Récemment, pour aider une station de commerce électronique à intervenir en cas d'urgence, j'ai été confronté à une situation désespérante : l'année dernière, ils ont dépensé beaucoup d'argent pour acheter un CDN à haute défense, la page promotionnelle indiquait "protection de niveau T", les résultats des activités promotionnelles ont commencé en dix minutes, le site entier a été directement abattu - l'attaque sur le trafic en fait, seulement 200G hors de la tête. Le patron a appelé le fournisseur de services pour le réprimander, et l'autre partie est lentement arrivée à une phrase : "vous achetez le paquet de base, la défense de pointe ne contient que 100G, au-delà de la partie à ajouter de l'argent pour ouvrir manuellement" ...... cette année, même les CDN doivent avoir des "anti-témoins" ?
Le CDN haute défense, pour parler franchement, c'est un garde du corps pour le site. Mais le problème est que de nombreuses entreprises pensent qu'elles peuvent être tranquilles après avoir acheté le service. En fait, la plupart des CDN haute défense traditionnels sont en mode "défense statique" : ils vous donnent une valeur de défense fixe, au-delà de l'attaque, ils contournent directement la ligne haute défense, ou sont simplement jetés dans le trou noir. C'est un peu comme acheter une assurance lorsque le vendeur s'est emballé, et que l'on s'aperçoit en réalité que les conditions de l'assurance ne sont qu'un ramassis de pièges.
J'ai testé le marché auprès de sept ou huit fournisseurs de services de haute défense, et j'ai trouvé trois points communs : le premier est la faible résilience, le pic de défense ne peut pas être ajusté en temps réel sur demande ; le deuxième est le délai de commutation élevé, ce qui permet de rencontrer un nouveau type d'attaques mixtes lorsque les règles entrent lentement en vigueur ; le troisième est le coût de l'incontrôlable, le trafic inattendu s'accompagne souvent de factures astronomiques. En particulier lorsque les attaques CC et DDoS sont mélangées, les sept couches de protection de nombreux CDN sont pratiquement inutiles.
Commençons par un point contre-intuitif : la "valeur de défense" d'un CDN à haute défense est en fait une variable dynamique. Elle dépend réellement de la taille du pool de ressources sous-jacent et des algorithmes de programmation. Par exemple, CDN5, qui ose promettre une "défense illimitée" parce qu'il est connecté à l'arrière d'un certain nombre de centres de trafic propres, peut atteindre un niveau d'ordonnancement du trafic proche de celui d'un TB. La soi-disant "défense de niveau T" des petits fournisseurs est souvent un jeu mathématique qui consiste à empiler toutes les bandes passantes des clients et à les compter - lorsqu'ils sont réellement confrontés à une attaque à grande échelle, la concurrence pour les ressources s'effondre directement.
La première étape de l'amélioration de la capacité de défense consiste à déterminer les caractéristiques de votre entreprise. Je recommande généralement aux clients d'utiliser la méthode d'"analyse du profil d'attaque" : tout d'abord, il s'agit d'extraire les journaux d'attaques des six derniers mois et de déterminer statistiquement les types d'attaques les plus fréquents, la plage de trafic la plus élevée et les principales régions d'origine. Par exemple, si une station financière constate qu'il y a toujours environ 200 G d'inondations UDP tous les vendredis après-midi, l'option la plus rentable est d'activer à l'avance la protection de la résilience pendant cette période.
Dans la pratique, je recommande la stratégie combinée "défense de base + pointe de résilience". La défense de base utilise un forfait fixe pour supporter les attaques quotidiennes à petite échelle, tandis que la partie résilience adopte un modèle de paiement au volume. Le programme de "seconde élasticité" de CDN07 est plus réaliste - les attaques dépassant le seuil sont automatiquement déclenchées par l'expansion de la capacité, sans qu'une approbation manuelle soit nécessaire, et la granularité de la défense peut être affinée jusqu'au niveau d'un seul nom de domaine.
L'aspect le plus critique de la mise en œuvre technique est la capacité de programmation de l'API. Un bon service de haute défense devrait fournir une interface API complète qui nous permet d'ajuster dynamiquement les stratégies de protection par le biais d'un système de surveillance auto-construit. Le code Python suivant est le déclencheur d'expansion de l'élasticité que j'utilise dans le système de mon client :
La conception de l'API de certains fournisseurs est simplement un art comportemental - un délai de réponse pouvant aller jusqu'à 30 secondes, en attendant que l'interface renvoie les résultats de l'entreprise au début de la période de froid. Ainsi, le test de performance de l'API doit être inscrit dans le contrat, exigeant que 99% requêtes répondent dans les 5 secondes. 08Host a planté dans cette pièce, leur élasticité expansion API l'année dernière, le temps de réponse moyen de 12 secondes, et ensuite pulvérisé par le client à réécrire l'ensemble du système de planification.
