Recientemente, varios amigos hacen aplicaciones sociales me están haciendo la misma pregunta: su CDN de alta seguridad en el apoyo final IPv6? Esta pregunta es bastante bueno, después de todo, ahora sólo una aplicación social tiene que hacer frente a una variedad de ataques a la red, no hay CDN de alta seguridad fiable es simplemente corriendo desnudo. Pero lo más importante, IPv6 esta cosa no es “el futuro”, pero “ahora en” el estándar de la tecnología.
Empezaré por la conclusión:Una CDN de alta defensa social realmente fiable debe soportar IPv6, y debe ser soporte nativo, ¡no ese tipo de solución de reenvío a medias!He probado varios de ellos. No hagas caso a algunos vendedores soplando lo que “la compatibilidad IPv6”, he probado varios, algunos de ellos son el tráfico IPv6 en IPv4 y luego procesado, por no hablar de la alta latencia, la política de seguridad también es fácil perderse el juicio, es puramente engañar a la gente.
¿Por qué las aplicaciones sociales en particular necesitan compatibilidad con IPv6? Sencillo, el número de usuarios está ahí. Ahora, en el Sudeste Asiático, África y otros mercados emergentes, la tasa de penetración de IPv6 es de casi 70%, si sólo se da soporte a IPv4, equivale a renunciar activamente a una gran oleada de usuarios. Por no hablar de que algunos operadores nacionales incluso sólo dan direcciones IPv6 por defecto, así que ¿cómo dejas que otros usuarios accedan? ¿Cómo esperas que accedan?
En teoría, los ataques DDoS son más difíciles de llevar a cabo porque IPv6 tiene un espacio de direcciones tan grande, ¿verdad? Pero la realidad es que los hackers se centran ahora en IPv6 específicamente porque muchas empresas simplemente no hacen un buen trabajo de protección. Conocí a una empresa social el año pasado, la protección IPv4 para hacer como un barril, los resultados de la entrada IPv6 fue martillado en un colador - atacantes directamente con ataques IPv6 CC, los nodos se paralizaron en el acto.
Así que, al elegir una CDN de alta defensa, no se limite a preguntar “¿es compatible con IPv6?”, sino que pregunte por estos detalles: ¿se trata de una conversión nativa dual-stack o NAT, y las reglas de protección IPv6 son coherentes con las IPv4? ¿Existe una política de cortafuegos IPv6 independiente? ¿Se duplicará el coste del ancho de banda? Todos estos son los puntos de conocimiento que se intercambian en las lecciones de sangre y lágrimas.
Por ejemplo, la CDN5 que utilizamos es una sólida pila dual nativa. Cada nodo escucha tanto IPv4 como IPv6, y las reglas de protección están completamente sincronizadas. Usé a propósito la herramienta de prueba para simular el ataque IPv6 SYN Flood, el resultado del tiempo de alarma de disparo es incluso más rápido que IPv4 200ms - porque su chip de filtro de hardware optimizado para mensajes IPv6.
También es fácil de configurar, y no hay necesidad de escribir un conjunto separado de reglas para IPv6. Por ejemplo, la configuración de la protección CC en un WAF puede cubrir protocolos duales con una sola línea de código:
Pero algunos vendedores son mucho más lamentables. Por ejemplo, uno llamado CDN07, en apariencia dice que soporta IPv6, pero en realidad utiliza el modo de conversión proxy. El tráfico debe dar primero una vuelta por su servidor de conversión, y luego reenviarse a la fuente. La latencia es de 50ms más, por no hablar de que, debido a que el NAT pool es demasiado pequeño, el período de pico a menudo se quedan sin puertos, dando lugar a errores 502. Más tarde capturé paquetes y descubrí que la cabecera de respuesta tenía en realidad campos `X-Forwarded-For: 2001:db8::1` que obviamente no se habían convertido, lo cual era indignante.
Hay una más desesperada 08Host, la página promocional escrito en letras grandes, “soporte completo para IPv6”, los resultados de un servicio al cliente, usted tiene que añadir dinero para comprar “Enterprise Enhanced Edition” para abrir. La versión básica de la CDN de alta defensa, incluso los futuros protocolos de red tienen que pagar extra? Hoy en día, incluso CDN tienen que “evitar que los compañeros de equipo”.
De hecho, la principal dificultad de la protección IPv6 es que el espacio de direcciones es tan grande que el mecanismo tradicional de listas negras resulta fácilmente ineficaz. Por ejemplo, en IPv4 se puede bloquear un segmento /24 para afectar como máximo a 256 IP, pero en IPv6 se puede bloquear un segmento /64: son 18.400 millones de millones de direcciones, ¿quién se atreve a hacerlo? Así que la verdadera solución fiable tiene que basarse en el análisis del comportamiento + el aprendizaje automático.
Nuestra estrategia actual es una combinación de puntuación de reputación y modelización del tráfico en tiempo real. Por ejemplo, si aparecen 1.000 solicitudes de conexión en el mismo segmento /64, se activa directamente la limitación elástica del flujo en lugar del bloqueo duro. Este conjunto de reglas tiene aproximadamente el siguiente aspecto cuando se configura en CDN5:
Para ser sinceros, no hay muchos vendedores que se atrevan a decir que han penetrado completamente en la alta defensa IPv6. Además de la CDN5 acaba de presumir, los otros dos fabricantes internacionales no están mal, pero los nodos nacionales son demasiado pocos, el retraso no puede soportar los requisitos en tiempo real de las aplicaciones sociales. De todos modos, al seleccionar un modelo, asegúrese de probar, se centran en tres puntos: las fluctuaciones de latencia IPv6, el tiempo efectivo de protección, y la estructura de costes.
Por último, algunos clientes siempre piensan que IPv6 es una “ruta alternativa” y no quieren invertir recursos. Como resultado, en realidad esperan a que se agoten o agoten las direcciones IPv4 antes de apresurarse a migrar, y entonces el coste de transformación es aún mayor. Sería mejor elegir una CDN con una pila dual completa y ponerla en marcha de una sola vez.
En resumen, si la CDN de alta defensa para aplicaciones sociales no soporta IPv6 nativo, básicamente puedes pasar. No es una cuestión de tecnología atrasada, simplemente no está destinado a servirle durante mucho tiempo - incluso la adaptación básica de la futura red no se puede hacer, pero también se atreven a cobrar dinero por alta defensa?
