Recientemente para ayudar a los amigos a lidiar con el sitio web fue golpeado DDoS colgando problemas, se encontró que muchas personas de alta seguridad CDN están configurados incorrectamente, especialmente la resolución CNAME de este enlace - usted piensa que después de la resolución de la alta tranquilidad? ¡Error! La configuración incorrecta es el fracaso de la aceleración de la luz, la exposición directa pesada de la IP de la estación de origen.
El mes pasado, hay un cliente me juró que "los proveedores de CDN dijo que la resolución de cinco minutos para surtir efecto", los resultados de la espera de medio día o el usuario está conectado directamente a su estación de origen, el flujo de tráfico se precipitó en el servidor directamente paralizado. Me acerqué a echar un vistazo, buen tipo, el valor del registro CNAME al final del valor falta un punto, el análisis no entró en vigor.
Incluso las CDN tienen que defenderse de sus compañeros de equipo.Algunos documentos de los vendedores están escritos como si fueran libros, y el apoyo técnico sólo copiar y pegar palabras oficiales. Hoy te voy a decir con la experiencia práctica, de alta seguridad CDN CNAME resolución al final cómo jugar, desde el principio de evitar pit un paso a lugar.
Salpica primero con agua fría:No crea que todo irá bien después de resolver el CNAME.He probado el tiempo de resolución de tres proveedores principales. ¡He probado la resolución de los tres principales vendedores a surtir efecto, el más rápido CDN5 puede surtir efecto en 90 segundos a nivel mundial, mientras que algunos pequeños vendedores del nodo incluso tienen que esperar durante 20 minutos - durante este período de tiempo el tráfico es un estado bare-bones!
¿Por qué es tan importante el CNAME? En pocas palabras, es su programador de tráfico. Cuando un usuario accede a su nombre de dominio, DNS dirigirá primero la solicitud a la dirección CNAME del proveedor de CDN y, a continuación, el proveedor la asignará de forma inteligente al nodo de protección más cercano. Si el programador se pone en huelga, el usuario se precipita directamente a la puerta de su servidor de origen.
Veamos un caso lacrimógeno: una plataforma financiera utilizó el servicio de alta defensa de CDN07, pero los técnicos resolvieron el CNAME a la IP de la estación de origen en lugar del nombre de dominio de protección del proveedor. Como resultado, el atacante directamente a través de los registros DNS para revertir la detección de la IP real, una ola de 500G de tráfico directamente a la sala de servidores a través.
Ahora de la mano para enseñarle la configuración correcta, a la resolución DNSPod doméstica común como un ejemplo:
Cuidado con eso.punto final¡! Este es el detalle que más fácilmente se pasa por alto. Con un punto indica un nombre de dominio absoluto, sin un punto el sistema empalmará automáticamente el nombre de dominio actual. He visto a gente poner valores de registro como "seguridad.cdn5.com.web.com" y ese tipo de basura.
Si utiliza una CDN como 08Host con cuatro capas de protección, la configuración será un poco más complicada:
No espere a que se complete el análisis. Verifícalo inmediatamente con el comando dig:
Solía comprobar el estado de resolución de las distintas regiones con la herramienta de consulta DNS global. Una vez descubrí que el retraso de resolución de los nodos europeos era de hasta 300 ms, y decidí dejar que el proveedor refrescara la caché DNS de los nodos edge.
Los datos reales hablan por sí solos.: En el mismo entorno de red, la resolución global de CDN5 tarda una media de 68 segundos, CDN07 tarda 120 segundos, y 08Host es el que obtiene mejores resultados en la región Asia-Pacífico, con sólo 40 segundos. Si realiza comercio electrónico transfronterizo, esta diferencia de tiempo afecta directamente a la velocidad de carga de la primera pantalla.
¿Qué debo hacer si encuentro una resolución que no funciona? Comprueba primero tres cosas:Si la caché DNS se actualiza, si el TTL es demasiado largo, si el valor CNAME tiene un espacio de más...No estoy seguro de cómo resolver este problema, pero no estoy seguro de cómo resolverlo. Alguna vez me encontré con un problema metafísico: la caché DNS cliente incluso almacenado durante 24 horas, y finalmente obligado a actualizar el DNS local para resolverlo.
Consejos de ocultación para CDN de alta defensa:Configure las reglas WAF en cuanto el análisis sintáctico surta efecto. Muchas personas han sido explotadas por ataques de inyección mientras esperaban el "efecto completo". De hecho, en cuanto la resolución DNS empieza a distribuir tráfico, el nodo de protección ya puede intervenir para limpiar el tráfico.
Un último consejo:No se crea la afirmación del vendedor de que "la resolución surte efecto inmediatamente".. Todos los cambios de DNS están sujetos a retrasos de propagación y tardan al menos 2 minutos en surtir efecto a nivel global. Durante este tiempo, asegúrese de activar el cortafuegos de origen y configurarlo para que solo las IP del nodo CDN puedan acceder al sitio, ya que se trata de una práctica infalible.
Ahora compruebe su registro CNAME, ¿sigue esperando a que "cinco minutos surtan efecto"? Utilice el comando dig para verificarlo, ¡quizás su sitio web esté funcionando desnudo en este momento!
