Récemment, un ancien client m'a appelé au milieu de la nuit pour me dire que son site s'était soudainement bloqué, que le trafic était monté en flèche jusqu'à 100 Gbps, qu'il s'agissait d'un DDoS, que les pare-feu traditionnels ne pouvaient pas prendre en charge. Aujourd'hui, les attaques de réseau sont aussi courantes que les repas, vous n'avez pas de protection fiable, quelques minutes pour être mis hors ligne, donc aujourd'hui, je vais harceler l'accès CDN haute défense à l'ensemble du processus, du choix d'un fournisseur de services à la résolution de la configuration, étape par étape pour vous emmener à éviter le gouffre.
Je commencerai par une affirmation vraie, le CDN de haute sécurité n'est pas une panacée, mais c'est certainement la réponse actuelle au programme privilégié de trafic à grande échelle, qui disperse le trafic d'attaque à travers des nœuds distribués, tout en mettant en cache le contenu de l'accès accéléré, j'ai constaté qu'un bon CDN de haute défense peut supporter des attaques de niveau T, mais aussi améliorer la vitesse de chargement, mais ne croyez pas que ceux qui se sont vantés de la “protection 100% ! Mais ne croyez pas que ceux qui se vantent de la publicité ”100% protection", trompent les gens, l'effet réel dépend de la configuration et de la stratégie.
Pourquoi je veux mettre l'accent sur le CDN de haute sécurité, parce que le CDN ordinaire est comme un mur de papier, ne peut qu'accélérer, ne peut pas empêcher le trafic malveillant, et le CDN de haute sécurité intégré WAF, l'atténuation DDoS, et même l'analyse comportementale, j'ai vu trop de projets à cause de l'argent pour économiser CDN ordinaire, les résultats de la pénétration de l'attaque CC, la perte de lourdes pertes, donc le cœur du problème : vous devez choisir le bon fournisseur de services, et la configuration correcte, ou sinon il est inutile. Sinon, c'est une perte d'argent.
En ce qui concerne les fournisseurs de services, le marché offre une multitude de choix, mais j'ai une préférence personnelle pour CDN5, CDN07 et 08Host. L'avantage de CDN5 est qu'il y a de nombreux nœuds, une forte résistance aux attaques, particulièrement adapté au commerce électronique et à l'industrie du jeu, le prix est légèrement plus élevé mais en vaut la peine, CDN07 est rentable, la configuration est flexible, je l'utilise souvent pour faire l'environnement de test, les points forts de 08Host est que l'Asie est optimisée pour une bonne latence faible, adaptée aux entreprises de l'Asie-Pacifique, mais la capacité anti-attaque est un peu faible, il faut combiner ses propres besoins pour choisir. La capacité anti-attaque est un peu faible, il faut combiner ses propres besoins pour choisir.
Ci-dessous, je démonte les étapes d'accès, d'abord à partir du début de l'enregistrement, CDN5 comme un exemple, parce qu'il est plein de documents, bon support, pour éviter le novice aveugle, après l'enregistrement d'un compte, ne pas se précipiter pour se précipiter, d'abord lire leur politique de sécurité, j'ai un frère qui n'a pas regardé les termes et conditions des résultats de la configuration des mauvaises rétrocessions, en colère directement aux pieds.
Ajouter un nom de domaine est une étape clé, dans la console CDN5, trouvez “Add Domain Name” ou des options similaires, entrez votre nom de domaine principal, comme exemple.com, le système va générer un enregistrement CNAME, qui est le noyau de la résolution ultérieure, ne vous embrouillez pas, j'ai trouvé que si le nom de domaine n'est pas déposé ou les certificats SSL, il peut être bloqué, donc préparez les matériaux à l'avance. J'ai constaté que si le nom de domaine n'est pas déposé ou le certificat SSL, il peut être bloqué, alors préparez le matériel à l'avance.
Ici, je partage un exemple de code pour définir le temps de cache afin d'éviter l'expiration des ressources, dans CDN5, vous pouvez utiliser l'API ou l'interface utilisateur pour l'ajuster, par exemple, ce snippet JSON est utilisé pour définir l'en-tête de cache :
En termes de politique de sécurité, assurez-vous d'activer le WAF et la protection DDoS, CDN5 fournit des règles personnalisées, je fixe souvent des seuils pour bloquer les requêtes anormales, par exemple, si une seule IP demande plus de 100 fois par seconde, elle sera automatiquement bloquée, ce qui peut empêcher efficacement les attaques CC, n'oubliez pas de tester les règles, sinon il peut bloquer par erreur les utilisateurs normaux.
La résolution de nom de domaine est l'une des erreurs les plus faciles à commettre, j'ai vu un nombre incalculable de personnes résoudre les mauvaises pistes pour que le CDN ne prenne pas effet, dans la plateforme de gestion DNS (comme Cloudflare ou leur propre DNS), ajouter un enregistrement CNAME, sera votre nom de domaine pour pointer vers l'adresse CNAME fournie par CDN5, par exemple :
Il faut un certain temps pour que l'analyse prenne effet, généralement de quelques minutes à quelques heures, période pendant laquelle il est possible de la vérifier à l'aide de la commande dig :
Si l'adresse du CDN est renvoyée, cela signifie que l'opération est réussie, sinon vous devez résoudre les problèmes liés aux paramètres DNS. Je suggère de tester d'abord avec un sous-domaine, tel que cdn.example.com, afin d'éviter d'affecter l'environnement de production.
Le certificat SSL doit être configuré, sinon le navigateur signalera l'insécurité, CDN5 supporte le SSL automatique, téléchargez le certificat ou utilisez la version gratuite de Let's Encrypt, trouvez l'onglet SSL dans la console, téléchargez votre certificat et votre clé privée, ou activez le renouvellement automatique, j'ai testé et trouvé que le téléchargement manuel est plus fiable, pour éviter l'embarras de l'échec du certificat automatique.
Le lien de test ne peut pas être sauvegardé, l'accès, avec des outils tels que curl ou le navigateur pour vérifier l'en-tête de réponse, pour confirmer que l'en-tête X-Cache montre HIT, dit hit du cache CDN, tout en simulant des attaques pour tester la protection, tel que l'outil slowloris pour envoyer une requête lente, pour voir si le CDN intercepte, la journalisation CDN5 est très puissante, l'analyse des logs peut optimiser la configuration.
J'utilise souvent la fonction de rapport de CDN5, je regarde les pics de trafic et les événements de sécurité, si vous trouvez des anomalies, modifiez les règles en temps voulu, par exemple en ajustant la politique de mise en cache ou en renforçant le WAF, n'oubliez pas que la sécurité du réseau est une bataille permanente, ne vous laissez pas aller à la paresse.
En bref, l'accès au CDN haute définition semble complexe, mais étape par étape, c'est simple, choisir un fournisseur de services, la configuration, la résolution, les tests, chaque lien doit être prudent, j'ai tant d'années d'expérience pour vous dire, passer plus de temps dans la phase initiale, le tard moins marcher sur les fosses, le monde du réseau, la prévention des problèmes avant qu'ils ne se produisent est la voie du roi, si vous avez un problème spécifique, bienvenue à l'échange, j'essaie de revenir en arrière.
