Recientemente, siempre hay amigos me preguntan, de alta seguridad CDN no es realmente capaz de prevenir los ataques de CC? Esta es una buena pregunta, pero la respuesta no es tan simple. He visto demasiadas personas piensan que la compra de un paquete de alta defensa estar\u00e1 bien, los resultados del ataque CC penetrado despu\u00e9s de la cara de confusi\u00f3n. Hoy vamos a hablar de este asunto.<\/p>\n
Un ataque CC es, francamente hablando, una simulaci\u00f3n de un gran n\u00famero de peticiones normales, agotando los recursos de su servidor. No es como DDoS apresurando directamente el ancho de banda, pero un cuchillo lento para cortar la carne, espec\u00edficamente para conseguir abajo de la CPU, conexiones de base de datos y estos eslabones d\u00e9biles. \u00a1Sufr\u00ed una p\u00e9rdida en los primeros a\u00f1os, cuando pens\u00e9 que las reglas del firewall lo suficientemente duro en la l\u00ednea, los resultados de la otra parte con una baja frecuencia de solicitud lenta + Referer al azar f\u00e1cilmente eludido la base de reglas - en estos d\u00edas, incluso el CDN tiene que ser \u2018anti-teamate\", despu\u00e9s de todo, algunos de los ataques de tr\u00e1fico se parece m\u00e1s a la gente real! tambi\u00e9n como una persona real.<\/p>\n
\u00bfPor qu\u00e9 las CDN ordinarias no pueden hacerlo? La raz\u00f3n fundamental es que la estrategia de almacenamiento en cach\u00e9 est\u00e1tica falla. ataques CC a menudo se dirigen a las interfaces din\u00e1micas, como la p\u00e1gina de inicio de sesi\u00f3n, interfaz de b\u00fasqueda, puerta de enlace API, estas rutas son b\u00e1sicamente incapaces de almacenar en cach\u00e9. El a\u00f1o pasado para ayudarme a hacer una estaci\u00f3n de comercio electr\u00f3nico de emergencia, se encontr\u00f3 que los atacantes se centran espec\u00edficamente en la interfaz de carga de revisi\u00f3n de productos para jugar, 3000 solicitudes por segundo son todos con un SessionID al azar \u201cusuarios leg\u00edtimos\u201d, el WAF tradicional no puede distinguir entre el enemigo y yo.<\/p>\n
El valor fundamental de una CDN de alta defensa est\u00e1 aqu\u00ed: no se trata s\u00f3lo de acumular ancho de banda, sino de basarse en el an\u00e1lisis del comportamiento + las restricciones de frecuencia para realizar una interceptaci\u00f3n inteligente. Tome CDN5 por ejemplo, su algoritmo de seguimiento de huellas digitales es realmente algo - me encontr\u00e9 con que la misma IP, incluso si la sustituci\u00f3n frecuente de UserAgent, siempre y cuando las huellas dactilares TCP y TLS handshake caracter\u00edsticas son las mismas, el sistema todav\u00eda se puede asociar con el mismo sujeto de ataque.<\/p>\n
La configuraci\u00f3n pr\u00e1ctica real debe combinarse con las caracter\u00edsticas empresariales. Por ejemplo, para la protecci\u00f3n de la interfaz API, generalmente recomiendo hacer esto:<\/p>\n
Por supuesto, las reglas Nginx puras no son suficientes. Hoy en d\u00eda, los ataques avanzados tienen un sabor a aprendizaje autom\u00e1tico: el otro bando utilizar\u00e1 el aprendizaje por refuerzo para ajustar el intervalo de solicitud, de forma que piense que es el usuario el que navega por la p\u00e1gina. Es hora de confiar en la red de inteligencia global de la CDN. 08Host est\u00e1 haciendo un mejor trabajo en este sentido, compartiendo las caracter\u00edsticas de los ataques a trav\u00e9s de la red en tiempo real: tan pronto como cualquier nodo identifique un nuevo patr\u00f3n de CC, todos los nodos de borde actualizar\u00e1n autom\u00e1ticamente sus reglas de detecci\u00f3n en 15 minutos.<\/p>\n
Estoy m\u00e1s molesto con algunas personas que soplan \u201cdefensa ilimitada\u201d. Realmente encontrado ataques avanzados CC, s\u00f3lo se basan en hardware para llevar est\u00e1 buscando la muerte. El a\u00f1o pasado, un cliente utiliza un determinado CDN llamado protecci\u00f3n de nivel T, los resultados fueron CC penetrar en la base de datos. M\u00e1s tarde se encontr\u00f3 que el problema en la arquitectura - el atacante pasa por alto la CDN resolver directamente la IP de origen, 20.000 solicitudes de inicio de sesi\u00f3n por segundo directamente MySQL piscina conexi\u00f3n completa. As\u00ed que no creo en el fantasma de \u201cuna protecci\u00f3n clave\u201d, la estaci\u00f3n de origen ocultaci\u00f3n, filtrado de puertos, base de datos de la piscina de conexi\u00f3n para limitar el flujo de estas habilidades b\u00e1sicas no est\u00e1n en su lugar, comprar m\u00e1s caro CDN tambi\u00e9n es in\u00fatil.<\/p>\n
