Recuerdo el verano pasado, tengo un viejo sitio de comercio electr\u00f3nico del cliente de repente paralizado, el tr\u00e1fico se dispar\u00f3 a un grado incre\u00edble, el fondo directamente se estrell\u00f3, entonces realmente aprecio, s\u00f3lo confiar en el hardware del servidor para llevar DDoS es simplemente una mantis.<\/p>\n
Hoy en d\u00eda, los atacantes mueven cientos de gigabytes de inundaciones de tr\u00e1fico, por no hablar de las peque\u00f1as empresas, incluso los grandes fabricantes tienen que perder la piel.<\/p>\n
As\u00ed que hoy, voy a hablar de alta seguridad CDN y DNS de protecci\u00f3n de estos dos hermanos - que parecen proteger la seguridad del nombre de dominio, pero el nivel de defensa no es en absoluto la misma cosa, pero tambi\u00e9n tienen que coincidir con el uso de la misma.<\/p>\n
No creas que los fabricantes soplan \u201csoluci\u00f3n \u00fanica\u201d, he encontrado que muchos pozos son porque no entienden la diferencia antes de pisar.<\/p>\n
Hablemos de la CDN de alta seguridad, esta cosa es un \u201ccentro de limpieza de tr\u00e1fico\u201d, la solicitud maliciosa bloqueado fuera, s\u00f3lo poner el tr\u00e1fico limpio a la estaci\u00f3n de origen.<\/p>\n
Su nivel de defensa es principalmente en la capa de red y capa de aplicaci\u00f3n, tales como SYN Flood, HTTP Flood, estos ataques comunes, confiando en los nodos globales distribuidos para llevar a cabo la presi\u00f3n.<\/p>\n
Pero la CDN de alta defensa tiene un punto d\u00e9bil: no puede gestionar el nivel de DNS de las polillas.<\/p>\n
Es como tener instalada una puerta de seguridad en la entrada de casa (CDN), pero si el ladr\u00f3n falsifica directamente el ojo de la cerradura (consulta DNS), la puerta no sirve aunque sea dura.<\/p>\n
La protecci\u00f3n DNS, por su parte, est\u00e1 espec\u00edficamente dise\u00f1ada para hacer frente a los problemas de resoluci\u00f3n de nombres de dominio, como el secuestro DNS, los ataques de amplificaci\u00f3n DNS, etc.<\/p>\n
Interviene en la sesi\u00f3n de b\u00fasqueda DNS para verificar la legitimidad de la solicitud y evitar que el nombre de dominio se dirija a una IP maliciosa.<\/p>\n
He visto demasiados casos, la empresa gast\u00f3 mucho dinero en CDN de alta defensa, los resultados de la DNS fue apu\u00f1alado a trav\u00e9s, el nombre de dominio se resuelve directamente al sitio de phishing, llorar demasiado tarde.<\/p>\n
As\u00ed que no se trata en absoluto de qui\u00e9n sustituye a qui\u00e9n, sino m\u00e1s bien de complementariedad: uno protege el tr\u00e1fico, el otro el an\u00e1lisis sint\u00e1ctico.<\/p>\n
A continuaci\u00f3n, desglosar\u00e9 las diferencias y escupir\u00e9 el l\u00edo actual del mercado.<\/p>\n
Los principales puntos fuertes de las CDN de alta defensa son el almacenamiento en cach\u00e9 y la aceleraci\u00f3n, adem\u00e1s de la limpieza del tr\u00e1fico malicioso.<\/p>\n
Por ejemplo, si utiliza CDN5, sus nodos cubren una amplia gama, he probado, el retraso en la regi\u00f3n de Asia puede ser presionado a menos de 50ms, y la estrategia para prevenir los ataques CC es muy flexible.<\/p>\n
Pero no esperes que sea todopoderoso: las b\u00fasquedas de DNS siguen teniendo que ir a un resolver p\u00fablico, lo que lo convierte en un defecto.<\/p>\n
Por el contrario, la protecci\u00f3n DNS, al igual que los servicios prestados por CDN07, refuerza espec\u00edficamente la seguridad de la resoluci\u00f3n y es compatible con las firmas DNSSEC para evitar el envenenamiento de la cach\u00e9.<\/p>\n
