)。

圖為EO網(wǎng)站所開分店所分?jǐn)偟牧髁?、請求?shù)和帶寬，可以看到：比總店（原始服務(wù)器）直接接待的顧客數(shù)量要多很多。

并且緩存命中率很高，即分店向總店的提前進(jìn)貨量很大程度覆蓋出貨產(chǎn)品

簡而言之，邊緣安全加速平臺(tái)EO不僅通過在不同地理位置部署多個(gè)節(jié)點(diǎn)，減少數(shù)據(jù)傳輸?shù)木嚯x和時(shí)間，提高內(nèi)容的加載速度，改善用戶體驗(yàn)，還通過先進(jìn)的安全技術(shù)和服務(wù)，保護(hù)網(wǎng)站和用戶免受網(wǎng)絡(luò)攻擊和威脅，確保數(shù)據(jù)安全和隱私保護(hù)。

3.3 驗(yàn)證站點(diǎn)安全性

基于安全性攻擊測試方案，結(jié)合防御措施、功能支持，簡單解讀一下多重攻擊的安全測試結(jié)果。

更多EdgeOne安全原理可見：https://cloud.tencent.com/document/product/1552/101094

DDoS防御測試

• 測試方法：hping3 是 面向命令行的用于生成和解析TCP/IP協(xié)議數(shù)據(jù)包匯編/分析的開源工 具，能夠發(fā)送自定義 TCP/IP 數(shù)據(jù)包并顯示目標(biāo)回復(fù)。我們使用hping3 工具模擬SYN DDoS攻擊消耗目標(biāo)服務(wù)器資源，然后觀察EdgeOne如何識(shí)別和緩解這些攻擊。攻擊測試如下：

• 測試結(jié)果：該方法打成了，因?yàn)樗麄卧煸戳耍也坏焦魴C(jī)，才沒有回復(fù)

關(guān)于是否攔住了，可以測試兩次登錄之間的時(shí)間差，如果時(shí)間相差不大，則攔截成功

在DDoS攻擊的期間，對攻擊頁面進(jìn)行測速，觀察：是否能正常訪問、訪問速度是否有影響

這里貼兩張測評(píng)前、測評(píng)中的訪問速度對比圖：

可以看到幾乎沒有影響，說明DDoS攻擊攔截成功。

• 防御措施：EdgeOne利用EO的分布式網(wǎng)絡(luò)架構(gòu)吸收和分散攻擊流量，配置自動(dòng)化的流量分析與異常檢測機(jī)制，快速識(shí)別并緩解DDoS攻擊。

• 功能支持：EdgeOne支持的DDoS 防護(hù)功能默認(rèn)使用適中的防護(hù)等級(jí)，可以自動(dòng)防護(hù)清洗針對四層業(yè)務(wù)（TCP/UDP 應(yīng)用）的 DDoS 攻擊。例如，在日常防護(hù)中使用適中防護(hù)等級(jí)丟棄具有明顯 DDoS 攻擊特征的流量；在攻擊透傳時(shí)使用嚴(yán)格防護(hù)等級(jí)丟棄所有疑似 DDoS 攻擊的流量來進(jìn)行應(yīng)急恢復(fù)。EdgeOne 的DDoS防御功能如下圖：

CC攻擊防御測試

• 測試方法：kali linux上有用來做網(wǎng)站壓測的工具ab，利用該工具進(jìn)行cc攻擊，測試EdgeOne對cc攻擊的防護(hù)能力，命令行參數(shù)如下：

ab -n（模擬的請求數(shù)） -c （模擬并發(fā)出數(shù)） 動(dòng)態(tài)網(wǎng)站的鏈接

• 測試結(jié)果：EO成功捕獲并攔截 ！

防御措施：

• 預(yù)設(shè)的CC攻擊防護(hù)策略：EdgeOne平臺(tái)默認(rèn)開啟的預(yù)設(shè)CC攻擊防護(hù)策略旨在通過自動(dòng)識(shí)別和攔截潛在的HTTP/HTTPS DDoS攻擊，保護(hù)網(wǎng)站的可用性。這些策略專為防止攻擊者占用Web服務(wù)的連接和會(huì)話資源，確保服務(wù)能夠正常響應(yīng)用戶請求。

