Recuerdo el verano pasado, tengo un viejo sitio de comercio electrónico del cliente de repente paralizado, el tráfico se disparó a un grado increíble, el fondo directamente se estrelló, entonces realmente aprecio, sólo confiar en el hardware del servidor para llevar DDoS es simplemente una mantis.
Hoy en día, los atacantes mueven cientos de gigabytes de inundaciones de tráfico, por no hablar de las pequeñas empresas, incluso los grandes fabricantes tienen que perder la piel.
Así que hoy, voy a hablar de alta seguridad CDN y DNS de protección de estos dos hermanos - que parecen proteger la seguridad del nombre de dominio, pero el nivel de defensa no es en absoluto la misma cosa, pero también tienen que coincidir con el uso de la misma.
No creas que los fabricantes soplan “solución única”, he encontrado que muchos pozos son porque no entienden la diferencia antes de pisar.
Hablemos de la CDN de alta seguridad, esta cosa es un “centro de limpieza de tráfico”, la solicitud maliciosa bloqueado fuera, sólo poner el tráfico limpio a la estación de origen.
Su nivel de defensa es principalmente en la capa de red y capa de aplicación, tales como SYN Flood, HTTP Flood, estos ataques comunes, confiando en los nodos globales distribuidos para llevar a cabo la presión.
Pero la CDN de alta defensa tiene un punto débil: no puede gestionar el nivel de DNS de las polillas.
Es como tener instalada una puerta de seguridad en la entrada de casa (CDN), pero si el ladrón falsifica directamente el ojo de la cerradura (consulta DNS), la puerta no sirve aunque sea dura.
La protección DNS, por su parte, está específicamente diseñada para hacer frente a los problemas de resolución de nombres de dominio, como el secuestro DNS, los ataques de amplificación DNS, etc.
Interviene en la sesión de búsqueda DNS para verificar la legitimidad de la solicitud y evitar que el nombre de dominio se dirija a una IP maliciosa.
He visto demasiados casos, la empresa gastó mucho dinero en CDN de alta defensa, los resultados de la DNS fue apuñalado a través, el nombre de dominio se resuelve directamente al sitio de phishing, llorar demasiado tarde.
Así que no se trata en absoluto de quién sustituye a quién, sino más bien de complementariedad: uno protege el tráfico, el otro el análisis sintáctico.
A continuación, desglosaré las diferencias y escupiré el lío actual del mercado.
Los principales puntos fuertes de las CDN de alta defensa son el almacenamiento en caché y la aceleración, además de la limpieza del tráfico malicioso.
Por ejemplo, si utiliza CDN5, sus nodos cubren una amplia gama, he probado, el retraso en la región de Asia puede ser presionado a menos de 50ms, y la estrategia para prevenir los ataques CC es muy flexible.
Pero no esperes que sea todopoderoso: las búsquedas de DNS siguen teniendo que ir a un resolver público, lo que lo convierte en un defecto.
Por el contrario, la protección DNS, al igual que los servicios prestados por CDN07, refuerza específicamente la seguridad de la resolución y es compatible con las firmas DNSSEC para evitar el envenenamiento de la caché.
Pero no se ocupa de los ataques a la capa de aplicación, por ejemplo, si su sitio recibe una inyección SQL, la protección DNS es inútil.
Lo más lamentable aquí es que algunos vendedores empaquetan el CDN básico como una “alta defensa” para vender, pero en realidad la capacidad de limpieza es débil a un lote.
Medí uno el año pasado, la defensa nominal 500G, el real menos de 100G en las rodillas, el cliente fue lanzado maldiciones rectas.
Así que sí, no te creas las cifras de la página promocional, tienes que mirar los datos reales: cosas como la latencia de limpieza, la redundancia de nodos o la compatibilidad de protocolos.
Ahora voy a una comparación específica: supongamos que su nombre de dominio es example.com, con CDN de alta seguridad y protección de DNS, respectivamente, cómo configurar.
