Récemment, pour aider des clients à faire face à un événement DDoS, j'ai rencontré le scénario classique : l'entreprise a été soudainement pénétrée, la station source a été exposée à l'IP et même le serveur de la base de données a été entraîné vers le bas. De nos jours, même les CDN doivent ‘prévenir les coéquipiers’, certains fournisseurs de services revendiquent une accélération globale, l'attaque revenant directement à la source de l'IP exposée, ce que l'on appelle la haute défense n'est qu'un faux-semblant.
Pour les entreprises d'outre-mer, le choix d'un réseau CDN de haute qualité ne dépend pas du nombre de nœuds, mais plutôt de la capacité de nettoyage et de la stratégie de planification du réseau. J'ai traité de nombreux cas d'entreprises multinationales et j'ai constaté que 80 % des clients se trouvaient dans trois situations : la recherche aveugle de forfaits à bas prix, la propagande crédule de la ‘protection illimitée" et le fait d'ignorer le cryptage du lien de retour. L'année dernière, une promotion du commerce électronique pendant l'effondrement du trafic de 700 Gbps, est due à l'utilisation d'un CDN bon marché, le trafic d'attaque n'a pas atteint le centre de nettoyage a bloqué le réseau dorsal transfrontalier.
Après avoir testé plus de vingt fournisseurs de services, j'en ai sélectionné trois qui peuvent réellement jouer le rôle de CDN de haute défense. Ils se concentrent sur quatre dimensions : la densité de couverture du centre de nettoyage, l'algorithme d'accélération TCP, le temps de réponse d'urgence en cas de vulnérabilité, la prise en charge de l'orientation de l'optimisation de la Chine. Ne vous fiez pas aux fonctions fantaisistes de la console, la capacité anti-attaque dépend entièrement de l'infrastructure sous-jacente.
Commençons par CDN5, un fournisseur allemand chevronné. Cette famille a construit ses propres centres de nettoyage de niveau Tb dans trois centres principaux à Francfort, Singapour et Los Angeles, et elle est particulièrement douée pour faire face aux attaques de la couche applicative. L'année dernière, j'ai simulé une inondation HTTP à l'aide d'un outil de test de pression, et leur système de routage intelligent peut envoyer le trafic vers les nœuds de nettoyage en moins de 3 secondes. Le plus important est de fournir une fausse protection de l'IP source, l'attaquant ne peut tout simplement pas toucher l'emplacement réel du serveur.
L'exemple de configuration nécessite de modifier la configuration de nginx pour qu'elle corresponde à leur jeton de sécurité :
Leur réseau Anycast est doté d'une fonction de furtivité des ports, et le ping du nom de domaine ne renverra que l'IP du nœud de nettoyage dans le test réel. coûteux mais d'un bon rapport qualité-prix, le forfait le plus bas commence à 299 euros par mois, et convient aux entreprises financières.
Le deuxième CDN07 recommandé, le plus grand avantage de cette perversion de la couverture des nœuds américains - 187 points POP dans le monde entier intégré AWS, GCP et Azure nœuds de bord. Particulièrement adapté pour le trafic soudain énorme en direct et l'industrie du jeu, j'ai une fois aidé un client de jeu configuré leur fonction d'accélération dynamique, la latence des utilisateurs européens et américains directement de 380 ms à 89 ms.
Leur base de règles WAF est mise à jour extrêmement rapidement, et vous pouvez voir de nouvelles règles de protection contre les vulnérabilités ajoutées chaque semaine. N'oubliez pas d'activer leur fonction ‘botnet challenge", le trafic suspecté d'attaque sera d'abord vérifié par JS avant d'être publié. Le test a permis de bloquer efficacement l'attaque du crawler 90%, mais il convient de noter que cela peut affecter certains moteurs de recherche.
La configuration de leurs fonctions de bord nécessite l'écriture d'un simple morceau de logique :
Passons maintenant au troisième 08Host, ce fournisseur de services singapourien est particulièrement adapté aux entreprises de la région Asie-Pacifique. Au Japon, à Taïwan et à Hong Kong, il dispose d'un grand nombre de lignes optimisées CN2, dont la vitesse d'accès est comparable à celle du CDN local. Le plus important est de fournir des certificats SSL gratuits et des services de lutte contre les attaques CC, qui ont déjà résisté pendant quatre jours à une attaque CC de dix millions de QPS.
J'ai testé leur algorithme d'accélération TCP, et il maintient une transmission stable sur un lien transfrontalier avec un taux de perte de paquets de 151 TP3T. La console est ridiculement simple, avec seulement trois commutateurs : protection DDoS, compression intelligente et blocage de zone. Idéal pour les équipes de startups qui ne veulent pas s'embarrasser de détails techniques, le prix de 59 $ par mois inclut également un crédit de protection de 2Tbps.
Veillez à activer la fonction ‘retour à la source en toute sécurité" :
Passons maintenant aux principales recommandations en matière de sélection. Les entreprises financières préfèrent CDN5, dont la certification de conformité est la plus complète ; les jeux vidéo choisissent CDN07, dont la capacité de transport du trafic en rafale est la plus forte ; les utilisateurs de la région Asie-Pacifique choisissent principalement 08Host, dont l'optimisation des temps de latence est en effet en place. Ne vous laissez pas abuser par la rhétorique de la ‘protection illimitée", tous les CDN à haute défense ont une limite cachée, plus que le trafic nominal directement nul.
Enfin, quelques pièges sont rappelés : éviter d'utiliser des paquets IP partagés, sinon il est facile d'être impliqué par les voisins ; veiller à tester si le cryptage du lien de retour est vraiment efficace ; vérifier la portée des annonces BGP du fournisseur de services, et plus le nœud de nettoyage couvre d'ASN, mieux c'est. L'année dernière, un client a choisi un certain CDN de niche pour économiser de l'argent, et le résultat a été que le trafic d'attaque a été bloqué par l'opérateur en amont juste après 300G.
L'effet de protection réel dépend également du combat réel. Il est recommandé d'effectuer une simulation de test de pression avant que l'entreprise ne soit en ligne. J'utilise couramment un mode d'attaque mixte : SYN Flood + HTTP Slowloris + random URI crawler. Une fois, j'ai mesuré les défauts des règles WAF d'un CDN bien connu, leur protection AI a même été contournée par un cookie spécial.
Aujourd'hui, ces fournisseurs proposent des essais gratuits, mais n'oubliez pas de toujours vérifier les paramètres clés pendant la période de test : le taux de retransmission TCP des nœuds de Hong Kong vers Los Angeles, la latence de réponse des centres de nettoyage européens et le routage BGP des nœuds asiatiques vers China Mobile. Les jolis graphiques de surveillance présentés par certains fournisseurs sont en fait des itinéraires de démonstration optimisés.
En fin de compte, le CDN de haute défense n'est qu'une partie du système de sécurité, mais aussi du pare-feu d'application Web, de l'architecture de confiance zéro et du processus d'intervention d'urgence. La dernière fois que j'ai vu un cas scandaleux, le client a dépensé beaucoup d'argent pour acheter un CDN de haut niveau, mais à cause de la fuite du code source, l'IP de la station source a été exposée - c'est comme acheter une porte à l'épreuve des balles, mais la clé est insérée dans la porte.