• 速率限制和Bot管理：除了基礎(chǔ)的CC攻擊防護(hù)之外，EdgeOne還提供速率限制和Bot管理功能來進(jìn)一步加強(qiáng)安全防護(hù)。這些功能對于處理不會(huì)直接導(dǎo)致源站錯(cuò)誤或降低站點(diǎn)可用性，但仍可能對資源造成濫用的場景（如盜刷資源、批量登錄、自動(dòng)化購物車操作等）尤為重要。

• "干凈流量"計(jì)費(fèi)模式：EdgeOne采用"干凈流量"計(jì)費(fèi)模式，意味著平臺(tái)只對經(jīng)過安全防護(hù)功能處理并通過的流量和請求進(jìn)行計(jì)費(fèi)。這個(gè)計(jì)費(fèi)模式確保了用戶只為實(shí)際上對業(yè)務(wù)有價(jià)值的流量支付費(fèi)用，而不是被安全防護(hù)功能攔截的惡意流量。

功能支持：

• 高頻訪問請求限制：此策略通過限制來自單一IP源的訪問頻次，以應(yīng)對大量并發(fā)連接請求的CC攻擊。EdgeOne會(huì)根據(jù)最近7天的請求數(shù)據(jù)建立請求速率的基線，并結(jié)合限制等級(jí)來限制客戶端訪問速率。

• 慢速攻擊防護(hù)：面對大量慢速連接請求的CC攻擊，此策略允許基于單個(gè)會(huì)話設(shè)置最低連接速率限制，以淘汰慢速連接客戶端。

• 智能客戶端過濾：結(jié)合速率基線學(xué)習(xí)、頭部特征統(tǒng)計(jì)分析和客戶端IP情報(bào)，智能客戶端過濾實(shí)時(shí)動(dòng)態(tài)生成防護(hù)規(guī)則。對于來自高危客戶端或攜帶高危頭部特征的請求，平臺(tái)會(huì)執(zhí)行JavaScript挑戰(zhàn)以進(jìn)行人機(jī)驗(yàn)證。

通過這些防御措施和功能支持，EdgeOne平臺(tái)能夠有效地防護(hù)CC攻擊，保護(hù)網(wǎng)站的正常運(yùn)行，同時(shí)為網(wǎng)站所有者提供靈活且成本效益高的解決方案。

Web應(yīng)用層防御測試

• 測試方法：Nikto 是一個(gè)開源的 Web 服務(wù)器掃描器，其原理基于發(fā)送各種 HTTP 請求并分析返回結(jié)果以發(fā)現(xiàn)潛在的安全漏洞和配置錯(cuò)誤。我們利用Nikto開源掃描器對網(wǎng)站上的漏洞進(jìn)行掃描，以期發(fā)現(xiàn)網(wǎng)站的Web漏洞并進(jìn)行下一步攻擊。攻擊測試如下：

• 測試結(jié)果1：在測試中發(fā)現(xiàn)，后續(xù)的流量被TencentEdge接管然后無法繼續(xù)掃描。

查詢網(wǎng)站可以發(fā)現(xiàn)，已經(jīng)報(bào)告了掃描的危險(xiǎn)行為

• 測試結(jié)果2：從圖中可以看出，sqlmap未能發(fā)現(xiàn)SQL注入漏洞，同時(shí)EdgeOne報(bào)告了SQL注入攻擊的危險(xiǎn)行為。

• 防御措施：

  ①WAF配置：啟用并正確配置EO提供的WAF，以識(shí)別和阻止XSS、SQL注入和CSRF等攻擊。這包括設(shè)置安全規(guī)則，更新防護(hù)策略，以及定期審計(jì)WAF的效能。

