Récemment, j'ai aidé plusieurs startups à développer leur activité en ligne et j'ai découvert que nombre d'entre elles avaient subi des attaques DDoS juste après avoir démarré leur activité, et qu'elles étaient paralysées dès qu'elles étaient touchées. Le patron était tellement inquiet qu'il s'est levé d'un bond : “Nous utilisons un fournisseur de services en nuage qui dispose de sa propre protection ! Déballez la configuration et jetez un coup d'œil, bon gars, la version de base de la capacité de nettoyage de 5Gbps, n'est pas suffisante pour que les pirates s'échauffent avec.
Les cyberattaques sont depuis longtemps industrialisées. L'offre d'attaque d'un site est explicitement chiffrée à 50 dollars pour une heure d'arrêt de l'activité. S'attendre à une protection de base de la part d'un fournisseur de services en nuage ? Cela équivaut à bloquer une Gatling avec un bouclier en papier.
Dans les cas d'attaques à fort trafic que j'ai traités, l'équipe de 90% a commis une erreur fatale : elle a attendu d'être paralysée avant de se précipiter pour trouver une solution. L'interruption de l'activité pendant trois heures, la perte est suffisante pour acheter trois ans de services de haute défense. Les leçons du passé nous enseignent que l'accès à un CDN haute défense doit devenir une action standard avant le lancement, plutôt qu'une mesure corrective a posteriori.
La valeur fondamentale des CDN de haute défense n'est pas l'accélération, mais le camouflage.. C'est comme si vous portiez un masque pare-balles sur le serveur - l'IP réelle est cachée derrière, et tout le trafic passe d'abord par le nœud de nettoyage global. Les pirates frapperont toujours les nœuds CDN, et votre station source se cache dans l'obscurité et la stabilité.
Le test a révélé que le CDN correctement configuré peut filtrer 99% de trafic indésirable. Aujourd'hui, de la manière la plus simple, le processus de configuration du CDN de haute défense pour démanteler comprendre. Après l'opération, une demi-heure suffira pour que le site porte un gilet pare-balles.
Tout d'abord, jetons un peu d'eau froide : ne croyez pas ces publicités sur la “protection en un clic”. J'ai testé les fonctions d'auto-configuration de trois grands fournisseurs, et aucun d'entre eux ne peut s'adapter parfaitement aux scénarios d'entreprise. Soit les règles de mise en cache sont déraisonnables, soit la politique de protection est trop souple ou trop stricte. La configuration manuelle est toujours la meilleure solution.
La première étape de la sélection des produits les plus dénoyautés. Il existe trois grandes écoles de produits de haute défense sur le marché :Traditionnel Type de fabricant(CDN5, CDN07),Stéréotypes de liaison des fournisseurs de services en nuage(un certain Riyun, un certain nuage de Tencent),Protection spécialisée(08Host, etc.). Il est intéressant de voir comment les données mesurées se comparent :
Les nœuds des fournisseurs traditionnels ont une large couverture, mais le degré de personnalisation est faible. La latence des nœuds de CDN5 en Asie-Pacifique peut être réduite à moins de 80 ms, mais la capacité de nettoyage en Europe est faible ; l'algorithme d'accélération TCP de CDN07 est très rapide, mais la configuration est anti-humaine.
Le plus grand piège des stéréotypes groupés des fournisseurs de cloud est que - vous pensez que vous achetez une haute défense indépendante, mais en fait il s'agit toujours d'un cluster partagé. En période de pointe, les “clients en or” peuvent s'emparer des ressources. L'année dernière, Double Eleven, une société de commerce électronique, a subi cette perte.
Type de protection spécialisé comme 08Host, qui gagne dans la stratégie de protection. Support de modèles de protection personnalisés par type d'entreprise (e-commerce/gaming/finance), mais le prix est souvent élevé 30%.
Mes suggestions de choix sont les suivantesL'activité principale en Asie-Pacifique choisit CDN5, l'activité globale CDN07, le niveau de protection financière doit considérer 08Host. Ne croyez pas que le coup de vente “protection illimitée”, tous les vendeurs ont des seuils invisibles.
Déterminez le fabricant et passez directement à la console. Concentrez-vous sur quatre paramètres :source méthode de retour、Règles de mise en cache、classe de protection、limite de bande passante. Il y a des mines enfouies dans chaque option ici.
Une fois qu'un client a configuré le lendemain la station source a été pénétrée, la vérification jusqu'à la fin a trouvé que la sélection de la “transparente retour à la source” - le pirate à travers le nœud CDN contre-vérification pour obtenir l'IP réelle. Le mode “proxy back to the source” doit être sélectionné, de sorte que le CDN serve d'intermédiaire pour isoler le trafic.
