Recientemente, he estado ayudando a varias startups con su negocio online, y descubrí que muchas de ellas sufrían ataques DDoS nada más empezar su negocio, y se quedaban paralizadas en cuanto recibían el impacto. El jefe estaba tan ansioso que se puso en pie de un salto: “¡Utilizamos un proveedor en la nube con su propia protección!”. Desembale la configuración y eche un vistazo, buen chico, la versión básica de la capacidad de limpieza de 5Gbps, no es suficiente para que los hackers se calienten.
Los ciberataques hace tiempo que se han industrializado. La oferta de atacar un sitio web tiene un precio explícito de 50 dólares por dejar su negocio fuera de servicio durante una hora. ¿Esperar una protección básica de un proveedor de la nube? Es el equivalente a bloquear una Gatling con un escudo de papel.
En los casos de ataques de tráfico pesado de los que me he ocupado, el equipo de 90% cometió un error fatal: esperar a quedarse paralizado antes de apresurarse a encontrar una solución. Interrupción de la actividad durante tres horas, la pérdida es suficiente para comprar tres años de servicios de alta defensa. Las lecciones de sangre nos lo dicen: el acceso a CDN de alta defensa debe convertirse en una acción estándar antes del lanzamiento, en lugar de una medida correctiva a posteriori.
El valor fundamental de las CDN de alta defensa no es la aceleración, sino el camuflaje. Es como llevar una máscara antibalas al servidor - la IP real se oculta detrás, y todo el tráfico pasa primero por el nodo de limpieza global. Los hackers siempre golpearán los nodos CDN, y su estación de origen se esconde en la oscuridad y estable.
Sólo ayudar a la estación de comercio electrónico para llevar 380Gbps de ataques mixtos, la prueba encontró que la CDN configurado correctamente puede filtrar 99% de tráfico basura. Hoy en día, de la manera más sencilla, el proceso de configuración de CDN de alta defensa para desmantelar entender. Siga la operación, media hora será capaz de dejar que el sitio de llevar un chaleco antibalas.
En primer lugar, echemos un jarro de agua fría: no te creas esos anuncios de “protección con un clic”. He probado las funciones de autoconfiguración de tres grandes proveedores, y ninguna de ellas se adapta perfectamente a los escenarios empresariales. O bien las reglas de almacenamiento en caché no son razonables, o bien la política de protección es demasiado laxa o estricta. La configuración manual es siempre la mejor solución.
El primer paso en la selección de los más picados. En el mercado hay tres grandes escuelas de productos de alta defensa:Tradicional Tipo de fabricante(CDN5, CDN07),Estereotipos de vinculación de proveedores de servicios en nube(un tal Riyun, una tal nube Tencent),Protección especializada(08Host, etc.). Es interesante ver cómo se comparan los datos medidos:
Los nodos de los proveedores tradicionales tienen una amplia cobertura, pero el grado de personalización es bajo. la latencia de los nodos de Asia-Pacífico de CDN5 puede reducirse a menos de 80 ms, pero la capacidad de limpieza europea es escasa; el algoritmo de aceleración TCP de CDN07 es realmente rápido, pero el fondo de configuración es antihumano.
El mayor escollo de los estereotipos del proveedor de la nube es que - usted piensa que usted está comprando una alta defensa independiente, pero en realidad sigue siendo un clúster compartido. Los periodos punta pueden ser “clientes de oro” para apoderarse de los recursos. El año pasado Double Eleven, una empresa de comercio electrónico sufrió esta pérdida.
Tipo de protección especializada como 08Host, ganando en la estrategia de protección bien. Apoyar plantillas de protección personalizados por tipo de negocio (comercio electrónico / juegos / finanzas), pero el precio suele ser caro 30%.
Mis sugerencias para elegir sonEl negocio principal en Asia-Pacífico elegir CDN5, negocio global con CDN07, la protección a nivel financiero debe considerar 08Host. no creo que el golpe de ventas “protección ilimitada”, todos los vendedores tienen umbrales invisibles.
Determine el fabricante y vaya directamente a la consola. Céntrate en cuatro parámetros:fuente método de retorno、Reglas de caché、clase de protección、límite de ancho de banda. Hay minas enterradas en cada opción aquí.
Una vez que un cliente configurado al día siguiente la estación de origen fue penetrado, comprobar hasta el final encontró que la selección de la “transparente de nuevo a la fuente” - el hacker a través del nodo CDN contra-verificación para obtener la IP real. asegúrese de seleccionar el “proxy de nuevo a la fuente”. El "proxy de vuelta a la fuente" modo debe ser seleccionado, de modo que el CDN como intermediario para aislar el tráfico.
