Recientemente ayudó a un amigo para hacer frente a un DDoS golpeó estación colgante, conectado al servidor para ver el diagrama de flujo - buen tipo, el pico se disparó directamente a 300Gbps, los vendedores de la nube de protección gratuita es una farsa. La otra parte utilizó el ataque de amplificación de reflexión más barato, de bajo costo y buen efecto, recogiendo el sitio no hizo la protección de alto nivel. En estos días, incluso CDN tienen que “evitar que los compañeros de equipo”, por no hablar de las bandas de chantaje con fuego abierto y flechas oscuras.
Mucha gente piensa que un conjunto de CDN estará bien, de hecho, CDN ordinaria frente a los ataques reales de alta frecuencia es un pedazo de papel. Realmente puede llevar DDoS moderno, tienen que confiar en CDN especial de alta defensa - no simplemente contenido de caché, pero desde la capa de enlace a la capa de aplicación de un conjunto de combinaciones. He probado tres o cuatro proveedores, la brecha entre el efecto de defensa es mucho mayor de lo esperado.
La lógica central de una CDN de alta defensa esDefensa por capas.. El primer obstáculo es siempre el centro de limpieza de tráfico. Todas las solicitudes de acceso llegan primero a un clúster de limpieza distribuido, donde se realizan las sumas de comprobación preliminares de SYN Flood y se descartan los paquetes malformados. Los nodos de limpieza como CDN5 vienen con un módulo de análisis de protocolos que puede identificar directamente los paquetes característicos de los ataques de reflexión SSDP y Memcached, y dejar caer directamente los paquetes en el borde, de forma que ni siquiera se pueden tocar los bordes de los servidores comerciales.
Sin embargo, no es suficiente confiar sólo en el centro de limpieza. El año pasado probé una alta defensa doméstica, capacidad de limpieza nominal 600G, los resultados se encontraron con un ataque de pulso en realidad se perdió 30% de tráfico basura. Más tarde se descubrió que el mecanismo de aprendizaje de huellas dactilares de su pila TCP es demasiado lento. Ahora buenos vendedores como CDN07, se ha utilizado en el modo de predicción de aprendizaje automático - de acuerdo con la historia de IP de comportamiento, valor de desviación de protocolo y la pendiente de aumento de tráfico, 500 milisegundos de antelación para activar la estrategia de protección elástica.
El segundo nivel es clave:Interceptación inteligente. Aquí la diferencia es enorme. Los proveedores más débiles siguen basándose en reglas artificiales, los más avanzados utilizan análisis semántico + modelización del comportamiento. He visto que la forma más salvaje es la tecnología de “huella digital dinámica” de 08Host: cada solicitud generará una huella digital JS ligera, combinada con el rastro del ratón y la secuencia de llamadas API para determinar el comportamiento del ordenador-humano. Aunque un poco de impacto en SEO, pero los ataques anti-CC es realmente difícil, la tasa de falsos positivos puede ser presionado a 0,1% o menos.
Cuando se trata de ataques CC, debemos escupir el truco de “protección ilimitada” de algunos vendedores. Las bandas de CC realmente avanzadas, con más de diez mil solicitudes por segundo para imitar a usuarios normales, simplemente no pueden seguir el ritmo de la base de reglas. En este momento, tenemos que confiar en los modelos de aprendizaje profundo para agrupar y analizar en tiempo real. Por ejemplo, el módulo de IA de CDN5 puede detectar “solicitudes de baja frecuencia y alto riesgo”: parece una llamada API normal, pero el intervalo de solicitud, la distribución de la longitud del mensaje es obviamente anormal. Este sistema que recogí los registros, la tasa de falsas alarmas de alrededor de 3%, pero coger la cobertura del ataque puede ser 99,7%.
Hay otro escollo en los detalles técnicos: el rendimiento de la descarga SSL. Si la CDN de alta defensa no realiza el descifrado del certificado en el nodo de borde, todo el tráfico cifrado de vuelta a la fuente a la sala de servidores y luego descifrado, lo que equivale a transferir la presión a la estación de origen. Una buena solución tendría que ser como CDN07, que completa el handshake TLS y la validación del certificado en el centro de limpieza y soporta la aceleración de tarjetas SSL de hardware. Este es un coste real, por lo que la alta defensa barata es definitivamente algo sospechoso.
Ejemplos de configuración de esta pieza, tomar el enlace Nginx API de alta defensa como un ejemplo:
No creas en la “protección totalmente automatizada” cuando realmente la despliegues. Una vez fui perezoso y no configuré el repositorio de IPs, así que dejé que la banda de los reptiles se saliera con la suya: sondeaban ataques usando IPs proxy residenciales, y el sistema les dejaba ir como si fueran usuarios normales. Ahora mi práctica estándar es forzar el geobloqueo + filtrado de números ASN:
Además, la integración WAF es el cuerpo completo de la CDN de alta defensa. Simplemente prevenir DDoS no es suficiente, pero también tienen que prevenir la inyección de SQL, ultra-derechos de acceso a estos ataques de capa de aplicación. 08Host solución es más ingeniosa, la base de reglas ModSecurity incrustado en el nodo de borde, coincidiendo con las características de ataque directamente bloqueado y registrado a la plataforma de inteligencia de amenazas. El aumento de latencia medido para interceptar un ataque XSS es inferior a 2 milisegundos.
En cuanto a la comparación de datos, tome la eficacia defensiva de los tres proveedores y diga la verdad:
CDN5 punto fuerte en la limpieza de mega-flujo, una vez llevado 800Gbps DNS ataque de inundación, pero la protección de CC para agregar dinero para comprar la versión avanzada; CDN07 programación inteligente para hacer un buen trabajo de conmutación automática de líneas de limpieza rara vez se pierde el tráfico normal; 08Host rentable, 200Gbps por debajo del ataque puede ser básicamente libre de preocupaciones, pero los mega-ataques de vez en cuando son asesinados por error.
Finalmente dijo una lección lacrimógena: CDN de alta defensa no es una bala de plata. Antes de un programa de despliegue de los clientes financieros, sólo se centran en la protección de la capa de red, el resultado es que la gente golpea directamente la interfaz de la aplicación - /login ruta 20.000 solicitudes por segundo, el grupo de conexión de base de datos directamente ráfaga. Ahora mi práctica estándar esCuatro capas de limpieza + siete capas de verificación humana + restricción del flujo en la capa empresarialLos tres ejes, uno de los cuales falta, pueden volcarse.
Una CDN de alta defensa verdaderamente fiable tiene que pelar el tráfico de ataque capa por capa como una cebolla. Desde la verificación del protocolo hasta el análisis del comportamiento, desde las reglas estáticas hasta los modelos dinámicos, y finalmente el resto del tráfico limpio se empareja de nuevo con el servidor. No crea en esas tonterías de “protección ilimitada”, el efecto de la defensa depende en última instancia del material técnico y de las habilidades de operación y mantenimiento. Ahora los chantajistas utilizan la IA para generar tráfico de ataque, el sistema de defensa ya no es una actualización inteligente, sino que espera a ser un asador.
