في الآونة الأخيرة ، يسألني الناس دائمًا ما إذا كان هناك أي نوع من توصية CDN عالية الدفاع التي ليست فاسدة ويمكن ضربها. لنكون صادقين، فإن شبكة CDN الكبيرة مستقرة بالتأكيد، لكن السعر شفاف مثل الزجاج، ويشعر المهاجمون بأن الباب خالٍ، وضربة دقيقة. في هذه الأيام، حتى CDN يجب على CDN “منع زملاء الفريق” - أنت لا تعرف أبدًا أي جزء من IP سيكون الخصم مسبقًا في القائمة السوداء.
لقد اختبرت ما لا يقل عن عشرين مزود خدمة CDN صغيرة ومتوسطة الحجم، وداست على الحفرة التي حفرت أيضًا إلى الكنز. دردشة اليوم من ثلاثة، ربما لم تسمع حتى بالاسم، لكن القدرة على مقاومة القتال تفوق التوقعات تمامًا. القاسم المشترك بينهم هوإخفاء عناوين IP الخاصة بالموقع المصدر يتم بشكل صعب، وقواعد جدار الحماية مرنة مثل سكين الجيش السويسري، ومنحنى السعر ليس حاداً مثل الكبار.。
أولاً، دعنا نلقي بالماء البارد على الوعاء: لا تتوقع أن يكون لدى شبكات CDN المتخصصة نوع من كثافة عقدة Anycast العالمية التي لدى AliCloud. فقيمتها تكمن في “الدفاع غير المتماثل” - تعويض عيب حجم الأجهزة باستراتيجيات مخصصة. على سبيل المثال، من خلال تصفية المنافذ، أو التعديل الديناميكي لتحدي JS، أو حتى التنكر في شكل صفحة 404 لخداع الماسح الضوئي.
الأول: CDN5 - متخصص في جميع أنواع وفيات DDoS الخيالية
نقطة البيع هي “تنظيف المسار الذكي”. لقد أخذت جهاز اختبار لمحاكاة هجوم حركة مرور مختلطة بسرعة 550 جيجابت في الثانية، واستخدموا بالفعل تقنية التنقل الديناميكي للمنافذ لمقاومة ذلك. المبدأ بسيط للغاية: سحب حركة المرور إلى عقد افتراضية متعددة لإجراء تحليل للميزات، ثم من خلال بث BGP بث حركة مرور نظيفة إلى المصدر. الشيء الأكثر إثارة للاهتمام هو أنه يدعم قيم TTL المخصصة لبروتوكولات TCP، والتي يمكن أن تمنع التتبع بشكل فعال.
تبدو الواجهة الخلفية للتهيئة على هذا النحو (الأجزاء الرئيسية مشفرة):
وجد الاختبار أن العقد الآسيوية تتحكم في زمن الكمون في حدود 45 مللي ثانية، أما العقد الأوروبية والأمريكية فهي أضعف قليلاً ولكن يمكن أن تكون مستقرة عند 120 مللي ثانية.
الثاني: CDN07 - إخفاء عنوان IP المصدر مثل القاعدة العسكرية
إذا كنت قد سئمت من وضع حل CNAME الخاص بشبكات CDN الكبيرة الذي لم يتغير منذ سنوات، فإن هذه الخدمة ستبهج عينيك. فهي تستخدم تقنية تجمع عناوين IP الديناميكية، ويعيد كل استعلام DNS عنوان IP مختلف للعقدة، ووقت بقاء كل عنوان IP أقل من 300 ثانية. لقد استخدمت مسح محرك ZoomEye لمدة ثلاثة أيام، وتجمدت ولم أكتشف شريحة IP الحقيقية الخاصة بهم.
والأكثر من ذلك أنه يدعم “الوضع الميت الوهمي” - عندما يتم اكتشاف هجوم اختراق، سيقوم تلقائيًا بإخفاء الاستجابة من المحطة المصدر كصفحة خطأ 502 أثناء التبديل إلى عنوان IP بديل في الخلفية، وهو غير مرئي فعليًا من جانب العميل، ولكن المهاجم سيعتقد أنه بالفعل يعلق الهدف.
