Récemment, j'ai aidé un ami à faire face à un DDoS qui a frappé une station suspendue, je me suis connecté au serveur pour voir l'organigramme - bon gars, le pic a directement grimpé à 300 Gbps, les vendeurs de nuages de protection gratuite sont une imposture. L'autre partie a utilisé l'attaque par amplification de réflexion la moins chère, à faible coût et à bon effet, en choisissant le site qui n'a pas fait de protection de haut niveau. De nos jours, même les CDN doivent “prévenir les coéquipiers”, sans parler des gangs de chantage à feu ouvert et à flèches sombres.
Beaucoup de gens pensent qu'un ensemble de CDN suffira, mais en fait, face aux attaques à haute fréquence, un CDN ordinaire n'est qu'un morceau de papier. Pour pouvoir réellement faire face aux attaques DDoS modernes, il faut s'appuyer sur un CDN spécial à haute défense, qui ne se contente pas de mettre en cache le contenu, mais qui va de la couche de liaison à la couche d'application d'un ensemble de combinaisons. J'ai testé trois ou quatre fournisseurs, l'écart entre l'effet de défense est beaucoup plus important que prévu.
La logique de base d'un CDN de haute défense est la suivanteUne défense à plusieurs niveaux.. Le premier obstacle est toujours le centre de nettoyage du trafic. Toutes les demandes d'accès atteignent d'abord un cluster de nettoyage distribué, où les sommes de contrôle préliminaires de SYN Flood et les abandons de paquets malformés sont effectués. Les nœuds de nettoyage tels que CDN5 sont dotés d'un module d'analyse de protocole capable d'identifier directement les paquets caractéristiques de la réflexion SSDP et des attaques Memcached, et d'abandonner directement les paquets à la périphérie, de sorte que même la périphérie des serveurs d'entreprise ne puisse pas être touchée.
Cependant, il ne suffit pas de compter sur le seul centre de nettoyage. L'année dernière, j'ai testé un centre de nettoyage domestique à haute défense, d'une capacité nominale de 600 G. Les résultats ont montré qu'une attaque par impulsion avait en fait manqué 30% de trafic indésirable. On a découvert par la suite que le mécanisme d'apprentissage des empreintes digitales de leur pile TCP était trop lent. Aujourd'hui, de bons fournisseurs tels que CDN07 ont utilisé le mode de prédiction par apprentissage automatique - basé sur l'historique du comportement de l'IP, la valeur de déviation du protocole et la pente du trafic, 500 millisecondes à l'avance pour déclencher la stratégie de protection élastique.
Le deuxième niveau est essentiel :Interception intelligente. Ici, la différence est énorme. Les fournisseurs les plus faibles s'appuient encore sur une base de règles artificielles, les plus avancés utilisent l'analyse sémantique + la modélisation comportementale. J'ai vu la façon la plus sauvage d'utiliser la technologie “empreinte digitale dynamique” de 08Host : chaque demande génère une empreinte JS légère, combinée au tracé de la souris et à la séquence d'appels à l'API pour déterminer le comportement de l'homme et de l'ordinateur. Bien que cela ait un faible impact sur le référencement, les attaques anti-CC sont vraiment difficiles, le taux de faux positifs peut être ramené à 0,1% ou moins.
En ce qui concerne les attaques CC, nous devons rejeter le gadget de la “protection illimitée” de certains fournisseurs. Les gangs CC vraiment avancés que nous avons rencontrés, plus de dix mille requêtes par seconde pour imiter des utilisateurs normaux, la base de règles ne peut tout simplement pas suivre. À l'heure actuelle, nous devons nous appuyer sur des modèles d'apprentissage profond pour regrouper et analyser en temps réel. Par exemple, le module d'intelligence artificielle de CDN5 peut détecter les “requêtes à faible fréquence et à haut risque” - cela ressemble à un appel API ordinaire, mais l'intervalle entre les requêtes et la distribution de la longueur des messages est manifestement anormale. Ce système, que j'ai recueilli dans les journaux, a un taux de fausses alarmes d'environ 3%, mais la couverture de l'attaque peut atteindre 99,7%.
Il existe un autre écueil dans les détails techniques : les performances du délestage SSL. Si le CDN haute défense ne procède pas au décryptage du certificat au niveau du nœud périphérique, tout le trafic crypté retourne à la source vers la salle des serveurs, puis est décrypté, ce qui équivaut à transférer la pression vers la station source. Une bonne solution devrait être comme CDN07, qui complète la poignée de main TLS et la validation du certificat dans le centre de nettoyage et prend en charge l'accélération matérielle de la carte SSL. Il s'agit là d'un coût réel, de sorte que la défense élevée et bon marché est certainement quelque chose de louche.
Exemples de configuration de cette pièce, prenez l'API de haute défense de Nginx comme exemple :
Ne croyez pas à une “protection entièrement automatisée” lorsque vous la déployez réellement. Une fois, j'ai été paresseux et je n'ai pas configuré le référentiel IP, j'ai donc laissé le gang des reptiles s'en tirer à bon compte - ils recherchaient des attaques en utilisant des IP proxy résidentielles, et le système les laissait faire comme s'il s'agissait d'utilisateurs normaux. Aujourd'hui, ma pratique standard est de forcer le géoblocage + le filtrage des numéros ASN :
En outre, l'intégration du WAF est le corps complet du CDN de haute défense. La solution de 08Host est plus ingénieuse, la base de règles ModSecurity intégrée dans le nœud de périphérie, correspondant aux caractéristiques de l'attaque directement bloquée et enregistrée sur la plateforme de renseignement sur les menaces. L'augmentation de la latence mesurée pour l'interception d'une attaque XSS est inférieure à 2 millisecondes.
En ce qui concerne les comparaisons de données, prenez l'efficacité de la défense des trois fournisseurs et dites la vérité :
Le point fort de CDN5 est le nettoyage du méga-flux, qui a déjà fait l'objet d'une attaque par inondation DNS de 800 Gbps, mais la protection CC doit être complétée par l'achat de la version avancée ; la planification intelligente de CDN07 permet de faire un bon travail de commutation automatique des lignes de nettoyage et de perdre rarement le trafic normal ; 08Host est rentable, 200 Gbps en dessous de l'attaque peuvent être pratiquement sans souci, mais les méga-attaques sont occasionnellement tuées par erreur.
Enfin, j'ai tiré une leçon douloureuse : le CDN à haute défense n'est pas une solution miracle. Avant le programme de déploiement d'un client financier, il suffit de se concentrer sur la protection de la couche réseau, le résultat est que les gens frappent directement l'interface de l'application - /login path 20 000 requêtes par seconde, le pool de connexion de la base de données a directement éclaté. Aujourd'hui, ma pratique standard est la suivanteQuatre couches de nettoyage + sept couches de vérification humaine + restriction des flux au niveau de l'entrepriseLes trois axes, dont l'un est manquant, peuvent être renversés.
Un CDN haute défense vraiment fiable doit éplucher le trafic d'attaque couche par couche, comme un oignon. De la vérification du protocole à l'analyse comportementale, des règles statiques aux modèles dynamiques, le reste du trafic propre est finalement renvoyé au serveur. Ne croyez pas à ces absurdités de “protection illimitée”, l'effet de la défense dépend en fin de compte du matériel technique et des compétences en matière d'exploitation et de maintenance. Aujourd'hui, le chantage utilise l'IA pour générer du trafic d'attaque, le système de défense n'est plus une mise à niveau intelligente, il attend d'être une poule mouillée.