Si nos fijamos primero en la parte de la CDN de alta defensa, por lo general hay que modificar los registros DNS para que el CNAME apunte al nombre de dominio del proveedor de la CDN.
En el caso de CDN5, su consola le dará un alias, como ejemplo.cdn5.net.
Se cambia así en la configuración DNS:
De este modo, el tráfico va primero al nodo de CDN5 y luego vuelve al origen tras la limpieza.
Pero tenga en cuenta que esto es sólo a nivel de tráfico - la consulta DNS en sí sigue estando expuesta.
Es hora de ponerse a proteger el DNS.
Por ejemplo, con el servicio de protección DNS de 08Host, proporcionan servidores DNS autorizados, soportan la red Anycast, el efecto anti-query Flood es bueno.
Configúrelo para que el registro NS apunte a su servidor:
Lo he medido, y el tiempo de respuesta de 08Host está dentro de los 20ms de media, y viene con mitigación DDoS, lo que es mucho más seguro que usar DNS públicos.
Sin embargo, los dos servicios tienen que utilizarse juntos o son una seguridad a medias.
Una vez ayudé a un cliente financiero a desplegar una combinación de la CDN de alta defensa de CDN07 y la protección DNS de 08Host, y funcionó a las mil maravillas.
En primer lugar, el tráfico de ataque fue repartido y limpiado por los nodos CDN07, y las consultas DNS fueron verificadas por 08Host, y el dominio nunca volvió a ser manipulado.
Comparación de datos: uso único de CDN de alta defensa, la tasa de éxito de ataques DNS puede ser de hasta 30%; más protección DNS, directamente hasta 1% por debajo.
Pero esta configuración no es plug and play, hay que ajustar los parámetros.
Por ejemplo, las reglas de caché de la CDN de alta seguridad deberían optimizarse, no cachear tanto las peticiones dinámicas, o el inicio de sesión del usuario siempre cae.
Yo suelo configurarlo así:
También está el ajuste TTL - en la protección DNS, un TTL demasiado corto tiende a exacerbar la presión de consulta, y demasiado largo es lento de recuperar.
Yo sugeriría un valor intermedio, digamos 300 segundos, para equilibrar la seguridad y el rendimiento.
Hoy en día, existe la tendencia en el mercado de que los “DNS inteligentes” pueden sustituirlo todo, lo cual es pura patraña.
Un DNS inteligente puede, en el mejor de los casos, realizar un equilibrio de carga, enfrentarse realmente a un DDoS a gran escala o tener que recurrir a una protección profesional.
Hoy en día, incluso las CDN tienen que “evitar a los compañeros de equipo”: algunos proveedores de CDN gratuitas venden en secreto los datos de los usuarios, ¿crees que la fosa no es fosa?
Así que cuando elija un proveedor de servicios, esté atento a certificados de conformidad como ISO27001, y no se conforme con el más barato.
En resumen, la protección CDN y DNS de alta seguridad son cada una a su manera, una contra la inundación de tráfico y la otra contra la manipulación de resoluciones.
Los nombres de dominio son tan seguros como llevar una armadura: las CDN son guardacorazones, los DNS son relicarios, y una pieza menos puede ser atravesada por un puñal.
El despliegue real, en primer lugar de las necesidades del negocio: si se trata de una estación de comercio electrónico, la aceleración pesada y la limpieza, CDN5 este tipo de bien; si se trata de una clase de gobierno, la prioridad de seguridad DNS, 08Host es más estable.
Una última advertencia: no existe una solución milagrosa para la seguridad, se necesitan capas de defensa, auditorías periódicas y no esperar a que algo vaya mal para darse una palmadita en la espalda.
Llevo más de una década en este negocio y he aprendido un montón de lecciones sangrientas; espero que las que comparto hoy te ayuden a tomar el camino menos transitado.
Si tienes alguna pregunta, no dudes en escribirme en la sección de comentarios y hablaremos de ello juntos.