  ②安全策略更新：持續(xù)更新安全規(guī)則和響應(yīng)策略，以對抗新出現(xiàn)的漏洞和攻擊手法。

• 功能支持：EdgeOne提供對 HTTP/HTTPS 協(xié)議的應(yīng)用層防護(hù)的Web 防護(hù)功能，EdgeOne 具有預(yù)設(shè)的安全策略，能夠識(shí)別并處置有風(fēng)險(xiǎn)的請求，保護(hù)用戶站點(diǎn)的敏感數(shù)據(jù)，并確保服務(wù)穩(wěn)定運(yùn)行，當(dāng)然EdgeOne也支持用戶自己定義安全策略。
  Web 防護(hù)可對多種風(fēng)險(xiǎn)進(jìn)行管控和緩解：
  在漏洞攻擊防護(hù)方面，通過開啟EdgeOne的托管規(guī)則，可以攔截注入攻擊、跨站點(diǎn)腳本攻擊等，保護(hù)涉及客戶數(shù)據(jù)或敏感業(yè)務(wù)數(shù)據(jù)的站點(diǎn)；
  在訪問管控方面，EdgeOne，可以區(qū)分合法和未授權(quán)請求，避免敏感業(yè)務(wù)暴露到未授權(quán)的訪客。包括外部站點(diǎn)鏈接管控、合作方訪問管控、攻擊客戶端過濾等；
  在緩解服務(wù)濫用方面，EdgeOne可以限制會(huì)話或者業(yè)務(wù)維度濫用（如批量注冊、批量登錄、過度使用 API 等），并強(qiáng)化單一會(huì)話（如用戶、訂閱實(shí)例等）的用量限制，確保用戶在合理限度內(nèi)使用服務(wù)資源；
  當(dāng)然，EdgeOne的Web防御還能應(yīng)對其他的風(fēng)險(xiǎn)，這里就不再一一列舉，詳細(xì)可以看看官方文檔。

SQL注入攻擊

• 測試方法：sqlmap是一個(gè)自動(dòng)化的SQL注入滲透工具，它的主要功能包括掃描、發(fā)現(xiàn)并利用給定URL的SQL注入漏洞，支持MySQL、Oracle等多種數(shù)據(jù)庫。我們利用sqlmap探測目標(biāo)網(wǎng)站的SQL注入漏洞，并用其對掃描出來的漏洞進(jìn)行攻擊。攻擊測試如下：

• 測試結(jié)果：從圖中可以看出，sqlmap未能發(fā)現(xiàn)SQL注入漏洞，同時(shí)EdgeOne報(bào)告了SQL注入攻擊的危險(xiǎn)行為。

• 功能支持：基于 AI 引擎自動(dòng)識(shí)別 SQL 注入和 XSS 攻擊。
  

3.4 測評(píng)結(jié)果分析

總體而言，在本次測試中，EO平臺(tái)在訪問加速和安全性方面的表現(xiàn)十分出色，其基本功能測評(píng)是"殺雞用牛刀"，效果非常顯著。

多重攻擊實(shí)戰(zhàn)結(jié)果，在EO平臺(tái)上可以看到統(tǒng)計(jì)：

1. 在托管規(guī)則處可以看到，EO平臺(tái)識(shí)別了我們小隊(duì)本次134條攻擊

2. 2次CC攻擊

3. 緩存加速命中率92.74%

寫在最后

4.1 參考文獻(xiàn)

感謝大佬們清晰的文檔，和實(shí)用的說明：

1. 《亞太第一! 騰訊云EdgeOne入選DDoS防護(hù)市場報(bào)告》（[閱讀報(bào)告](https://s.tencent.com/activity/news/304)

2. 騰訊EdgeOne官方文檔https://cloud.tencent.com/document/product/1552/69826

3. 【如何在網(wǎng)頁中實(shí)現(xiàn)pdf在線預(yù)覽】10分鐘學(xué)會(huì)如何利用Hexo博客上傳本地pdf文件并在線預(yù)覽pdfhttps://blog.csdn.net/qq_43827595/article/details/104574959

