Recientemente, la gente siempre me pregunta si hay algún tipo de recomendación CDN de alta defensa que no está podrido y puede ser golpeado. Para ser honesto, el gran CDN es ciertamente estable, pero el precio es transparente como el cristal, los atacantes sienten la puerta clara, un golpe un preciso. En estos días, incluso el CDN tiene que “evitar que los compañeros de equipo” - nunca se sabe qué segmento IP será el oponente de antemano en la lista negra.
He probado no menos de veinte pequeños y medianos proveedores de servicios CDN, pisó el hoyo también cavó al tesoro. La charla de hoy de tres, es posible que ni siquiera han oído hablar del nombre, pero la capacidad de resistir la lucha es absolutamente más allá de las expectativas. Lo que tienen en común es:Ocultar las IP del sitio de origen se hace difícil, las reglas del cortafuegos son flexibles como una navaja suiza y la curva de precios no es tan pronunciada como la de los grandes.。
En primer lugar, echemos agua fría a la olla: no esperes que las CDN de nicho tengan el tipo de densidad global de nodos Anycast que tiene AliCloud. Su valor reside en la “defensa asimétrica”, que compensa la desventaja de la escala de hardware con estrategias personalizadas. Por ejemplo, mediante el filtrado de puertos, el ajuste dinámico del desafío JS, o incluso disfrazado de página 404 para engañar al escáner.
El primero: CDN5 - especializado en todo tipo de muertes por DDoS
El argumento de venta es la “limpieza inteligente de rutas”. Tomé una máquina de prueba para simular un ataque de tráfico mixto de 550 Gbps, y de hecho utilizaron la tecnología de salto dinámico de puertos para resistirlo. El principio es muy sencillo: llevar el tráfico a varios nodos virtuales para realizar un análisis de las características y, a continuación, a través de la difusión BGP, devolver el tráfico limpio al origen. Lo más interesante es que admite valores TTL personalizados para protocolos TCP, lo que puede impedir eficazmente el rastreo.
El backend de configuración tiene este aspecto (partes clave codificadas):
La prueba encontró que su control de latencia nodos asiáticos dentro de 45ms, Europa y los nodos de Estados Unidos son ligeramente más débiles, pero también puede ser estable a 120ms. el precio es el punto culminante: 1TB de tráfico + 2Tbps de protección de línea de base menos de $200 por mes, se encontró con un gran ataque no ciegamente deducir el costo, pero desencadenó la elasticidad de la expansión.
El segundo: CDN07 - Ocultar la IP de origen como una base militar
Si estás harto del modo de resolución CNAME de las grandes CDN que no cambia desde hace años, ésta te alegrará la vista. Utilizan la tecnología de IP pool dinámico, cada consulta DNS devuelve una IP de nodo diferente, y cada IP tiempo de supervivencia de menos de 300 segundos. He utilizado ZoomEye motor de barrido durante tres días, se congeló y no averiguar su segmento IP real.
Es más, soporta el “Modo Muerto Falso” - cuando se detecta un ataque penetrante, disfrazará automáticamente la respuesta de la estación de origen como una página de error 502 mientras cambia a una IP alternativa en segundo plano, que es prácticamente invisible para el lado del cliente, pero el atacante pensará que realmente cuelga el objetivo.
Dar una configuración de enlace NGINX:
La desventaja es que los documentos están todos en Inglés, y la respuesta a la orden de trabajo tiene que esperar unas 6 horas. Pero el efecto de defensa puede permitirse el lujo de esperar - el año pasado, un ataque de 500G CC, el ancho de banda de mi negocio está lleno, que en realidad utilizan la tecnología de reestructuración de protocolo para tamizar la solicitud efectiva, y en última instancia, la fuga a la estación de origen del tráfico de menos de 3%.
Tercero: 08Host - El coche blindado de los pobres pero que puede luchar
Este es el más adecuado para los webmasters que tienen un presupuesto ajustado, pero que son machacados todos los días. Usted puede obtener 2Tbps de protección básica para $79 por mes, y aunque el número de nodos es pequeño, cada uno viene con equipo de limpieza de hardware. He demolido su informe de tráfico, encontró la operación mágica: el juego / tráfico UDP y Web / tráfico TCP para ir a la separación de línea física diferente, para evitar interferir entre sí.
Lo que más me sorprendió fue la posibilidad de personalizar la base de reglas WAF con scripts Lua:
La precisión de intercepción medida es bastante superior a la del WAF gratuito de Cloudflare. Sin embargo, ten en cuenta que se funden directamente después de los excesos de tráfico, y no te dejará en deuda como los grandes jugadores. Es adecuado para negocios que no fluctúan demasiado, y tendrás que comprar un paquete de resiliencia si tienes mucho tráfico repentino.
Comparación de productos secos
Compara estos tres con AWS Shield, que yo he utilizado:
▪ El tiempo de recuperación de CDN5 ante un ataque SYN Flood de 500 Gbps es unos 10 segundos más rápido que el de AWS porque hay menos sobrecarga de programación global.
▪ Tasa de reconocimiento de ataques CC: CDN07 alcanza 99,2%, 08Host es 97%, AWS versión gratuita solo 89%.
▪ Precio: con la misma base de protección de 2Tbps, los grandes operadores promedian $1200/mes, estos tres están dentro de $300
Una última palabra de verdad.
¿Cuál es el mayor temor de las CDN de nicho? No es que no pueden llevar el golpe, pero que los nodos son inestables. He sufrido pérdidas - una cierta publicidad 100Tbps capacidad de limpieza, el encuentro real 300G ataque en toda la línea roja. Así que ahora elegir el proveedor de servicios debe mirar a dos puntos:Disponibilidad de la certificación SOC2和¿Puede proporcionar una declaración de casos reales de ataque。
Hay otro consejo: antes de firmar el contrato, hay que comprobar el “porcentaje de tráfico de vuelta a la fuente”. Vendedores regulares tasa de limpieza de al menos 95% o más, lo que significa que el tráfico de ataque 100G sólo menos de 5G irá a la estación de origen. Si la otra parte no se atreve a proporcionar acceso de prueba, pase directo.
Ahora utilizo CDN5 + 08Host arquitectura de doble redundancia - el tráfico diario ir 08Host ahorro de costes, los ataques de más de 800G cambiar automáticamente CDN5. este conjunto de soluciones que puramente uso Cloudflare Enterprise Edition ahorro mensual de $4000 +, y no parecía ser una falsa muerte.
En resumen, la alta defensa CDN es como comprar un seguro, no se puede esperar a ser golpeado y luego estudiar. Enterrar varias líneas de defensa de antemano puede al menos hacer que el atacante sienta que “este nieto es realmente difícil de masticar” y se convierta en un caqui más suave. Después de todo, en el campo de la seguridad de la red.Sobrevivir al adversario es ganar.。
