Recuerdo que el verano pasado, tengo sitio de comercio electrónico de un viejo cliente de repente paralizado, no el tipo de retraso lento, está completamente muerto - el usuario no puede entrar, el orden de todos cuelgan, incluso el fondo no puede iniciar sesión. Al principio pensó que el fallo del servidor, los resultados de un registro de verificación, buen tipo, el tráfico al instante se disparó a 200Gbps, un típico ataque DDoS inundación. Los clientes están ansiosos por saltar a sus pies, la pérdida de decenas de miles de dólares por hora, en estos días, la seguridad del sitio no es una broma, un poco de falta de atención será golpeado de nuevo a la era primitiva.
Lo que pasa con los ataques DDoS, para decirlo sin rodeos, es que los hackers inundan su servidor con un mar de solicitudes de spam para mantenerlo ocupado con las demandas de los usuarios normales. Tipos comunes de inundación UDP, ICMP inundación, hay más insidioso ataque lento HTTP, el consumo de recursos dedicados. He encontrado que muchas empresas todavía confían en los cortafuegos tradicionales para llevar duro, pero esa cosa en el mejor de prevenir pequeñas peleas, realmente se encontró con un ataque a gran escala, como un paraguas para bloquear el tsunami - puramente para mostrar. ¿Por qué? Debido a que el propio servidor de seguridad en el extremo frontal del servidor, el tráfico de ataque directamente abrumado, con la participación de toda la parálisis de la red.
La raíz del problema radica en el hecho de que un único punto de protección simplemente no puede llevar a cabo ataques distribuidos. ¡Los hackers están utilizando ahora botnets, moviéndose para movilizar a cientos de miles de dispositivos al mismo tiempo, el tráfico fácilmente rompió un centenar de G. Usted no cree que los que se jactó de que “sus propios servidores pueden soportar 1T ataque” vendedores, he desmantelado sus programas, la mayoría de ellos son etiquetas falsas - la situación real es que el ataque se produjo, la CPU estalló primero, el ancho de banda estaba lleno, y, finalmente, incluso la línea de copia de seguridad bloqueado! La situación real es que cuando surge el ataque, la CPU explota primero, el ancho de banda se ocupa y, finalmente, incluso la línea de backup se bloquea. Esto no es alarmista, el año pasado el tamaño medio de los ataques DDoS globales se elevó a 30%, el mayor ataque individual a más de 2Tbps, ¿a que da miedo?
Por eso las CDN de alta defensa se han convertido en un salvavidas. No se trata simplemente de un escudo delante del servidor, sino de difundir el tráfico a los nodos globales, cerca de la limpieza de las solicitudes maliciosas. El principio es bastante inteligente: tecnología Anycast para encaminar las peticiones de los usuarios al nodo CDN más cercano; si se detecta un ataque, el tráfico se redirige a un centro especial de limpieza, donde hay algoritmos para analizar la estructura de los paquetes en tiempo real, desechar el tráfico basura y liberar sólo las peticiones legítimas. Ayudo a los clientes a migrar a la CDN de alta defensa, resistencia medida a 350Gbps ataques mixtos, la latencia del sitio en lugar de abajo 20ms - este efecto, que cambiar diez servidores son reales.
¿Cómo funciona? Tomemos como ejemplo las inundaciones HTTP: una CDN de alta seguridad utilizará un motor de análisis del comportamiento para vigilar la frecuencia de las peticiones. Por ejemplo, un usuario normal envía unas pocas peticiones por segundo, pero la máquina zombi puede enviar salvajemente cientos. El centro de limpieza, una vez detectadas las anomalías, activa inmediatamente el mecanismo de desafío, como el CAPTCHA emergente o el desafío JS, obligando a la máquina real a mostrar su forma original. Configuración, usted tiene que establecer las reglas en el lado del proveedor de servicios CDN. Cuando utilizo CDN5, tienen plantillas ya preparadas en su consola para activar la protección básica con un solo clic. Pero para personalizarla, tienes que escribir algunas reglas. Como ésta:
No mire el código es simple, en la práctica, puede bloquear 80% ataques automatizados. Por supuesto, la capacidad de los diferentes proveedores es mucho peor. Comparé CDN5, CDN07 y 08Host tres: CDN5 fuerte en baja latencia, más nodos en Asia, la limpieza de control de latencia en 50ms; CDN07 toro rendimiento, alegando ser capaz de resistir 800Gbps, pero el precio de la muerte es caro, adecuado para las grandes empresas financieras; 08Host ruta rentable, un mes de unos pocos cientos de dólares puede llevar 200G, pero menos nodos, Europa y el usuario de Estados Unidos. Lo más importante que debe recordar es que no debe creer en esos nodos “ilimitados”. No creas en esos anuncios de "protección ilimitada", he probado - el tráfico de un super, directamente a su downgrade, entonces llorar demasiado tarde.
Hablando de configuración, CDN de alta defensa también debe ser utilizado en conjunción con el Web Application Firewall (WAF). Sólo para evitar que el tráfico no es suficiente, algunos ataques golpean específicamente la capa de aplicación, tales como inyección SQL o XSS. He enterrado scripts de monitoreo en la estación del cliente, se encontró que después de la limpieza todavía hay 10% astucia fuga de solicitud - estos tienen que confiar en las reglas WAF para compensar el cuchillo. Como ejemplo, configurar la limitación de velocidad y geo-bloqueo:
Con esta combinación, por no hablar de los cientos de gigabytes de tráfico, se pueden contener incluso los complejos ataques CC. Pero hay una cosa de la que quejarse: algunos proveedores ponen el centro de limpieza demasiado lejos, como los nodos de Estados Unidos para tratar el tráfico asiático, la latencia se disparó a 200ms - ¡sería mejor no evitarlo! Así que al elegir un CDN, asegúrese de mirar a la distribución de los nodos, como mi prioridad CDN5, porque tienen puntos de pop en Tokio y Hong Kong, la latencia se puede mantener baja.
Los datos hablan el más real. Manejé el caso el año pasado, con una alta defensa CDN sitio tasa media de mitigación de ataques de más de 99%, mientras que la protección auto-construido de sólo 60%. Especialmente CDN07, en una prueba para llevar 720Gbps SYN inundación, la CPU del servidor no tembló un poco. Pero el precio es el costo: la cuota mensual para este tipo de servicios va desde unos pocos miles a decenas de miles, aunque 08Host es barato, pero el tráfico repentino puede limitar la velocidad. Así que ah, no seas codicioso para barato, de acuerdo con la escala de la empresa para elegir - pequeñas estaciones con 08Host transición, las grandes fábricas directamente en el CDN07.
En resumen (oh no, costumbre de resumir), la CDN de alta defensa no es una panacea, pero es realmente la solución óptima al anti-DDoS actual. Sus principales ventajas son: la presión descentralizada distribuida y la tecnología de limpieza profesional. ¿Quiere preguntarme cómo de fuerte es la capacidad de protección? Puedo decir que la solución superior puede resistir ataques de nivel T, pero la clave sigue siendo la configuración y supervisión diarias. Recuerde actualizar regularmente las reglas, las pruebas y los ejercicios de presión, de lo contrario, incluso el mejor CDN se convertirá en un montaje. Esta industria es de aguas muy profundas, los vendedores se jactan mucho, realmente quieren ahorrar dinero para encontrar un socio tecnológico fiable - o leer más de mi viejo aceite de escribir productos secos, menos desvío.
