Recientemente para ayudar a los amigos a lidiar con el sitio web fue DDoS colgando problema, encontr\u00f3 un fen\u00f3meno interesante: un mont\u00f3n de gente gasta mucho dinero para comprar un CDN de alta defensa, pero debido a la configuraci\u00f3n de enlace de nombre de dominio no es apropiado, o bien el tr\u00e1fico no fue a acelerar el nodo, o el servidor de seguridad no surti\u00f3 efecto. El m\u00e1s escandaloso es una estaci\u00f3n de comercio electr\u00f3nico, conjunto de CDN, pero la IP de la estaci\u00f3n de origen directamente expuesta, el atacante eludi\u00f3 la protecci\u00f3n directamente a la par\u00e1lisis del servidor - en estos d\u00edas, incluso el CDN tiene que ser \u201canti-teammate\u201d.<\/p>\n
De hecho, el nombre de dominio vinculante de la CDN de alta defensa no es tan misterioso, pero los detalles determinan la vida y la muerte. He manejado el caso, 10 problemas de configuraci\u00f3n 7 de cada 10 en el enlace de uni\u00f3n de nombres de dominio. No mire la consola del vendedor de lujo, la l\u00f3gica central de los pasos, entender una vez que se puede comer todos los vendedores.<\/p>\n
Salpica primero con agua fr\u00eda:No piense que puede rellenar un nombre de dominio en el proveedor de CDN y ya est\u00e1.<\/strong>El proceso completo incluye tres eslabones b\u00e1sicos: configuraci\u00f3n de la plataforma + resoluci\u00f3n DNS + validaci\u00f3n. El proceso completo incluye \u201cconfiguraci\u00f3n de la plataforma + resoluci\u00f3n DNS + validaci\u00f3n de los tres eslabones centrales, faltando cualquier paso puede ser anulado. A continuaci\u00f3n he probado CDN5, CDN07 y 08Host tres proveedores como un ejemplo, el desmantelamiento de la operaci\u00f3n de puerta de enlace multidominio.<\/p>\n Etapa 1: Configuraci\u00f3n de la plataforma Principales escollos<\/strong><\/p>\n Estos par\u00e1metros son los m\u00e1s f\u00e1ciles de pisar cuando se a\u00f1ade un nombre de dominio a la consola CDN:<\/p>\n \u00bfSe ha seleccionado \u201cIP\u201d o \u201cDominio\u201d como tipo de sitio de origen? Si la fuente es un servidor en la nube, es muy recomendable rellenar la direcci\u00f3n IP. He encontrado que el nombre de dominio de CDN07 de vuelta a la fuente tiene un retraso de resoluci\u00f3n recursiva, y me he encontrado con casos en los que la fuente falla debido al almacenamiento en cach\u00e9 de DNS. Por el contrario, 08Host ha optimizado el nombre de dominio de vuelta a la fuente, lo que es adecuado para escenarios de equilibrio de carga multi-servidor.<\/p>\n Las aplicaciones web suelen utilizar 80\/443, pero algunos puertos especiales de negocios necesitan ser llenados manualmente. El a\u00f1o pasado, un cliente de juego establecido CDN despu\u00e9s de que el jugador no se puede conectar, es porque me olvid\u00e9 de rellenar el puerto UDP 27015.<\/p>\n La vinculaci\u00f3n de certificados HTTPS es un pozo en cadena. Si elige \u201cforzar salto a HTTPS\u201d, debe cargar primero el certificado, la interfaz de gesti\u00f3n de certificados de CDN5 est\u00e1 oculta en profundidad, tiene que hacer clic en \u201cConfiguraci\u00f3n de seguridad\u201d - \u201cGesti\u00f3n de certificados\u201d para cargar primero el archivo PEM, y luego volver para marcar la casilla \"Forzar salto a HTTPS\". Tienes que hacer clic en \"Configuraci\u00f3n de seguridad\" - \"Gesti\u00f3n de certificados\" para cargar el archivo PEM en primer lugar, y luego volver a marcar la casilla \"Forzar salto\". He visto gente atascada en este paso durante tres horas, tan enfadada que directamente pulverizaban \u00f3rdenes de trabajo del servicio de atenci\u00f3n al cliente.<\/p>\n Multi-dominio de uni\u00f3n tiene un truco perezoso: CDN5 soporta la importaci\u00f3n por lotes de nombres de dominio, separados por comas en la l\u00ednea. Pero tenga en cuenta que cada nombre de dominio debe ser configurado de forma independiente del sitio de origen, no espere que la operaci\u00f3n por lotes se pueden heredar los ajustes - Una vez que un aliento de importaci\u00f3n 50 nombres de dominio, los resultados de todos apuntando al mismo servidor de prueba, y casi caus\u00f3 un accidente de producci\u00f3n.<\/p>\n Etapa 2: Funcionamiento de la resoluci\u00f3n DNS<\/strong><\/p>\n Despu\u00e9s de la configuraci\u00f3n de la plataforma le dar\u00e1 la direcci\u00f3n CNAME, esta vez para ir al lado del proveedor de servicios DNS para modificar el registro de resoluci\u00f3n. El punto viene:No tengas prisa por borrar el registro A<\/strong>\u00a1! A\u00f1ada primero el registro CNAME y, a continuaci\u00f3n, elimine el registro original cuando expire el TTL. Se recomienda utilizar el comando dig para verificar que el an\u00e1lisis sint\u00e1ctico funciona:<\/p>\n Si ve que la salida contiene el nombre de dominio del proveedor de CDN, significa que la resoluci\u00f3n ha surtido efecto. El sufijo CNAME de 08Host es .cdn08.net, y CDN5 utiliza .cdn5gb.com, as\u00ed que no se confunda.