Je me souviens que l'été dernier, le site de commerce électronique d'un ancien client a été soudainement paralysé, le trafic est monté en flèche, l'arrière-plan s'est directement effondré, et j'ai alors vraiment compris que le fait de s'appuyer sur le matériel du serveur pour transporter les attaques DDoS est tout simplement une mante.
De nos jours, les attaquants brassent des centaines de gigaoctets de trafic, sans parler des petites entreprises, même les grands fabricants doivent y laisser leur peau.
Aujourd'hui, je vais donc parler de la haute sécurité CDN et de la protection DNS de ces deux frères - ils semblent protéger la sécurité du nom de domaine, mais le niveau de défense n'est pas du tout la même chose, mais doit également correspondre à l'utilisation qui en est faite.
Ne croyez pas les fabricants qui vous vantent les mérites d'une “solution unique”. J'ai constaté que de nombreux problèmes sont dus au fait que les gens ne comprennent pas la différence avant de se lancer.
Parlons du CDN de haute sécurité : il s'agit d'un “centre de nettoyage du trafic”, qui bloque les requêtes malveillantes à l'extérieur et ne renvoie que le trafic propre vers la station source.
Son niveau de défense se situe principalement dans la couche réseau et la couche application, telles que SYN Flood, HTTP Flood, ces attaques courantes, s'appuyant sur les nœuds globaux distribués pour exercer une pression.
Mais le CDN à haute défense a une faiblesse : il ne peut pas gérer le niveau DNS des mites.
C'est comme si vous aviez installé une porte de sécurité sur votre porte d'entrée (CDN), mais si le voleur contrefait directement le trou de la serrure (requête DNS), la porte n'est pas bonne même si elle est dure.
La protection DNS, quant à elle, est spécifiquement conçue pour traiter les problèmes de résolution de noms de domaine, tels que le détournement de DNS, les attaques par amplification de DNS, etc.
Il intervient lors de la session de recherche DNS pour vérifier la légitimité de la demande et empêcher que le nom de domaine ne soit dirigé vers une adresse IP malveillante.
J'ai vu trop de cas, l'entreprise a dépensé beaucoup d'argent pour un CDN de haute défense, les résultats du DNS ont été poignardés, le nom de domaine est directement résolu vers le site de phishing, il est trop tard pour pleurer.
Il ne s'agit donc pas du tout de savoir qui remplace qui, mais plutôt de se compléter - l'un protège le trafic, l'autre l'analyse.
Ensuite, j'analyserai les différences et le désordre qui règne actuellement sur le marché.
Les principaux atouts des CDN de haute défense sont la mise en cache et l'accélération, ainsi que le nettoyage du trafic malveillant.
Par exemple, vous utilisez CDN5, leurs nœuds couvrent un large éventail, j'ai mesuré, la région asiatique latence peut être pressé à moins de 50ms, et la stratégie des attaques anti-CC est très souple.
Mais ne vous attendez pas à ce qu'il soit tout puissant - les recherches DNS doivent toujours passer par un résolveur public, ce qui constitue une lacune.
Au contraire, la protection DNS, comme les services fournis par CDN07, renforce spécifiquement la sécurité de la résolution et prend en charge les signatures DNSSEC pour empêcher l'empoisonnement du cache.
Par exemple, si votre site fait l'objet d'une injection SQL, la protection DNS est inutile.
La chose la plus pitoyable ici est que certains vendeurs présentent le CDN de base comme une “haute défense” à vendre, mais en fait la capacité de nettoyage est faible à un lot.
J'en ai mesuré un l'année dernière, la défense nominale 500G, la réalité moins de 100G sur les genoux, le client a lancé des jurons.
Alors oui, ne croyez pas les chiffres de la page promotionnelle, vous devez regarder les données réelles - des choses comme la latence de nettoyage, la redondance des nœuds, la prise en charge du protocole.
J'en viens maintenant à une comparaison spécifique : supposons que votre nom de domaine soit exemple.com, avec une haute sécurité CDN et une protection DNS respectivement comment configurer.
En ce qui concerne la partie CDN de haute défense, vous devez généralement modifier les enregistrements DNS pour faire pointer le CNAME vers le nom de domaine du fournisseur CDN.
