Récemment, les gens me demandent toujours s'il existe une recommandation de CDN de haute défense qui n'est pas pourrie et qui peut être touchée. Pour être honnête, le grand CDN est certainement stable, mais le prix est transparent comme du verre, les attaquants sentent que la porte est claire, un coup est précis. De nos jours, même les CDN doivent “prévenir les coéquipiers” - on ne sait jamais quel segment IP sera l'adversaire à l'avance dans la liste noire.
J'ai testé pas moins de vingt fournisseurs de services CDN de petite et moyenne taille, j'ai mis le pied dans la fosse et j'ai creusé jusqu'au trésor. Le chat d'aujourd'hui de trois, vous pouvez même ne pas avoir entendu le nom, mais la capacité de résister à la lutte est absolument au-delà des attentes. Ce qu'ils ont en commun, c'estIl est difficile de dissimuler les adresses IP des sites sources, les règles de pare-feu sont aussi souples qu'un couteau suisse et la courbe des prix n'est pas aussi abrupte que celle des grands noms.。
Tout d'abord, jetons un peu d'eau froide sur la marmite : ne vous attendez pas à ce que les CDN de niche aient une densité de nœuds Anycast globale telle que celle d'AliCloud. Leur valeur réside dans la “défense asymétrique”, qui consiste à compenser le désavantage de l'échelle matérielle par des stratégies personnalisées. Par exemple, par le filtrage des ports, l'ajustement dynamique des défis JS, ou même déguisé en page 404 pour tromper le scanner.
Le premier : CDN5 - spécialisé dans toutes sortes de morts fantaisistes DDoS
L'argument de vente est le “nettoyage intelligent des routes”. J'ai pris une machine de test pour simuler une attaque de trafic mixte de 550 Gbps, et ils ont en fait utilisé la technologie de saut de port dynamique pour y résister. Le principe est très simple : il s'agit d'acheminer le trafic vers plusieurs nœuds virtuels afin de procéder à une analyse des caractéristiques, puis, par le biais de la diffusion BGP, de renvoyer le trafic nettoyé à la source. Le plus intéressant est qu'il prend en charge les valeurs TTL personnalisées pour les protocoles TCP, ce qui permet d'empêcher efficacement la traçabilité.
Le backend de configuration ressemble à ceci (les parties clés sont codées) :
Le test a révélé que le contrôle de la latence de leurs nœuds asiatiques est inférieur à 45 ms, les nœuds européens et américains sont légèrement plus faibles mais peuvent également être stables à 120 ms. Le prix est le point fort : 1TB de trafic + 2Tbps de protection de base moins de $200 par mois, face à une grande attaque ne déduit pas aveuglément le coût mais déclenche l'élasticité de l'expansion.
The Second : CDN07 - Hiding the source IP like a military base
Si vous en avez assez du mode de résolution CNAME des grands CDN qui n'a pas changé depuis des années, celui-ci va vous éclairer. Ils utilisent une technologie de pool d'IP dynamique, chaque requête DNS renvoie une IP de nœud différente, et le temps de survie de chaque IP est inférieur à 300 secondes. J'ai utilisé ZoomEye engine sweep pendant trois jours, j'ai gelé et je n'ai pas trouvé leur véritable segment IP.
De plus, il prend en charge le “Fake Dead Mode” - lorsqu'une attaque pénétrante est détectée, il déguise automatiquement la réponse de la station source en une page d'erreur 502 tout en basculant vers une autre IP en arrière-plan, ce qui est pratiquement invisible pour le client, mais l'attaquant pensera qu'il a vraiment accroché la cible.
Donner une configuration de liaison NGINX :
L'inconvénient est que les documents sont tous en anglais et que la réponse à l'ordre de travail doit attendre environ 6 heures. Mais l'effet de défense peut se permettre d'attendre - l'année dernière, une attaque CC de 500G, la bande passante de mon entreprise est pleine, ils utilisent en fait la technologie de restructuration du protocole pour filtrer la demande effective, et finalement fuir vers la station source du trafic de moins de 3%.
Troisièmement : 08Host - La voiture blindée du pauvre, mais qui peut se battre
Celui-ci convient mieux aux webmasters qui disposent d'un budget serré mais qui sont harcelés tous les jours. Vous pouvez obtenir 2Tbps de protection de base pour $79 par mois, et bien que le nombre de nœuds soit faible, chacun est livré avec un équipement de nettoyage du matériel. J'ai démoli leur rapport de trafic, j'ai trouvé l'opération magique : le trafic jeu/UDP et le trafic Web/TCP doivent aller sur des lignes physiques différentes pour éviter les interférences.
Ce qui m'a le plus surpris, c'est la possibilité de personnaliser la base de règles du WAF à l'aide de scripts Lua :
La précision de blocage mesurée est nettement supérieure à celle du WAF gratuit de Cloudflare. Cependant, sachez qu'il s'effondre directement après un dépassement de trafic et ne vous laissera pas endetté comme les grands acteurs. Il convient aux activités qui ne fluctuent pas trop, et vous devrez acheter un pack de résilience si vous avez beaucoup de trafic soudain.
Comparaison côte à côte des produits secs
Comparez ces trois solutions à AWS Shield, que j'ai utilisé :
Le temps de récupération pour CDN5 en cas d'attaque SYN Flood de 500 Gbps est environ 10 secondes plus rapide que pour AWS car il y a moins de surcharge de programmation globale.
▪ Taux de reconnaissance des attaques CC : CDN07 atteint 99,2%, 08Host 97%, AWS version gratuite 89% seulement.
▪ Prix : la même base de protection de 2Tbps, les grands acteurs ont une moyenne de $1200/mois, ces trois-là se situent dans une fourchette de $300.
Un dernier mot de vérité.
Quelle est la plus grande crainte des CDN de niche ? Ce n'est pas qu'ils ne puissent pas supporter le coup, mais que les nœuds soient instables. J'ai subi des pertes - une certaine publicité 100Tbps capacité de nettoyage, la rencontre réelle 300G attaque sur toute la ligne rouge. Le choix du fournisseur de services doit donc porter sur deux points :Disponibilité de la certification SOC2和Pouvez-vous fournir un relevé des cas d'attaques réelles。
Autre conseil : avant de signer le contrat, vous devez tester le “pourcentage de trafic retournant à la source”. Le taux de nettoyage des fournisseurs habituels est d'au moins 95% ou plus, ce qui signifie qu'un trafic d'attaque de 100G ne sera renvoyé à la station source que dans une proportion inférieure à 5G. Si l'autre partie n'ose pas fournir un accès de test, il faut passer directement.
Maintenant j'utilise CDN5 + 08Host architecture de double redondance - le trafic quotidien va 08Host économies de coûts, les attaques plus de 800G automatiquement basculer CDN5. cet ensemble de solutions que purement utiliser Cloudflare Enterprise Edition économies mensuelles de $4000 +, et n'a pas semblé être un faux tuer.
En bref, un CDN à haute défense est comme une assurance, il ne faut pas attendre d'être touché pour étudier la situation. En enterrant plusieurs lignes de défense à l'avance, on peut au moins faire sentir à l'attaquant que “ce petit-fils est vraiment difficile à mâcher” et se tourner vers un kaki plus tendre. Après tout, dans le domaine de la sécurité des réseaux.Survivre à son adversaire, c'est gagner.。