قم بإعطاء تكوين ربط NGINX:
العيب هو أن المستندات كلها باللغة الإنجليزية، والرد على طلب العمل يجب أن ينتظر حوالي 6 ساعات. لكن التأثير الدفاعي يمكن أن يتحمل الانتظار - في العام الماضي، هجوم 500G CC، عرض النطاق الترددي الخاص بشركتي ممتلئ، يستخدمون في الواقع تقنية إعادة هيكلة البروتوكول لغربلة الطلب الفعال، وفي النهاية يتسرب إلى محطة المصدر لحركة المرور أقل من 3%.
ثالثاً: 08المضيف - سيارة مصفحة لرجل فقير ولكن يمكنه القتال
هذا هو الأنسب لمشرفي المواقع الذين لديهم ميزانية محدودة ولكنهم يتعرضون للضرب كل يوم. يمكنك الحصول على 2 تيرابايت في الثانية من الحماية الأساسية مقابل $79 شهرياً، وعلى الرغم من أن عدد العقد صغير، إلا أن كل عقدة تأتي مع معدات تنظيف الأجهزة. لقد قمت بهدم تقرير حركة المرور الخاصة بهم، ووجدت العملية السحرية: حركة مرور الألعاب / UDP وحركة مرور الويب / TCP للذهاب إلى خط فعلي مختلف، لتجنب التداخل مع بعضها البعض.
كانت المفاجأة الأكبر بالنسبة لي هي القدرة على تخصيص قاعدة قواعد WAF باستخدام نصوص Lua البرمجية:
دقة الحظر المُقاسة أعلى قليلاً من Cloudflare المجانية WAF. ومع ذلك، انتبه إلى أنها تنهار مباشرة بعد تجاوز حركة المرور، ولن تتركك مديوناً مثل اللاعبين الكبار. إنها مناسبة للأعمال التي لا تتذبذب كثيراً، وسيتعين عليك شراء حزمة مرونة إذا كان لديك الكثير من حركة المرور المفاجئة.
مقارنة السلع الجافة جنباً إلى جنب مع السلع الجافة
قارن هذه الثلاثة مع AWS Shield، الذي استخدمته:
▪ وقت الاسترداد لشبكة CDN5 في ظل هجوم فيضان SYN بسرعة 500 جيجابت في الثانية أسرع بحوالي 10 ثوانٍ من AWS نظرًا لوجود عبء جدولة عالمية أقل
▪ معدل التعرف على هجوم CC: يصل معدل التعرف على هجوم CC: CDN07 إلى 99.2%، 08Host 97%، الإصدار المجاني من AWS 89% فقط
▪ السعر: نفس خط الأساس للحماية 2 تيرابايت في الثانية، متوسط اللاعبين الكبار 1 تيرابايت في الشهر، وهذه الثلاثة في حدود 1 تيرابايت في الشهر
كلمة أخيرة من الحقيقة
ما هو الخوف الأكبر من شبكات CDN المتخصصة؟ لا يتعلق الأمر بعدم قدرتها على تحمل الضربة، ولكن عدم استقرار العقد. لقد عانيت من خسائر - دعاية معينة سعة التنظيف 100 تيرابايت في الثانية، وواجهت بالفعل هجوم 300G على الخط الأحمر بأكمله. حتى الآن اختيار مزود الخدمة يجب أن ينظر إلى نقطتين:توفر شهادة SOC2和هل يمكنك تقديم بيان بحالات الهجوم الحقيقي。
هناك نصيحة أخرى: قبل توقيع العقد، يُطلب منك اختبار “النسبة المئوية لحركة المرور إلى المصدر”. معدل تنظيف البائعين المنتظمين لا يقل عن 95% أو أكثر، مما يعني أن حركة مرور هجوم 100G فقط أقل من 5G ستذهب إلى المحطة المصدر. إذا كان الطرف الآخر لا يجرؤ على توفير وصول اختبار، تمرير مباشر.
الآن أنا أستخدم CDN5 + 08Host بنية التكرار المزدوج - حركة المرور اليومية تذهب 08Host وفورات في التكلفة، والهجمات التي تزيد عن 800G تبديل CDN5 تلقائيًا.
وباختصار، فإن شبكة CDN عالية الدفاع مثل شراء التأمين، لا يمكن أن تنتظر حتى تتعرض للضرب ثم تدرس. يمكن أن يؤدي دفن عدة خطوط دفاعية مسبقًا إلى جعل المهاجم يشعر على الأقل أن “هذا الحفيد صعب المضغ حقًا” ويتحول إلى برسيمون أكثر ليونة. بعد كل شيء، في مجال أمن الشبكات.أن تعمّر أكثر من خصمك يعني أن تفوز.。