Le lien de liaison du nom de domaine est le détail le plus testé. De nombreuses personnes remplissent directement un CNAME et pensent que c'est fait, mais oublient de vérifier l'état de la résolution. La position correcte devrait être :
Ensuite, configurez la politique de retour de la source. L'IP de la station source doit utiliser l'IP de l'intranet ou l'IP de la liste blanche du pare-feu, afin d'éviter l'exposition de l'IP publique. Dans certains cas, des pirates ont scanné violemment des IP de segments CDN pour contre-vérifier le site source, parce que l'IP publique avait été utilisée pour retourner à la source.
La configuration du cache est essentielle pour les performances. Il est recommandé de mettre en place un cache de 30 jours pour les ressources statiques et de désactiver le cache pour les API dynamiques. Il existe un malentendu classique : certaines personnes ont mis en cache l'interface de connexion et, par conséquent, toutes les connexions d'utilisateurs sont des numéros de série. Utilisez cette règle pour éviter cette tragédie :
Les règles du WAF ne sont pas aussi strictes que les meilleures, j'ai vu certaines personnes ouvrir le mode strict complet, l'utilisateur normal est également bloqué. Il est recommandé de prendre trois mesures :Protection moyenne pour l'utilisation initiale,Documentation sur l'apprentissage des schémas de circulation,Passer à une stratégie personnalisée après deux semaines。
Trois éléments de protection obligatoires doivent être ouverts :Protection contre les attaques de la CC(Automatiquement remis en cause pour les demandes supérieures à 200 par seconde),Fermeture géographique(blocage direct des segments IP ne relevant pas du domaine de l'entreprise),Interception des robots malveillantsLa fonction de reconnaissance des robots de 08Host est particulièrement efficace pour faire la distinction entre les moteurs de recherche et les robots malveillants.
Il existe un artefact caché dans les paramètres avancés :Seuils de validation homme-machineVous pouvez définir “le même accès IP 50 fois par minute pour déclencher le code d'authentification”. Vous pouvez définir "le même accès IP 50 fois par minute pour déclencher le code d'authentification", le test réel peut bloquer l'attaque 80% CC. Mais ne le fixez pas à un niveau trop bas, car les utilisateurs mobiles risqueraient d'être maudits.
Testez toujours à la fin ! Vérifiez que la protection fonctionne en simulant une attaque avec l'outil :
Vérifiez le rapport d'attaque sur la console CDN, normalement vous devriez voir que le trafic d'attaque est nettoyé et que la pression du serveur source ne bouge pas. Si vous voyez des pics de CPU à la source, vérifiez la configuration de la source.
N'oubliez pas de définir des alarmes. Il est recommandé d'activer les deux alarmes de seuil “le trafic de nettoyage dans les 5 minutes dépasse 10G” et “la bande passante de retour à la source dépasse 100Mbps”. Si vous êtes attaqué à trois heures du matin, vous pourrez toujours réagir à temps.
Après ces cinq étapes, votre site a été en mesure de résister à la plupart des attaques conventionnelles. Mais n'oubliez pas qu'il n'existe pas de système de sécurité absolu. Le mois dernier, j'ai été confronté à une attaque perverse : des pirates ont utilisé des dizaines de milliers d'IP réelles de téléphones portables pour lancer une requête lente, contournant presque la politique de haute sécurité. Finalement, c'est en s'appuyant sur l'analyse comportementale intelligente de 08Host que l'attaque a pu être stoppée.
Un CDN à haute défense permet essentiellement de gagner du temps, en entraînant le pirate dans une guerre d'usure jusqu'à ce qu'il renonce à l'attaque. La réserve de bande passante est donc très importante. Il est recommandé de réserver une marge de bande passante de 20% sur une base quotidienne, et d'augmenter temporairement la capacité en cas d'attaque.L'expansion élastique de CDN5 fait du bon travail, cinq minutes pour ajouter 1T de bande passante de protection.
Enfin, la vérité : l'attaque réussie de 90% est due à une erreur de configuration. Il est plus important d'auditer régulièrement les règles CDN et de vérifier les journaux du site source pour détecter tout accès direct inhabituel que d'acheter des packs de protection hors de prix. Après tout, les forteresses les plus solides sont souvent percées de l'intérieur.
Vérifiez votre configuration CDN dès maintenant. N'attendez pas qu'une attaque se produise pour le regretter - avec ces questions de sécurité, il y a toujours trop de redondance en temps normal et trop peu de haine quand les choses tournent mal.