En la pr\u00e1ctica, tambi\u00e9n hay que prestar atenci\u00f3n a la tasa de falsos positivos. Algunos proveedores de CDN con el fin de datos se ven bien directamente a trav\u00e9s del tablero, los usuarios normales est\u00e1n haciendo estallar CAPTCHA. Una buena protecci\u00f3n debe ser como el pulso de un viejo m\u00e9dico chino: hay que distinguir entre el comportamiento de b\u00fasqueda y el cepillado malicioso de la interfaz. Suelo poner primero un cubo para muestrear el tr\u00e1fico de una semana y determinar estad\u00edsticamente la frecuencia de acceso de referencia de cada URL. Por ejemplo, la p\u00e1gina de detalles de usuario del pico de acceso normal es de 50 veces por segundo, de repente se precipit\u00f3 a 2000 veces sin duda tienen un problema, pero si la gran promoci\u00f3n durante la p\u00e1gina de lista de productos corri\u00f3 a 3000 veces \/ segundo, esto puede ser el tr\u00e1fico normal.<\/p>\n
Por \u00faltimo, una lecci\u00f3n de l\u00e1grimas: CDN de alta defensa no es una bala de plata. Una vez hubo un sitio financiero por el ataque de CC, el atacante cada solicitud con cookies reales robados, mirada y sesi\u00f3n normal exactamente el mismo. En este punto, el an\u00e1lisis de frecuencia por s\u00ed sola es in\u00fatil, y, finalmente, se basan en las reglas de negocio para detener la p\u00e9rdida - como el mismo usuario no pudo iniciar sesi\u00f3n m\u00e1s de 3 veces en 5 minutos para forzar el bloqueo, o verificar el saldo de la interfaz de consulta debe ir verificaci\u00f3n MFA. As\u00ed que la verdadera protecci\u00f3n es una guerra tridimensional, CDN es s\u00f3lo la primera l\u00ednea de defensa.<\/p>\n
Ahora volvamos al principio de la pregunta: \u00bfun CDN de alta defensa puede evitar la CC? S\u00ed, pero depende de c\u00f3mo funcione. Pick vendedores se centran en tres puntos: la frecuencia de las actualizaciones de la biblioteca inteligente de huellas dactilares, la granularidad de reglas personalizadas, y si la estaci\u00f3n de origen para ocultar a fondo.CDN5 modelo de aprendizaje profundo de la tasa de reconocimiento lento CC puede llegar a 92%, pero el precio es alto; CDN07 plantilla de protecci\u00f3n de la API fuera de la caja, adecuado para proyectos peque\u00f1os y medianos; 08Host de baja latencia de la red Anycast global para el comercio electr\u00f3nico transfronterizo. Al final, no hay mejor CDN, s\u00f3lo el dise\u00f1o de la arquitectura m\u00e1s adecuada.<\/p>\n
Los verdaderos maestros est\u00e1n haciendo defensa en profundidad. Mi programa actual es por lo general: frente CDN para hacer la limpieza de tr\u00e1fico \u2192 capa intermedia con OpenResty para hacer la restricci\u00f3n de flujo de l\u00f3gica de negocio \u2192 n\u00facleo de la estaci\u00f3n fuente de ajuste de los par\u00e1metros de conexi\u00f3n TCP. Estas tres capas de tamiz hacia abajo, puede apresurarse a la base de datos de solicitudes maliciosas menos de 0.1%. Recuerde ah, la seguridad es un proyecto sistem\u00e1tico, no esperes un solo producto puede darle la parte inferior.<\/p>","protected":false},"excerpt":{"rendered":"
Recientemente, siempre hay amigos me preguntan, de alta seguridad CDN no es realmente capaz de prevenir los ataques de CC? Esta es una buena pregunta, pero la respuesta no es tan simple. He visto demasiadas personas piensan que la compra de un paquete de alta defensa estar\u00e1 bien, los resultados del ataque CC penetrado despu\u00e9s de la cara de confusi\u00f3n. Hoy vamos a hablar de este asunto. Ataques CC, para decirlo sin rodeos, es simular un gran n\u00famero de solicitudes normales, agotando los recursos de su servidor. No es como DDoS apresurando directamente el ancho de banda, pero la carne de corte cuchillo lento, espec\u00edficamente para bajar la CPU, conexi\u00f3n de base de datos estos eslabones d\u00e9biles. \u00a1Sufr\u00ed una p\u00e9rdida en los primeros a\u00f1os, cuando pens\u00e9 que las reglas del firewall lo suficientemente duro en la l\u00ednea, los resultados de la otra parte con baja frecuencia de solicitud lenta + Referer al azar f\u00e1cilmente eludir la base de reglas - en estos d\u00edas, incluso el CDN tiene que ser \u2018anti-teamate\", despu\u00e9s de todo, algunos de tr\u00e1fico de ataque se ve m\u00e1s que la gente real! Despu\u00e9s de todo, parte del tr\u00e1fico de ataque se parece m\u00e1s a una persona real que a una persona real. \u00bfPor qu\u00e9 las CDN ordinarias llevan<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1033","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1033"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1033\/revisions"}],"predecessor-version":[{"id":1092,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1033\/revisions\/1092"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1033"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}