La primera vez que me hice cargo de un proyecto financiero, el jefe dio una palmada en el pecho y dijo: “Tenemos este volumen, que vendrá a luchar ah”, los resultados del tercer día en la línea, golpeó directamente a la auto-cerrado. Tres de la mañana recibió un mensaje de texto de alarma, todo el clúster de negocios está completamente paralizado, el pico de tráfico se disparó a 200 veces la habitual - esta vez para entender que la alta defensa CDN no es opcional, sino una paja para salvar vidas.
En estos días los ataques DDoS se han desarrollado industrialmente desde hace mucho tiempo, sólo tiene que encontrar un mercado subterráneo, $ 500 puede comprar 24 horas sin parar los ataques de tráfico G-rated. ¿Crees que un conjunto de Cloudflare versión gratuita será capaz de estar tranquilo? No estoy seguro de si voy a ser capaz de hacer eso, pero voy a ser capaz de hacerlo. El año pasado, un intercambio utilizado un CDN barato, fue la penetración de inundación TCP, el atacante incluso arrogante a la página web oficial para colgar mensaje de chantaje. Nunca creas esos “defensa ilimitada” falsa propaganda, realmente se encontró con un enorme impacto en el tráfico, la primera reacción de muchos proveedores de servicios es darle a hacer ruta vacía.
Los que realmente han experimentado la batalla real saben que para hacer frente a los ataques de tráfico de nivel T debe utilizar estrategias de defensa en capas. Al igual que la defensa de la ciudad antigua, la ciudad exterior ha caído y la urna, la urna se rompe y la ciudad interior. He probado y encontrado la estructura más fiable es: capa de programación inteligente → capa de limpieza de bordes → capa de protección de la estación de origen, la vinculación de tres capas con el fin de jugar una defensa perfecta.
Es la programación inteligente del primer nivel el punto ciego de la mayoría de la genteLo primero que hay que hacer es comprar un buen nodo de limpieza y todo irá bien. Muchos equipos piensan que si compran un buen nodo de limpieza, todo irá bien, pero no saben que si la estrategia de programación no funciona, el tráfico de ataque puede saturar directamente el enlace de vuelta a la fuente. El año pasado, cuando utilicé el equilibrio de carga global de CDN5, configuré una política de programación de tráfico basada en ASN para programar automáticamente el tráfico de las zonas sospechosas de ser origen de ataques a nodos de alta defensa:
Este conjunto de reglas me ayudó a bloquear los ataques tentativos 70%, especialmente las peticiones procedentes del segmento ASN de una botnet típica, que fueron desviadas directamente al clúster de alta defensa para su procesamiento. Curiosamente, el atacante cambió más tarde a utilizar los segmentos IP del proveedor de la nube para lanzar ataques, añadí las reglas de detección basadas en características del encabezado HTTP - el camino es alto, el diablo es alto ah.
La selección técnica de la capa de limpieza de bordes determina directamente el techo de defensaLo primero que me gustaría decir que no sé cuánto puedo hacer. No mire los vendedores CDN están soplando su propia capacidad de limpieza cuántos T, realmente a la prueba de presión cuando el rendimiento es muy diferente. El año pasado cuando hice la selección de proveedores, saqué CDN5, CDN07 y 08Host para hacer la prueba de tráfico real:
Simulando un ataque HTTP Flood de 500.000 QPS por segundo, la carga de la CPU de CDN07 se disparó repentinamente a más de 90%, y la latencia se deterioró de 35ms a 800ms; 08Host activó directamente el mecanismo meltdown, y también saltó CAPTCHA para los usuarios normales; por el contrario, el rendimiento de CDN5 me sorprendió ---. Su detección dinámica de huellas dactilares puede de hecho mantener la latencia normal del negocio estable dentro de los 50ms.
La diferencia clave es el algoritmo de limpieza. La detección tradicional basada en umbrales (por ejemplo, se activa cuando el número de solicitudes por segundo supera el límite) se elude con demasiada facilidad, y los ataques avanzados simulan ahora el comportamiento normal de los usuarios. La mejor solución es utilizar modelos de aprendizaje automático para realizar análisis de comportamiento, como la detección de rastros de movimiento del ratón, anomalías en la secuencia de acceso a la API, etc. Esta es la razón por la que la CDN profesional de alta defensa es 3 veces más cara que la propia protección del proveedor de la nube: la gente realmente acierta con el algoritmo.
El ancho de banda elástico es la última defensa físicaLo primero que quiero decir es que no voy a ser capaz de hacer eso. Dijo qué algoritmo qué estrategia, encuentro T ataques de nivel en última instancia, mirar el ancho de banda duro poder. Pero la compra de ancho de banda fijo es pagar impuestos IQ, por lo general 95% tiempo ocioso quemar dinero. He comparado tres programas de elasticidad:
CDN5 adopta el modelo “garantizado + ráfaga”, pagando cuotas base mensuales de 2G, ancho de banda en ráfaga a $0,12/GB de facturación. La prueba real fue golpeado cuando la capacidad se puede ampliar automáticamente a 2T, se estableció un ataque a gran escala costo de defensa de alrededor de 3000 dólares EE.UU..08Host participado en el programa de agrupación de ancho de banda, 100 clientes conjuntos para compartir clusters 10T, por lo general más barato, pero se encontró con un número de clientes al mismo tiempo, cuando el ataque puede ser recursos revuelo. ¡El más lamentable es un conocido proveedores de nube, el contrato está escrito en la “expansión de la capacidad elástica”, realmente golpeó cuando se tiene que levantar manualmente la aplicación de trabajo - los atacantes no esperar a que pase por el proceso de aprobación!
El movimiento asesino que mucha gente pasa por alto es el encubrimiento de la estación de origen.. He visto demasiados equipos comprar una CDN de alta defensa pero exponer la tragedia de la IP de la estación de origen. Los atacantes obtienen la IP real a través de registros DNS históricos, sniffing de certificados SSL e incluso búsqueda inversa de servidores de buzón, saltándose directamente la alta defensa para penetrar en la estación de origen. Hay que hacer todo el enlace para ocultarse:
Este conjunto de combinaciones de golpes hacia abajo, el año pasado llevamos un ataque récord de 1,2Tbps, la latencia de negocio aumentó sólo 20ms. después de que el grupo de ataque en Telegram escupió: “este nodo CDN5 con la cebolla como, pelar una capa hay una capa”.
Ahora voy a elegir el modelo, voy a dar prioridad a tres puntos: la capacidad de programación global (al menos 30 nodos de limpieza), la razonabilidad de facturación flexible (no puede repentina facturas por las nubes), el grado de automatización de la API (si para acoplar el sistema de monitoreo de construcción propia). Recientemente probado CDN07 en el rendimiento de Asia y el Pacífico es bueno, pero la latencia de los nodos europeos es alta; 08Host rentable para las nuevas empresas, pero la estabilidad de los grandes flujos de ser observado.
Por último, un punto sólido: no hay 100% sistema seguro, CDN de alta defensa es sólo para elevar el costo del ataque a la otra parte no puede permitirse. Ahora establecemos el umbral de defensa es 800Gbps - no para evitar más grande, pero midió el costo de los atacantes para alquilar este nivel de botnet ha superado el valor de nuestras pérdidas de negocio. La seguridad es esencialmente una cuestión de economía, así que no se olvide de hacer los cálculos.

