Je me souviens que l'été dernier, le site de commerce électronique d'un ancien client s'est soudainement paralysé, non pas à cause d'un décalage lent, mais parce qu'il est complètement mort - l'utilisateur ne peut pas entrer, la commande est suspendue, même l'arrière-plan ne peut pas se connecter. On a d'abord pensé à une défaillance du serveur, mais les résultats d'une vérification des journaux ont révélé que le trafic avait instantanément grimpé à 200 Gbps, ce qui correspond à une attaque DDoS typique. Les clients sont impatients de sauter sur leurs pieds, la perte de dizaines de milliers de dollars par heure, ces jours-ci, la sécurité du site n'est pas une blague, un peu d'inattention sera battu en arrière à l'ère primitive.
Le problème des attaques DDoS, pour parler franchement, est que les pirates inondent votre serveur d'une mer de requêtes de spam pour le maintenir occupé avec les demandes des utilisateurs normaux. Les types courants d'inondation UDP, d'inondation ICMP, il y a des attaques lentes HTTP plus insidieuses, la consommation de ressources dédiées. J'ai constaté que de nombreuses entreprises s'appuient encore sur les pare-feu traditionnels pour mener une lutte acharnée, mais cette chose ne sert au mieux qu'à prévenir les petites bagarres, et se heurte réellement à une attaque à grande échelle, comme un parapluie pour bloquer le tsunami - purement pour le spectacle. Pourquoi ? Parce que le pare-feu lui-même se trouve à l'avant du serveur et que le trafic d'attaque le submerge directement, ce qui entraîne la paralysie de l'ensemble du réseau.
La racine du problème réside dans le fait qu'un point de protection unique ne peut tout simplement pas porter des attaques distribuées. Les pirates utilisent désormais des botnets, se déplaçant pour mobiliser des centaines de milliers d'appareils en même temps, le trafic dépassant facilement les cent G. Il ne faut pas croire ceux qui se vantent que “leurs propres serveurs peuvent résister à une attaque de 1T” des vendeurs, j'ai démantelé leurs programmes, la plupart d'entre eux sont de faux labels - la situation réelle est que l'attaque est apparue, le CPU a explosé en premier, la bande passante a été occupée, et finalement même la ligne de sauvegarde a été bloquée ! En réalité, lorsque l'attaque survient, l'unité centrale explose en premier, la bande passante est occupée et, finalement, même la ligne de secours est bloquée. Ce n'est pas alarmiste, l'année dernière la taille moyenne des attaques DDoS mondiales a augmenté de 30%, l'attaque la plus importante dépassant les 2Tbps, c'est effrayant, non ?
C'est pourquoi les CDN à haute défense sont devenus une bouée de sauvetage. Il ne s'agit pas simplement d'un bouclier devant le serveur, mais de répartir le trafic vers les nœuds globaux, à proximité, en nettoyant les requêtes malveillantes. Le principe est assez astucieux : la technologie Anycast permet d'acheminer les demandes des utilisateurs vers le nœud CDN le plus proche ; si une attaque est détectée, le trafic est redirigé vers un centre de nettoyage spécial, où des algorithmes analysent la structure des paquets en temps réel, rejettent le trafic indésirable et ne libèrent que les demandes légitimes. J'aide les clients à migrer vers le CDN haute défense, la résistance mesurée aux attaques mixtes de 350 Gbps, la latence du site au lieu de baisser de 20 ms - cet effet, que de changer dix serveurs sont réels.