Pero no se ocupa de los ataques a la capa de aplicaci\u00f3n, por ejemplo, si su sitio recibe una inyecci\u00f3n SQL, la protecci\u00f3n DNS es in\u00fatil.<\/p>\n
Lo m\u00e1s lamentable aqu\u00ed es que algunos vendedores empaquetan el CDN b\u00e1sico como una \u201calta defensa\u201d para vender, pero en realidad la capacidad de limpieza es d\u00e9bil a un lote.<\/p>\n
Med\u00ed uno el a\u00f1o pasado, la defensa nominal 500G, el real menos de 100G en las rodillas, el cliente fue lanzado maldiciones rectas.<\/p>\n
As\u00ed que s\u00ed, no te creas las cifras de la p\u00e1gina promocional, tienes que mirar los datos reales: cosas como la latencia de limpieza, la redundancia de nodos o la compatibilidad de protocolos.<\/p>\n
Ahora voy a una comparaci\u00f3n espec\u00edfica: supongamos que su nombre de dominio es example.com, con CDN de alta seguridad y protecci\u00f3n de DNS, respectivamente, c\u00f3mo configurar.<\/p>\n
Si nos fijamos primero en la parte de la CDN de alta defensa, por lo general hay que modificar los registros DNS para que el CNAME apunte al nombre de dominio del proveedor de la CDN.<\/p>\n
En el caso de CDN5, su consola le dar\u00e1 un alias, como ejemplo.cdn5.net.<\/p>\n
Se cambia as\u00ed en la configuraci\u00f3n DNS:<\/p>\n
De este modo, el tr\u00e1fico va primero al nodo de CDN5 y luego vuelve al origen tras la limpieza.<\/p>\n
Pero tenga en cuenta que esto es s\u00f3lo a nivel de tr\u00e1fico - la consulta DNS en s\u00ed sigue estando expuesta.<\/p>\n
Es hora de ponerse a proteger el DNS.<\/p>\n
Por ejemplo, con el servicio de protecci\u00f3n DNS de 08Host, proporcionan servidores DNS autorizados, soportan la red Anycast, el efecto anti-query Flood es bueno.<\/p>\n
Config\u00farelo para que el registro NS apunte a su servidor:<\/p>\n
Lo he medido, y el tiempo de respuesta de 08Host est\u00e1 dentro de los 20ms de media, y viene con mitigaci\u00f3n DDoS, lo que es mucho m\u00e1s seguro que usar DNS p\u00fablicos.<\/p>\n
Sin embargo, los dos servicios tienen que utilizarse juntos o son una seguridad a medias.<\/p>\n
Una vez ayud\u00e9 a un cliente financiero a desplegar una combinaci\u00f3n de la CDN de alta defensa de CDN07 y la protecci\u00f3n DNS de 08Host, y funcion\u00f3 a las mil maravillas.<\/p>\n
En primer lugar, el tr\u00e1fico de ataque fue repartido y limpiado por los nodos CDN07, y las consultas DNS fueron verificadas por 08Host, y el dominio nunca volvi\u00f3 a ser manipulado.<\/p>\n
Comparaci\u00f3n de datos: uso \u00fanico de CDN de alta defensa, la tasa de \u00e9xito de ataques DNS puede ser de hasta 30%; m\u00e1s protecci\u00f3n DNS, directamente hasta 1% por debajo.<\/p>\n
Pero esta configuraci\u00f3n no es plug and play, hay que ajustar los par\u00e1metros.<\/p>\n
Por ejemplo, las reglas de cach\u00e9 de la CDN de alta seguridad deber\u00edan optimizarse, no cachear tanto las peticiones din\u00e1micas, o el inicio de sesi\u00f3n del usuario siempre cae.<\/p>\n
Yo suelo configurarlo as\u00ed:<\/p>\n
Tambi\u00e9n est\u00e1 el ajuste TTL - en la protecci\u00f3n DNS, un TTL demasiado corto tiende a exacerbar la presi\u00f3n de consulta, y demasiado largo es lento de recuperar.<\/p>\n
Yo sugerir\u00eda un valor intermedio, digamos 300 segundos, para equilibrar la seguridad y el rendimiento.<\/p>\n
Hoy en d\u00eda, existe la tendencia en el mercado de que los \u201cDNS inteligentes\u201d pueden sustituirlo todo, lo cual es pura patra\u00f1a.<\/p>\n