El enlace de vinculación del nombre de dominio es el detalle que más se comprueba. Mucha gente rellena directamente un CNAME y piensa que ya está hecho, pero se olvida de comprobar el estado de resolución. La postura correcta debería ser:
A continuación, configure la política de origen de retorno. La IP de la estación de origen debe utilizar la IP de la intranet o la IP de la lista blanca del cortafuegos, para evitar la exposición de la IP pública. Se han dado casos en los que los hackers han escaneado violentamente IPs de segmentos CDN para contrarrestar el sitio de origen, porque la IP pública se utilizó para volver a la fuente.
La configuración de la caché es crítica para el rendimiento. Se recomienda configurar una caché de 30 días para los recursos estáticos y desactivar la caché para las API dinámicas. Existe un malentendido clásico: algunas personas han almacenado en caché la interfaz de inicio de sesión y, como resultado, todos los inicios de sesión de los usuarios son números de serie. Utiliza esta regla para evitar tragedias:
Las reglas WAF no son tan estrictas como las mejores, he visto a algunas personas abrir el modo estricto completo, el usuario normal también está bloqueado. Se recomienda tomar tres pasos:Protección media para uso inicial,Documentación de las pautas de tráfico de aprendizaje,Pasar a una estrategia personalizada al cabo de dos semanas。
Hay tres elementos de protección obligatorios que deben abrirse:Protección contra ataques CC(Desafiado automáticamente por solicitudes superiores a 200 por segundo),Cierre geográfico(Bloqueo directo de segmentos IP no comerciales),Interceptación de bots maliciososEl reconocimiento de Bot de 08Host hace un trabajo particularmente bueno al distinguir entre motores de búsqueda y rastreadores maliciosos.
Hay un artefacto oculto en los ajustes avanzados:Umbrales de validación hombre-máquinaPuede configurar “el mismo acceso IP 50 veces por minuto para activar el código de autenticación”. Puede establecer "el mismo acceso IP 50 veces por minuto para activar el código de verificación", la prueba real puede bloquear 80% CC ataque. Pero no lo pongas demasiado bajo, o los usuarios de móviles maldecirán.
¡Pruebe siempre al final! Compruebe que la protección funciona simulando un ataque con la herramienta:
Compruebe el informe de ataque en la consola CDN, normalmente debería ver que el tráfico de ataque se limpia y la presión del servidor de origen no se mueve. Si ves picos de CPU en el origen, comprueba de nuevo la configuración de origen.
No olvides activar las alarmas. Se recomienda activar las alarmas de dos umbrales “el tráfico de limpieza en 5 minutos supera los 10G” y “el ancho de banda de vuelta al origen supera los 100Mbps”. Si te atacan a las tres de la mañana, aún podrás responder a tiempo.
Después de estos cinco pasos, su sitio habrá podido soportar la mayoría de los ataques convencionales. Pero recuerde que no existe un sistema de seguridad absoluto. El mes pasado, me encontré con un ataque pervertido: unos hackers utilizaron decenas de miles de IP reales de teléfonos móviles para lanzar una petición lenta, casi saltándose la política de alta seguridad. Al final, sólo se pudo detener gracias al análisis inteligente del comportamiento de 08Host.
Una CDN de alta defensa esencialmente compra tiempo - arrastrando al hacker a una guerra de desgaste hasta que abandona el ataque. Así que la reserva de ancho de banda es muy importante. Se recomienda reservar 20% margen de ancho de banda sobre una base diaria, y ampliar temporalmente la capacidad cuando se encuentra con un ataque.expansión de la elasticidad de CDN5 hace un buen trabajo, cinco minutos para añadir 1T de ancho de banda de protección.
Por último, la verdad: el éxito del ataque de 90% se debe a un error de configuración. Es más importante auditar regularmente las reglas CDN y comprobar los registros del sitio de origen en busca de accesos directos inusuales que comprar paquetes de protección demasiado caros. Al fin y al cabo, las fortalezas más fuertes a menudo se vulneran desde dentro.
Ve a comprobar la configuración de tu CDN ahora. No esperes a que llegue un ataque para arrepentirte: con esto de la seguridad, siempre sobra redundancia en tiempos normales y falta odio cuando las cosas van mal.