<\/p>\n \u00bfQu\u00e9 hacer cuando hay que vincular varios subdominios? Ahorre tiempo y esfuerzo con la resoluci\u00f3n comod\u00edn. A\u00f1ade un registro CNAME de *.cdn.tudominio.com a DNS, y podr\u00e1s apuntar todos los subdominios a la CDN. Sin embargo, CDN07 cobra extra por los dominios comod\u00edn, lo cual es un poco lamentable.<\/p>\n Fase III: Validaci\u00f3n de los medios definitivos de entrada en vigor<\/strong><\/p>\n No funciona justo despu\u00e9s de la configuraci\u00f3n, tengo un combo de validaci\u00f3n:<\/p>\n Primero comprueba la cabecera HTTP con curl:<\/p>\n Busque el logotipo del proveedor de CDN en la cabecera de retorno (por ejemplo, X-CDN: CDN5). Si ves la cabecera Server expuesta por la IP de origen, date prisa y comprueba la configuraci\u00f3n.<\/p>\n En segundo lugar, se utiliza la herramienta Ping global para detectar la cobertura de los nodos. Los nodos asi\u00e1ticos de 08Host tienen un excelente rendimiento de latencia, pero los nodos europeos y americanos sufren ocasionalmente bombeos. La red Anycast de CDN5 tiene una latencia global m\u00e1s estable, lo que resulta adecuado para los negocios internacionales.<\/p>\n \u00a1Por \u00faltimo, debe hacer pruebas de tr\u00e1fico real! En la consola CDN para abrir el monitoreo en tiempo real, su propia herramienta de prueba de presi\u00f3n para simular la solicitud, para observar si el tr\u00e1fico golpe\u00f3 el nodo de protecci\u00f3n. He visto la situaci\u00f3n m\u00e1s escandalosa es: toda la configuraci\u00f3n es normal, pero debido a la cach\u00e9 local de DNS, el tr\u00e1fico de prueba no fue a la CDN.<\/p>\n Una obra de alto nivel sobre la uni\u00f3n multidominio<\/strong><\/p>\n CDN5 y 08Host proporcionan una API REST completa, y puede escribir un script en Python para automatizar el despliegue:<\/p>\n La distribuci\u00f3n del peso es tambi\u00e9n habilidades pr\u00e1cticas. Por ejemplo, el tr\u00e1fico del sitio web oficial se divide en CDN5, la distribuci\u00f3n de v\u00eddeo con 08Host, la interfaz API va a CDN07. a trav\u00e9s de la funci\u00f3n de resoluci\u00f3n de peso de DNS, puede lograr la desviaci\u00f3n del tr\u00e1fico y la conmutaci\u00f3n por error.<\/p>\n Resumen de las lecciones aprendidas con sangre y l\u00e1grimas<\/strong><\/p>\n Por \u00faltimo, unas palabras: \u00a1despu\u00e9s de vincular el nombre de dominio, hay que comprobar regularmente la validez del certificado! Establecer un calendario para recordar a la renovaci\u00f3n de 30 d\u00edas de antelaci\u00f3n, no se filtre la IP de la estaci\u00f3n de origen en la consola de CDN, algunos proveedores de la \u201cprueba de nuevo a la fuente\u201d funci\u00f3n expondr\u00e1 la direcci\u00f3n IP, se encontr\u00f3 con un ataque a la adici\u00f3n temporal del nombre de dominio para ser cauteloso, una vez me dio la mano para proteger el nombre de dominio eliminado por error, lo que resulta en 10 minutos para ser golpeado en un agujero negro.<\/p>\n La CDN de alta defensa no es una bala de plata, la vinculaci\u00f3n del nombre de dominio es s\u00f3lo el primer paso de un largo viaje. El efecto real de protecci\u00f3n depende de la configuraci\u00f3n de reglas, la estrategia de limpieza de tr\u00e1fico y la velocidad de respuesta de operaci\u00f3n y mantenimiento. Se recomienda que los novatos practiquen primero con los paquetes gratuitos de 08Host y luego se familiaricen con el entorno de producci\u00f3n. Al fin y al cabo...<\/p>\n Config\u00faralo mal y el dinero ser\u00e1 en vano.<\/strong><\/p>","protected":false},"excerpt":{"rendered":" Recientemente para ayudar a los amigos a lidiar con el sitio web fue DDoS colgando problema, encontr\u00f3 un fen\u00f3meno interesante: un mont\u00f3n de gente gasta mucho dinero para comprar un CDN de alta defensa, pero debido a la configuraci\u00f3n de enlace de nombre de dominio no es apropiado, o bien el tr\u00e1fico no fue a acelerar el nodo, o el servidor de seguridad no surti\u00f3 efecto. El m\u00e1s escandaloso es una estaci\u00f3n de comercio electr\u00f3nico, conjunto de CDN, pero la IP de la estaci\u00f3n de origen directamente expuesta, el atacante eludi\u00f3 la protecci\u00f3n directamente a la par\u00e1lisis del servidor - en estos d\u00edas, incluso el CDN tiene que ser \u201canti-teammate\u201d. De hecho, la uni\u00f3n de dominio CDN de alta defensa no es tan misterioso, pero los detalles determinan la vida y la muerte. He manejado el caso, 10 problemas de configuraci\u00f3n 7 de cada 10 en el enlace de uni\u00f3n de nombres de dominio. No mire la consola del vendedor de lujo, la l\u00f3gica central de los pasos, entender una vez que se puede comer todos los vendedores. \u00a1En primer lugar verter ollas de agua fr\u00eda: no creo que los proveedores de CDN rellenar un nombre de dominio en el extremo de la cuesti\u00f3n!<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-981","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=981"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/981\/revisions"}],"predecessor-version":[{"id":1144,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/981\/revisions\/1144"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=981"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}