Un DNS inteligente puede, en el mejor de los casos, realizar un equilibrio de carga, enfrentarse realmente a un DDoS a gran escala o tener que recurrir a una protecci\u00f3n profesional.<\/p>\n
Hoy en d\u00eda, incluso las CDN tienen que \u201cevitar a los compa\u00f1eros de equipo\u201d: algunos proveedores de CDN gratuitas venden en secreto los datos de los usuarios, \u00bfcrees que la fosa no es fosa?<\/p>\n
As\u00ed que cuando elija un proveedor de servicios, est\u00e9 atento a certificados de conformidad como ISO27001, y no se conforme con el m\u00e1s barato.<\/p>\n
En resumen, la protecci\u00f3n CDN y DNS de alta seguridad son cada una a su manera, una contra la inundaci\u00f3n de tr\u00e1fico y la otra contra la manipulaci\u00f3n de resoluciones.<\/p>\n
Los nombres de dominio son tan seguros como llevar una armadura: las CDN son guardacorazones, los DNS son relicarios, y una pieza menos puede ser atravesada por un pu\u00f1al.<\/p>\n
El despliegue real, en primer lugar de las necesidades del negocio: si se trata de una estaci\u00f3n de comercio electr\u00f3nico, la aceleraci\u00f3n pesada y la limpieza, CDN5 este tipo de bien; si se trata de una clase de gobierno, la prioridad de seguridad DNS, 08Host es m\u00e1s estable.<\/p>\n
Una \u00faltima advertencia: no existe una soluci\u00f3n milagrosa para la seguridad, se necesitan capas de defensa, auditor\u00edas peri\u00f3dicas y no esperar a que algo vaya mal para darse una palmadita en la espalda.<\/p>\n
Llevo m\u00e1s de una d\u00e9cada en este negocio y he aprendido un mont\u00f3n de lecciones sangrientas; espero que las que comparto hoy te ayuden a tomar el camino menos transitado.<\/p>\n
Si tienes alguna pregunta, no dudes en escribirme en la secci\u00f3n de comentarios y hablaremos de ello juntos.<\/p>","protected":false},"excerpt":{"rendered":"
Recuerdo que el verano pasado, el sitio de comercio electr\u00f3nico de uno de mis antiguos clientes de repente se paraliz\u00f3, el tr\u00e1fico se dispar\u00f3 a un grado incre\u00edble, el fondo directamente se estrell\u00f3, y fue entonces cuando realmente aprecio que confiar en el hardware del servidor para llevar DDoS es simplemente una mantis. En estos d\u00edas, los atacantes no se mueven a participar en cientos de G inundaci\u00f3n de tr\u00e1fico, por no hablar de las peque\u00f1as empresas, incluso las grandes f\u00e1bricas tienen que caer capa de piel. As\u00ed que hoy, voy a hablar de alta seguridad CDN y DNS de protecci\u00f3n de estos dos hermanos - que parecen proteger la seguridad del nombre de dominio, pero el nivel de defensa no es en absoluto una cosa, pero tambi\u00e9n tienen que coincidir con el uso de la l\u00ednea. Usted no cree que esos vendedores soplan la \u201csoluci\u00f3n \u00fanica\u201d, me encontr\u00e9 con que una gran cantidad de pozos se debe a que no entienden la diferencia antes de pisar. \u00a1Hablemos de la CDN de alta defensa, esta cosa es un \u201ccentro de limpieza de tr\u00e1fico\u201d, la solicitud maliciosa bloqueado!<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-921","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=921"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/921\/revisions"}],"predecessor-version":[{"id":1204,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/921\/revisions\/1204"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=921"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}