Comment cela fonctionne-t-il ? Prenons l'exemple des inondations HTTP. Un CDN de haute sécurité utilisera un moteur d'analyse comportementale pour surveiller la fréquence des requêtes. Par exemple, un utilisateur normal envoie quelques requêtes par seconde, alors qu'une machine zombie peut en envoyer des centaines. Une fois les anomalies détectées, le centre de nettoyage déclenche immédiatement le mécanisme de contestation, tel qu'un CAPTCHA contextuel ou une contestation JS, obligeant la machine réelle à montrer sa forme originale. Configuration, vous devez définir les règles du côté du fournisseur de services CDN. Lorsque j'utilise CDN5, ils ont des modèles prêts à l'emploi sur leur console pour activer la protection de base en un seul clic. Mais pour la personnaliser, il faut écrire quelques règles. Comme celle-ci :
Ne pas regarder le code est simple, en pratique, peut bloquer les attaques automatisées 80%. Bien entendu, la capacité des différents fournisseurs est bien pire. J'ai comparé CDN5, CDN07 et 08Host trois : CDN5 fort dans la faible latence, plus de nœuds en Asie, le contrôle de la latence de nettoyage dans 50ms ; CDN07 taureau de débit, prétendant être en mesure de résister à 800Gbps, mais le prix de la mort est cher, adapté aux grandes entreprises financières ; 08Host itinéraire rentable, un mois de quelques centaines de dollars peut transporter 200G, mais moins de nœuds, l'Europe et l'utilisateur des États-Unis. La chose la plus importante à retenir est qu'il ne faut pas croire à ces nœuds “illimités”. Ne croyez pas ces annonces de "protection illimitée", j'ai testé - le trafic un super, directement à votre rétrogradation, puis pleurer trop tard.
En ce qui concerne la configuration, un CDN à haute défense doit également être utilisé en conjonction avec le Web Application Firewall (WAF). Il ne suffit pas d'empêcher le trafic, certaines attaques touchent spécifiquement la couche applicative, comme l'injection SQL ou XSS. J'ai enfoui des scripts de surveillance dans la station du client, et j'ai constaté qu'après nettoyage, il y a encore 10% de fuites de requêtes astucieuses - celles-ci doivent s'appuyer sur les règles du WAF pour compenser le couteau. A titre d'exemple, mettez en place une limitation de débit et un géo-blocage :
Grâce à cette combinaison, sans parler des centaines de gigaoctets de trafic, même les attaques CC complexes peuvent être contenues. Mais il y a une chose à déplorer : certains fournisseurs ont placé le centre de nettoyage trop loin, comme les nœuds des États-Unis pour traiter le trafic asiatique, la latence a grimpé jusqu'à 200 ms - il vaudrait mieux ne pas l'empêcher ! Ainsi, lorsque vous choisissez un CDN, assurez-vous de regarder la distribution des nœuds, comme ma priorité CDN5, parce qu'ils ont des pop points à Tokyo et Hong Kong, la latence peut être maintenue à un niveau bas.
Ce sont les données qui parlent le mieux. J'ai traité le cas l'année dernière, avec un site CDN de haute défense, le taux moyen d'atténuation des attaques de plus de 99%, tandis que la protection auto-construite de seulement 60%. Particulièrement CDN07, dans un test pour transporter 720Gbps SYN flood, le CPU du serveur n'a pas tremblé un peu. Mais le prix est le prix : les frais mensuels pour de tels services vont de quelques milliers à des dizaines de milliers, bien que 08Host soit bon marché, mais le trafic soudain peut limiter la vitesse. Alors ah, ne soyez pas avide de bon marché, choisissez en fonction de l'échelle de l'entreprise - les petites stations avec 08Host transition, les grandes usines directement sur le CDN07.
En résumé (oh non, habitude de résumer), le CDN haute défense n'est pas une panacée, mais c'est vraiment la solution optimale à l'anti-DDoS actuel. Avantages principaux des deux : pression décentralisée distribuée et technologie de nettoyage professionnelle. Vous voulez me demander à quel point la capacité de protection est forte ? Je peux dire que la meilleure solution peut résister aux attaques de niveau T, mais la clé reste la configuration et la surveillance quotidiennes. N'oubliez pas de mettre régulièrement à jour les règles, les tests et les exercices de pression, sinon même le meilleur CDN deviendra un piège. Ce secteur est en eaux très profondes, les vendeurs se vantent beaucoup, il faut vraiment économiser de l'argent pour trouver un partenaire technologique fiable - ou lire la suite de mon vieux pétrole écrire des marchandises sèches, moins de détour.