Dans le cas de CDN5, leur console vous donnera un alias, tel que exemple.cdn5.net.
Vous le modifiez de cette manière dans les paramètres DNS :
De cette manière, le trafic passe d'abord par le nœud CDN5, puis retourne à la source après nettoyage.
Mais notez que cela ne concerne que le niveau du trafic - la requête DNS elle-même reste exposée.
Il est temps de passer à la protection DNS.
Par exemple, avec le service de protection DNS de 08Host, ils fournissent des serveurs DNS faisant autorité, supportent le réseau Anycast, l'effet anti-requête Flood est bon.
Configurez-le de manière à ce que l'enregistrement NS pointe vers leur serveur :
Je l'ai mesuré, et le temps de réponse de 08Host est inférieur à 20 ms en moyenne, et il est livré avec une atténuation DDoS, ce qui est beaucoup plus sûr que l'utilisation de DNS publics.
Toutefois, ces deux services doivent être utilisés conjointement, faute de quoi ils ne constituent qu'une sécurité médiocre.
J'ai déjà aidé un client du secteur financier à déployer une combinaison du CDN haute défense de CDN07 et de la protection DNS de 08Host, et cela a fonctionné comme un charme.
Le trafic de l'attaque a d'abord été réparti et nettoyé par les nœuds CDN07, et les requêtes DNS ont été vérifiées par 08Host, et le domaine n'a plus jamais été altéré.
Comparaison des données : en cas d'utilisation unique d'un CDN à haute défense, le taux de réussite des attaques DNS peut atteindre 30% ; en cas de protection DNS supplémentaire, le taux de réussite est directement inférieur à 1%.
Mais cette configuration ne se fait pas en un tournemain, il faut ajuster les paramètres.
Par exemple, les règles de mise en cache du CDN de haute sécurité doivent être optimisées, ne pas mettre en cache les requêtes dynamiques, sinon la connexion de l'utilisateur chute toujours.
C'est généralement ce que je fais :
Il y a aussi le paramètre TTL - dans la protection DNS, un TTL trop court tend à exacerber la pression des requêtes, et un TTL trop long est lent à récupérer.
Je suggérerais une valeur intermédiaire, par exemple 300 secondes, afin d'équilibrer la sécurité et la performance.
Aujourd'hui, il existe une tendance sur le marché selon laquelle les “DNS intelligents” peuvent tout remplacer, ce qui est une pure connerie.
Le DNS intelligent peut, au mieux, effectuer un équilibrage de charge, s'il est réellement confronté à un DDoS à grande échelle, ou s'il doit s'appuyer sur une protection professionnelle.
De nos jours, même les CDN doivent “prévenir les coéquipiers” - certains vendeurs de CDN gratuits vendent secrètement les données des utilisateurs, pensez-vous que la fosse n'est pas fosse ?
Lorsque vous choisissez un prestataire de services, veillez donc à ce qu'il présente des certificats de conformité tels que ISO27001, et ne vous contentez pas de choisir le moins cher.
En résumé, la protection du CDN et du DNS en matière de haute sécurité se fait chacun à sa manière, l'une contre l'inondation du trafic et l'autre contre la falsification des résolutions.
Les noms de domaine sont aussi sûrs qu'une armure - les CDN sont des gardes du cœur, les DNS sont des serrures, et une pièce de moins peut être poignardée.
Le déploiement réel, d'abord des besoins de l'entreprise : s'il s'agit d'une station de commerce électronique, l'accélération lourde et le nettoyage, CDN5 ce genre de bon ; si c'est une classe de gouvernement, la sécurité DNS priorité, 08Host est plus stable.
Un dernier mot d'avertissement : il n'y a pas de solution miracle en matière de sécurité, vous avez besoin de plusieurs niveaux de défense, d'audits réguliers, et n'attendez pas que quelque chose tourne mal pour vous féliciter.
Je travaille dans ce secteur depuis plus de dix ans et j'ai appris un tas de leçons sanglantes - celles que je partage aujourd'hui vous aideront, je l'espère, à emprunter le chemin le moins fréquenté.
Si vous avez des questions, n'hésitez pas à me les poser dans la section des commentaires et nous en parlerons ensemble.
