Recientemente, siempre hay amigos me preguntan, de alta seguridad CDN no es realmente capaz de prevenir los ataques de CC? Esta es una buena pregunta, pero la respuesta no es tan simple. He visto demasiadas personas piensan que la compra de un paquete de alta defensa estará bien, los resultados del ataque CC penetrado después de la cara de confusión. Hoy vamos a hablar de este asunto.
Un ataque CC es, francamente hablando, una simulación de un gran número de peticiones normales, agotando los recursos de su servidor. No es como DDoS apresurando directamente el ancho de banda, pero un cuchillo lento para cortar la carne, específicamente para conseguir abajo de la CPU, conexiones de base de datos y estos eslabones débiles. ¡Sufrí una pérdida en los primeros años, cuando pensé que las reglas del firewall lo suficientemente duro en la línea, los resultados de la otra parte con una baja frecuencia de solicitud lenta + Referer al azar fácilmente eludido la base de reglas - en estos días, incluso el CDN tiene que ser ‘anti-teamate", después de todo, algunos de los ataques de tráfico se parece más a la gente real! también como una persona real.
¿Por qué las CDN ordinarias no pueden hacerlo? La razón fundamental es que la estrategia de almacenamiento en caché estática falla. ataques CC a menudo se dirigen a las interfaces dinámicas, como la página de inicio de sesión, interfaz de búsqueda, puerta de enlace API, estas rutas son básicamente incapaces de almacenar en caché. El año pasado para ayudarme a hacer una estación de comercio electrónico de emergencia, se encontró que los atacantes se centran específicamente en la interfaz de carga de revisión de productos para jugar, 3000 solicitudes por segundo son todos con un SessionID al azar “usuarios legítimos”, el WAF tradicional no puede distinguir entre el enemigo y yo.
El valor fundamental de una CDN de alta defensa está aquí: no se trata sólo de acumular ancho de banda, sino de basarse en el análisis del comportamiento + las restricciones de frecuencia para realizar una interceptación inteligente. Tome CDN5 por ejemplo, su algoritmo de seguimiento de huellas digitales es realmente algo - me encontré con que la misma IP, incluso si la sustitución frecuente de UserAgent, siempre y cuando las huellas dactilares TCP y TLS handshake características son las mismas, el sistema todavía se puede asociar con el mismo sujeto de ataque.
La configuración práctica real debe combinarse con las características empresariales. Por ejemplo, para la protección de la interfaz API, generalmente recomiendo hacer esto:
Por supuesto, las reglas Nginx puras no son suficientes. Hoy en día, los ataques avanzados tienen un sabor a aprendizaje automático: el otro bando utilizará el aprendizaje por refuerzo para ajustar el intervalo de solicitud, de forma que piense que es el usuario el que navega por la página. Es hora de confiar en la red de inteligencia global de la CDN. 08Host está haciendo un mejor trabajo en este sentido, compartiendo las características de los ataques a través de la red en tiempo real: tan pronto como cualquier nodo identifique un nuevo patrón de CC, todos los nodos de borde actualizarán automáticamente sus reglas de detección en 15 minutos.
Estoy más molesto con algunas personas que soplan “defensa ilimitada”. Realmente encontrado ataques avanzados CC, sólo se basan en hardware para llevar está buscando la muerte. El año pasado, un cliente utiliza un determinado CDN llamado protección de nivel T, los resultados fueron CC penetrar en la base de datos. Más tarde se encontró que el problema en la arquitectura - el atacante pasa por alto la CDN resolver directamente la IP de origen, 20.000 solicitudes de inicio de sesión por segundo directamente MySQL piscina conexión completa. Así que no creo en el fantasma de “una protección clave”, la estación de origen ocultación, filtrado de puertos, base de datos de la piscina de conexión para limitar el flujo de estas habilidades básicas no están en su lugar, comprar más caro CDN también es inútil.
En la práctica, también hay que prestar atención a la tasa de falsos positivos. Algunos proveedores de CDN con el fin de datos se ven bien directamente a través del tablero, los usuarios normales están haciendo estallar CAPTCHA. Una buena protección debe ser como el pulso de un viejo médico chino: hay que distinguir entre el comportamiento de búsqueda y el cepillado malicioso de la interfaz. Suelo poner primero un cubo para muestrear el tráfico de una semana y determinar estadísticamente la frecuencia de acceso de referencia de cada URL. Por ejemplo, la página de detalles de usuario del pico de acceso normal es de 50 veces por segundo, de repente se precipitó a 2000 veces sin duda tienen un problema, pero si la gran promoción durante la página de lista de productos corrió a 3000 veces / segundo, esto puede ser el tráfico normal.
Por último, una lección de lágrimas: CDN de alta defensa no es una bala de plata. Una vez hubo un sitio financiero por el ataque de CC, el atacante cada solicitud con cookies reales robados, mirada y sesión normal exactamente el mismo. En este punto, el análisis de frecuencia por sí sola es inútil, y, finalmente, se basan en las reglas de negocio para detener la pérdida - como el mismo usuario no pudo iniciar sesión más de 3 veces en 5 minutos para forzar el bloqueo, o verificar el saldo de la interfaz de consulta debe ir verificación MFA. Así que la verdadera protección es una guerra tridimensional, CDN es sólo la primera línea de defensa.
Ahora volvamos al principio de la pregunta: ¿un CDN de alta defensa puede evitar la CC? Sí, pero depende de cómo funcione. Pick vendedores se centran en tres puntos: la frecuencia de las actualizaciones de la biblioteca inteligente de huellas dactilares, la granularidad de reglas personalizadas, y si la estación de origen para ocultar a fondo.CDN5 modelo de aprendizaje profundo de la tasa de reconocimiento lento CC puede llegar a 92%, pero el precio es alto; CDN07 plantilla de protección de la API fuera de la caja, adecuado para proyectos pequeños y medianos; 08Host de baja latencia de la red Anycast global para el comercio electrónico transfronterizo. Al final, no hay mejor CDN, sólo el diseño de la arquitectura más adecuada.
Los verdaderos maestros están haciendo defensa en profundidad. Mi programa actual es por lo general: frente CDN para hacer la limpieza de tráfico → capa intermedia con OpenResty para hacer la restricción de flujo de lógica de negocio → núcleo de la estación fuente de ajuste de los parámetros de conexión TCP. Estas tres capas de tamiz hacia abajo, puede apresurarse a la base de datos de solicitudes maliciosas menos de 0.1%. Recuerde ah, la seguridad es un proyecto sistemático, no esperes un solo producto puede darle la parte inferior.