4. beef-xss詳細(xì)教程(一文帶你學(xué)會(huì)beef) | Kali下安裝beef | beef-xss反射型，儲(chǔ)存型利用 | beef實(shí)現(xiàn)Cookie會(huì)話劫持 | 鍵盤監(jiān)聽 | 瀏覽器彈窗，重定向等https://blog.csdn.net/qq_53517370/article/details/128992559

5. 【kali 對本地的DDOS攻擊–hping3】https://mbd.baidu.com/ma/s/R7fynSV2

6. 【斷網(wǎng)攻擊 1.局域網(wǎng) 2.廣域網(wǎng)】https://mbd.baidu.com/ma/s/3SXo52iQ

7. 測速網(wǎng)站https://www.17ce.com/

8. Hexo靜態(tài)網(wǎng)站托管到騰訊云COS+CDN加速以及緩存自動(dòng)刷新完美方案https://blog.csdn.net/huzhanfei/article/details/115190469

9. Github 部署 | CDN 加速網(wǎng)頁，速度嗖嗖的快！https://zhuanlan.zhihu.com/p/393779644

10. 部署hexohttps://hexo.io/zh-cn/docs/one-command-deployment

11. 騰訊云官方文檔https://github.com/tencentyun/qcloud-documents

12. CSRF自動(dòng)化測試-CSRFTesterhttp://www.luckysec.cn/posts/a1b686d3.html

4.2 支持定制的防御攻擊方案

如果想更好的利用EdgeOne產(chǎn)品，這是我們給出的一些綜合性支持定制的防御攻擊方案，進(jìn)一步降低潛在的安全風(fēng)險(xiǎn)。供參考可以選用：

1. 暴力破解攻擊防御

• 限制嘗試次數(shù)：對連續(xù)失敗的登錄嘗試進(jìn)行限制，例如通過EdgeOne配置，在短時(shí)間內(nèi)超過預(yù)設(shè)的失敗嘗試次數(shù)后暫時(shí)禁止來自該IP的進(jìn)一步嘗試。

• CAPTCHA驗(yàn)證：在登錄嘗試失敗幾次后引入驗(yàn)證碼，以防止自動(dòng)化工具的暴力嘗試。

2. 注入攻擊防御

• 輸入驗(yàn)證：確保所有輸入都經(jīng)過嚴(yán)格驗(yàn)證，防止SQL注入等攻擊。此外，利用EdgeOne提供的Web防護(hù)功能，對OWASP TOP 10中的注入風(fēng)險(xiǎn)進(jìn)行自動(dòng)防御。

• 參數(shù)化查詢：使用參數(shù)化查詢來避免SQL注入。

3. 跨站腳本攻擊（XSS）防御

• 內(nèi)容安全策略（CSP）：通過設(shè)置CSP來限制資源的獲取，防止惡意腳本執(zhí)行。

• 輸入輸出編碼：對所有輸入內(nèi)容進(jìn)行編碼處理，并嚴(yán)格控制輸出環(huán)節(jié)，防止惡意腳本注入。

4. 跨站請求偽造（CSRF）防御

• Token驗(yàn)證：為每個(gè)用戶會(huì)話生成唯一的CSRF Token，并在每次敏感操作請求時(shí)驗(yàn)證該Token的有效性。

• SameSite Cookie屬性：設(shè)置Cookie的SameSite屬性，以減少CSRF攻擊的風(fēng)險(xiǎn)。

5. DDoS防御

• 利用EdgeOne的平臺(tái)級(jí)DDoS防護(hù)能力，保護(hù)登錄界面免受大規(guī)模分布式拒絕服務(wù)攻擊的影響。

6. 智能CC防護(hù)

