Recientemente, ayudé a un amigo a comprobar una estación que fue atacada por un cuelgue, y descubrí que aunque habían puesto una CDN de alta defensa, no habían verificado si la defensa era efectiva o no. Una vez que llegó el ataque, la IP de la estación de origen quedó directamente expuesta, y la CDN se convirtió en un montaje. Hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo” - algunos vendedores no han escrito sus propios documentos de configuración para entender.
¿Es cierto que un CDN de alta defensa puede soportar una paliza? No escuches los alardes de los vendedores, tienes que medirlo tú mismo. He visto demasiadas personas piensan que compraron el servicio para estar tranquilo, el resultado de la primera ola de tráfico sobre el desnudo directo. La charla de hoy de los dos métodos de prueba, pisé el hoyo en los últimos años salió de la experiencia, e incluso puede a su vez obligar al vendedor a darle la configuración.
Empecemos con una ducha fría: lo que usted cree que está “en vigor” puede ser una ilusión.Muchos proveedores sólo activan la protección de algunos nodos por defecto, o la política de caché está tan mal configurada que el tráfico ni siquiera llega al centro de limpieza. El núcleo de la prueba es una sola frase:Asegúrese de que todo el tráfico de ataque debe pasar por el nodo de limpieza de la CDN, mientras que el sitio de origen es completamente invisible.
Los dos métodos siguientes, el primero para la verificación rápida y el segundo para la simulación de alta tensión, se utilizan en combinación para una verdadera tranquilidad.
Método 1: Prueba de resolución DNS - básica pero mortal
Si no haces bien este paso, todo es en vano. He encontrado que más del 30% de los problemas de configuración en la resolución DNS. Muchas personas cambian el CNAME pensó que había terminado, pero no saben la caché DNS local, TTL diferencia de tiempo puede dejar que se ejecuta desnudo durante horas.
Recuérdalo siempre:En primer lugar, utilice dig o nslookup para comprobar los resultados de la resolución de su nombre de dominio.Lo ideal es que la IP resuelta sea la IP del nodo del proveedor de CDN. Lo ideal es que la IP resuelta sea la IP de nodo del proveedor de CDN y no la IP de su sitio de origen, como con este comando:
Si el pop-up es su IP de origen, date prisa para comprobar la configuración de DNS. No te rías, también me encontré con un cliente el mes pasado, el valor del registro CNAME rellenado en la letra equivocada, la resolución directamente de vuelta a la fuente, duro “falsa protección” durante tres meses.
Un movimiento aún más difícil seríaModificar el archivo Hosts local para forzar la resolución al nodo CDN. Por ejemplo, apunte el nombre de dominio a la IP de prueba proporcionada por el proveedor de CDN y, a continuación, visite el sitio web para ver si es normal. Si es normal, significa que el enlace de retorno desde el nodo al sitio de origen ha pasado; si informa de un error, puede haber un problema con la configuración de retorno (como el encabezado de host o el certificado).
Algunos vendedores, como CDN07, le proporcionarán un dominio de prueba dedicado, para que no tenga que esperar a que los DNS surtan efecto para comprobar el estado del nodo. Esta característica es en realidad bastante práctica, pero el 80% de los vendedores no tomarán la iniciativa de decírtelo - después de todo, más es mejor que menos.
Método 2: Prueba de ataque simulado - Jugar de verdad es fiable
No basta con parsear correctamente, hay que demostrar que el nodo puede realmente soportar el ataque. Aquí hay dos direcciones recomendadas: simulación de tráfico DDoS y pruebas de ataque CC.
Pruebas DDoSLo mejor es encontrar un proveedor con el que trabajar. Los proveedores legítimos de alta defensa, como CDN5 y 08Host, permiten a los clientes lanzar ataques simulados durante el periodo de prueba (por supuesto, hay que concertar una cita con antelación). Sus ingenieros vigilarán el panel de tráfico para ayudarte a analizar el efecto de la limpieza. No luches a ciegas por ti mismo, especialmente aquellas personas imprudentes que compran un VPS y abren hping3 - ten cuidado de ser bloqueado por el segmento de red del operador.
Centrarse en las pruebasVariación de la latencia y pérdida de paquetes. Estado normal de limpieza, las visitas al sitio debe ser casi sin sentido, mientras que el seguimiento de los antecedentes para ver el tráfico de limpieza se dispara. Por ejemplo, la última vez que medí 08Host nodo, 200G por segundo inundación UDP golpeó el pasado, la latencia de negocios sólo se levantó 20ms, esto es realmente eficaz.
Prueba de ataque CCEs más adecuado para meterse con uno mismo. Utiliza una herramienta para simular un montón de peticiones normales, como fregar frenéticamente alguna página dinámica:
Preste atención a la curva QPS y al código de estado devuelto por la consola CDN. Si un gran número de peticiones vuelven directamente a la fuente o la CPU de la fuente se dispara, significa que las reglas CC no están en vigor. Una buena protección debería ser capaz de interceptar peticiones maliciosas directamente en los nodos de borde, e incluso devolver retos CAPTCHA.
Esto es lo que hay que tener en cuenta: las reglas CC de algunos fabricantes tienen sensibilidades por defecto ridículamente bajas y hay que darles una paliza antes de que estén dispuestos a ajustarlas. Así que es posible que desee golpear un poco más difícil cuando usted lo prueba, y golpear a la derecha hasta el umbral de disparo para conseguir que funcione.
Una acción extra de mal gusto: retropropagar rutas de ataque con registros SSH
Si tu servidor fuente tiene SSH activado, ve directamente a los registros /var/log/secure (sistemas Linux). En un ataque real, si la CDN no está activada, verás un montón de intentos de inicio de sesión procedentes de la IP real; si está activada, todas las peticiones deberían proceder únicamente del segmento de IP de origen de retorno de la CDN.
Este método es más preciso que mirar los registros de las empresas porque los hackers siempre barren el puerto 22 a mano, y este tipo de tráfico no se almacena en caché y definitivamente volverá a la fuente.
Las pruebas no son algo puntual
Que funcione hoy no significa que vaya a funcionar mañana. Especialmente cuando su sitio web ha cambiado nuevas características o arquitectura, es probable que algunas interfaces estén eludiendo el CDN de nuevo. Se recomienda utilizar el método anterior para realizar una comprobación completa cada tres meses, especialmente la resolución DNS y el riesgo de exposición del sitio de origen.
Una última réplica:Las profundidades de las CDN de alta defensa no suelen estar en la tecnología, sino en el negocio. Algunos vendedores le venden 10G de protección, el real puede compartir la piscina de ancho de banda; alegando que se puede prevenir cualquier ataque, el resultado de las normas CC tienen que añadir dinero para abrir. Las pruebas no sólo verificar el efecto, sino también un medio para obligarlos a cumplir sus promesas.
Al fin y al cabo, pagas por seguridad, no por comodidad psicológica.