Outre la vitesse d'expansion, l'efficacité des règles émises est également essentielle. Les CDN traditionnels mettent à jour les règles WAF au niveau le plus fin, et les programmes courants utilisent désormais des nœuds de calcul en périphérie compilés en temps réel. Par exemple, l'utilisation de la technologie WebAssembly pour protéger les règles compilées dans un code d'octets envoyé à la périphérie du nœud CDN peut être comprimée en quelques millisecondes. Ce détail technique est ignoré par de nombreuses personnes, mais c'est précisément la clé pour faire face aux attaques par variantes rapides.
Il y a une sacrée leçon à tirer en matière de contrôle des coûts : n'adhérez pas à l'idée absurde de "défense illimitée" ! Tous les fournisseurs ont des plafonds souples, et la seule chose qui soit vraiment illimitée, c'est votre facture. Un jour, un client a acheté une certaine "protection illimitée", les résultats du mois ont été des attaques soutenues de 800G, le deuxième mois a reçu une facture d'un million deux cent mille - il s'avère que le coin du contrat est écrit "trafic excédentaire selon la facturation de $0.05/GB".
Aujourd'hui, la solution la plus avancée est le "mécanisme intelligent Meltdown". Ce mécanisme ne se contente pas d'ajuster la défense en fonction du trafic d'attaque, il prend également des décisions en fonction de l'importance de l'entreprise. Par exemple, l'interface commerciale est divisée en liens de transaction essentiels et en requêtes non critiques, et le niveau de protection des services non essentiels est temporairement abaissé dans les cas extrêmes afin de protéger l'activité principale. Cette stratégie a permis à une plateforme de commerce électronique d'économiser plus de 700 000 dollars en frais de protection de l'élasticité au cours de la période Double 11 de l'année dernière.
Enfin, j'aimerais mentionner un détail que beaucoup ont négligé : les logs d'un CDN haute défense doivent être utilisés pour alimenter l'IA. Il suffit d'écrire une requête Splunk pour trouver le schéma d'attaque :
Ces données permettent non seulement d'optimiser les stratégies de protection, mais aussi d'inciter les fournisseurs de CDN à agir à leur tour - la dernière fois, ce sont les données de log qui ont permis à CDN5 d'admettre qu'il y avait une vulnérabilité dans le nombre de connexions simultanées dans leur pile TCP, et qui nous ont permis de bénéficier d'une mise à niveau gratuite de la grappe de protection.
Pour être honnête, le marché actuel des CDN de haute défense ressemble à une course aux armements, l'attaquant utilise l'IA pour générer du trafic d'attaque, et le défenseur doit utiliser l'apprentissage automatique pour prédire les schémas d'attaque. Parmi les fournisseurs testés récemment, l'"AI prediction expansion" de CDN07 est un peu intéressante, qui peut prédire la vague d'attaque 5 minutes à l'avance grâce aux données de renseignement sur les menaces et réchauffer automatiquement les ressources de protection. Bien que le taux de précision soit actuellement d'environ 70%, il est déjà beaucoup plus élevé que la réponse manuelle.
Si vous voulez vraiment recommander un programme, ma suggestion est la suivante : utiliser quotidiennement 08Host pour mener des attaques à petite échelle (rentable), passer à la protection élastique de CDN5 avant les activités à grande échelle (grand pool de ressources), et activer le mode de protection AI de CDN07 lorsque l'on est confronté à des menaces persistantes avancées (capacité de planification intelligente). Bien entendu, la défense la plus difficile à mettre en place est toujours la couche d'entreprise, qui doit procéder à une conception distribuée et redondante - le CDN n'est qu'un moyen de gagner du temps, la véritable ligne de défense doit encore être maîtrisée.
Enfin, jetez une théorie violente : dans les trois prochaines années, 90% "haute défense CDN" marque va disparaître, soit par les fournisseurs de cloud à être incorporé, ou transformé pour faire des services de sécurité. Le jeu de ces pools de ressources orthographiques va tôt ou tard prendre fin et, en fin de compte, il faudra certainement passer par la voie de l'edge computing + la technologie d'ordonnancement de l'IA. Il ne faut donc pas se contenter de regarder les chiffres de la défense lors de la sélection d'un modèle, mais examiner davantage les investissements en R&D et l'écologie des API du fournisseur, sans quoi la "défense de niveau T" achetée aujourd'hui risque de devenir un héritage numérique l'année prochaine.
(Après avoir écrit et consulté les alertes de surveillance, un autre client a été victime d'une attaque par réflexion Memcached de 380G - les nouilles instantanées de ce soir devront donc à nouveau être consommées dans les journaux de trafic ......).