• 開啟EdgeOne的智能CC防護(hù)功能，識(shí)別并防御對登錄界面發(fā)起的CC攻擊，如頻繁的自動(dòng)化登錄嘗試。

7. 監(jiān)測和日志

• 訪問日志：保持詳細(xì)的訪問日志，以便在發(fā)生安全事件時(shí)進(jìn)行分析和追溯。

• 安全監(jiān)測：利用EdgeOne的邊緣計(jì)算能力，實(shí)時(shí)監(jiān)測和評(píng)估登錄界面的安全狀況，及時(shí)發(fā)現(xiàn)并響應(yīng)安全威脅。

通過以上綜合性的攻擊測評(píng)方案，可以有效提升簡單登錄界面的安全防護(hù)能力，降低潛在的安全風(fēng)險(xiǎn)。

4.3 建立全面的安全防御體系，需包含部署EO在內(nèi)的多種技術(shù)和措施

在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全已成為任何組織都必須直面的關(guān)鍵挑戰(zhàn)之一。隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷進(jìn)化，單一解決方案往往難以提供全面的安全保護(hù)。Edge Optimization（EO）平臺(tái)作為一種綜合性的網(wǎng)絡(luò)服務(wù)解決方案，在提供內(nèi)容交付加速和安全防御方面發(fā)揮著重要作用。

EO平臺(tái)不僅能加速內(nèi)容交付、降低服務(wù)器負(fù)載，還能通過先進(jìn)的安全技術(shù)提升網(wǎng)站的安全防護(hù)能力，包括緩解分布式拒絕服務(wù)（DDoS）攻擊、防范SQL注入、文件上傳漏洞、跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）以及目錄遍歷等。但隨著網(wǎng)絡(luò)安全威脅的不斷演進(jìn)，單一解決方案往往無法覆蓋所有潛在威脅。盡管EO平臺(tái)提供了比傳統(tǒng)CDN更全面的安全保護(hù)和性能優(yōu)化，但它的保護(hù)和防御能力也并非絕對可靠。

因此，即使使用了EO平臺(tái)，也應(yīng)將其視為多層安全策略的一部分。保護(hù)網(wǎng)絡(luò)安全的最佳實(shí)踐包括但不限于：定期更新和打補(bǔ)丁、實(shí)施強(qiáng)有力的訪問控制、對數(shù)據(jù)進(jìn)行加密、使用防火墻和入侵檢測系統(tǒng)以及教育員工關(guān)于網(wǎng)絡(luò)安全的重要性。此外，對于特別敏感或重要的數(shù)據(jù)和系統(tǒng)，考慮采取額外的安全措施，如在關(guān)鍵節(jié)點(diǎn)部署專業(yè)的安全設(shè)備或服務(wù)，以確保多方面的保護(hù)機(jī)制，從而構(gòu)建更為堅(jiān)固的安全防線。

總的來說，EO平臺(tái)可以作為安全策略的一部分，幫助緩解某些類型的攻擊（如DDoS攻擊），但對于需要在應(yīng)用層面解決的安全問題（如SQL注入、XSS、CSRF等），仍需要通過應(yīng)用自身的安全設(shè)計(jì)和附加的安全解決方案（如WAF、IPS等）來實(shí)施有效的防御。

綜上，建立全面的安全防御體系包含部署EO在內(nèi)的多種技術(shù)和措施。

如果你也對提升你的網(wǎng)站或應(yīng)用的性能感興趣，EdgeOne現(xiàn)在有特惠活動(dòng)，只要4.6元/月起，可以去體驗(yàn)一下：https://cloud.tencent.com/act/pro/edgeone_techoday_promotion?from=22008文章來源地址http://www.zghlxwxcb.cn/news/detail-854053.html

到了這里，關(guān)于騰訊EdgeOne產(chǎn)品測評(píng)體驗(yàn)——多重攻擊實(shí)戰(zhàn)驗(yàn)證安全壁壘：DDoS攻擊|CC壓測|Web漏洞掃描|SQL注入的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！