Recientemente para ayudar a los clientes a hacer frente a un evento DDoS se encontró con el escenario clásico - negocio de repente penetrado, la exposición IP de la estación de origen e incluso el servidor de base de datos fueron arrastrados hacia abajo. En estos días, incluso CDN tienen que ‘evitar que los compañeros de equipo’, algunos proveedores de servicios afirman aceleración global, el ataque volvió directamente a la fuente de la IP expuesta, la llamada alta defensa es una pose.
Selección de negocios en el extranjero de alta defensa CDN no es en absoluto para ver quién tiene un gran número de nodos, la clave para mirar a la capacidad de limpieza y la estrategia de programación de red. He manejado muchos casos de empresas multinacionales, encontró que el 80% de los clientes plantados en tres pozos: la búsqueda ciega de paquetes de bajo precio, crédula propaganda ‘protección ilimitada", haciendo caso omiso de la encriptación de enlace de retorno. El año pasado, una promoción de comercio electrónico durante el colapso del tráfico 700Gbps, es debido a la utilización de un CDN barato, el tráfico de ataque no ha llegado al centro de limpieza bloqueó la red troncal transfronteriza.
Después de probar más de veinte proveedores de servicios, he seleccionado tres realmente puede jugar el CDN de alta defensa. centrarse en cuatro dimensiones: la densidad de cobertura del centro de limpieza, el algoritmo de aceleración de TCP, el tiempo de respuesta de emergencia de vulnerabilidad, ya sea para apoyar la dirección de optimización de China. No crea en esas características de lujo de la consola, la capacidad anti-ataque todo depende de la infraestructura subyacente.
Empecemos por CDN5, un veterano proveedor alemán. Su familia ha construido sus propios centros de limpieza de nivel Tb en tres nodos centrales en Fráncfort, Singapur y Los Ángeles, y son especialmente buenos haciendo frente a los ataques a la capa de aplicación. El año pasado simulé una inundación HTTP con una herramienta de pruebas de presión, y su sistema de enrutamiento inteligente puede enviar tráfico a los nodos de limpieza en 3 segundos. Lo más crítico es proporcionar protección IP de origen falsa, el atacante simplemente no puede tocar la ubicación real del servidor.
El ejemplo de configuración requiere cambios en la configuración de nginx para que coincida con su token de seguridad:
No exponga la IP de origen directamente: su red Anycast viene con ocultación de puertos, y al hacer ping al nombre de dominio sólo devolverá la IP del nodo de limpieza en la prueba real. caro pero con una buena relación calidad-precio, el paquete más bajo empieza en 299 euros al mes, adecuado para negocios financieros.
El segundo CDN07 recomendado, la mayor ventaja de esta perversión de cobertura de nodo de Estados Unidos - 187 puntos POP en todo el mundo integrado AWS, GCP y Azure nodos de borde. Especialmente adecuado para el tráfico repentino enorme en vivo y la industria del juego, una vez ayudé a un cliente de juego configurado su función de aceleración dinámica, los usuarios europeos y americanos latencia directamente de 380ms abajo a 89ms.
Su base de reglas WAF se actualiza extremadamente rápido, y puedes ver nuevas reglas de protección de vulnerabilidades añadidas cada semana. Recuerda activar su función ‘botnet challenge', el tráfico sospechoso de ataque será verificado primero por JS antes de ser liberado. La prueba bloqueó eficazmente el ataque del rastreador 90%, pero ten en cuenta que esto puede afectar a algunos motores de búsqueda incluidos.
Configurar sus funciones de borde requiere escribir una simple pieza de lógica:
Ahora a la tercera 08Host, este proveedor de servicios de Singapur es particularmente adecuado para el negocio de Asia y el Pacífico. Ellos en Japón, Taiwán, Hong Kong disposición de un gran número de líneas optimizadas CN2, la velocidad de acceso doméstico es comparable a la CDN local. el más crítico es proporcionar certificados SSL gratuitos y servicios de ataque anti-CC, una vez resistido una duración de cuatro días de diez millones de QPS ataque CC.
De hecho, he probado su algoritmo de aceleración TCP y sigue manteniendo una transmisión estable en un enlace transfronterizo con una tasa de pérdida de paquetes de 151 TP3T. La consola es ridículamente sencilla, con sólo tres conmutadores: protección DDoS, compresión inteligente y bloqueo de zonas. Ideal para equipos de startups que no quieren complicarse con detalles técnicos, el precio de 59 dólares al mes también incluye un crédito de protección de 2Tbps.
Asegúrate de activar la función ‘regreso seguro a la fuente":
Pasemos ahora a las principales recomendaciones de selección. Las empresas financieras prefieren CDN5, su certificación de conformidad es la más completa; los videojuegos seleccionan CDN07, la capacidad de transporte de tráfico en ráfagas es la más fuerte; los usuarios de Asia-Pacífico eligen principalmente 08Host, la optimización de la latencia es realmente una realidad. No se deje engañar por la retórica de la ‘protección ilimitada", todas las CDN de alta defensa tienen un límite oculto, más que el tráfico clasificado directamente ruta nula.
Por último, se recuerdan algunos escollos: evitar el uso de paquetes IP compartidos, de lo contrario es fácil verse implicado por los vecinos; asegurarse de comprobar si el cifrado del enlace de retorno es realmente eficaz; comprobar el alcance de los anuncios BGP del proveedor de servicios, y cuantos más ASN cubra el nodo de limpieza, mejor. El año pasado, un cliente eligió una CDN de cierto nicho para ahorrar dinero, y el resultado fue que el tráfico de ataque fue bloqueado por el operador de subida justo después de 300G.
El efecto de protección real también depende del combate real. Se recomienda hacer una prueba de presión de simulación antes de que el negocio esté en línea, yo suelo utilizar el modo de ataque mixto: SYN Flood + HTTP Slowloris + random URI crawler. Una vez medí los defectos de las reglas WAF de una conocida CDN, su protección AI fue incluso eludida por una cookie especial.
Hoy en día, estos proveedores ofrecen pruebas gratuitas, pero recuerda comprobar siempre las métricas clave durante el periodo de prueba: tasa de retransmisión TCP desde nodos de Hong Kong a Los Ángeles, latencia de respuesta desde centros de limpieza europeos y enrutamiento BGP desde nodos asiáticos a China Mobile. Los bonitos gráficos de monitorización que muestran algunos proveedores son en realidad rutas de demostración optimizadas.
Al final, CDN de alta seguridad es sólo una parte del sistema de seguridad, sino también con el firewall de aplicaciones Web, la arquitectura de confianza cero y el proceso de respuesta de emergencia. La última vez que vi un caso escandaloso, el cliente gastó mucho dinero para comprar un CDN superior, pero debido a la fuga de código fuente condujo a la exposición IP de la estación de origen - esto es como comprar una puerta a prueba de balas, pero la llave se inserta en la puerta.
