Récemment, plusieurs amis qui utilisent des applications sociales m'ont posé la même question : votre CDN de haute sécurité supportera-t-il IPv6 ? Cette question est tout à fait pertinente, après tout, aujourd'hui, une application sociale doit faire face à une variété d'attaques de réseau, sans un CDN de haute sécurité fiable, elle est tout simplement nue. Mais surtout, l'IPv6 n'est pas “l'avenir”, c'est “maintenant” la norme technologique.
Je commencerai par la conclusion :Un CDN social vraiment fiable et à haute défense doit prendre en charge IPv6, et il doit s'agir d'une prise en charge native, et non de ce genre de solution de transfert à moitié satisfaisante !J'en ai testé plusieurs. N'écoutez pas certains vendeurs qui vous rebattent les oreilles avec la “compatibilité IPv6”, j'en ai testé plusieurs, certains d'entre eux transforment le trafic IPv6 en trafic IPv4, puis le traitent, sans parler de la latence élevée, la politique de sécurité est également facile à ignorer, il s'agit purement d'une tromperie.
Pourquoi les applications sociales en particulier ont-elles besoin de la prise en charge d'IPv6 ? C'est simple, le nombre d'utilisateurs est là. Aujourd'hui, en Asie du Sud-Est, en Afrique et sur d'autres marchés émergents, le taux de pénétration de l'IPv6 est de près de 70% ; si vous ne prenez en charge que l'IPv4, cela équivaut à renoncer activement à une grande vague d'utilisateurs. Sans parler du fait que certains opérateurs nationaux n'attribuent même que des adresses IPv6 par défaut, comment permettre aux autres utilisateurs d'y accéder ? Comment voulez-vous qu'ils y accèdent ?
En théorie, les attaques DDoS sont plus difficiles à réaliser parce que l'IPv6 dispose d'un espace d'adressage si vaste, n'est-ce pas ? Mais en réalité, les pirates se concentrent désormais sur l'IPv6 parce que de nombreuses entreprises ne font tout simplement pas un bon travail de protection. L'année dernière, j'ai rencontré une entreprise sociale dont la protection IPv4 se comportait comme un tonneau ; les résultats de l'entrée d'IPv6 ont été martelés dans une passoire - les attaquants ont utilisé directement les attaques CC IPv6, les nœuds ont été paralysés sur le champ.
Par conséquent, lorsque vous choisissez un CDN à haute sécurité, ne vous contentez pas de demander s'il prend en charge IPv6, mais renseignez-vous sur les détails suivants : s'agit-il d'une conversion native dual-stack ou NAT, et les règles de protection IPv6 sont-elles cohérentes avec celles de l'IPv4 ? Existe-t-il une politique de pare-feu IPv6 distincte ? Le coût de la bande passante va-t-il doubler ? Ce sont tous ces points de connaissance qui sont échangés pour les leçons de sang et de larmes.
Prenons l'exemple du CDN5 que nous utilisons : il s'agit d'une solide pile double native. Chaque nœud écoute à la fois IPv4 et IPv6, et les règles de protection sont complètement synchronisées. J'ai volontairement utilisé l'outil de test pour simuler l'attaque SYN Flood IPv6, le résultat du déclenchement de l'alarme est encore plus rapide que les 200 ms de l'IPv4 - en raison de leur puce de filtrage matérielle optimisée pour les messages IPv6.
Il est également simple à configurer et il n'est pas nécessaire d'écrire un ensemble de règles distinct pour IPv6. Par exemple, la mise en place d'une protection CC dans un WAF peut couvrir deux protocoles avec une seule ligne de code :
Mais certains vendeurs sont bien plus pitoyables. Par exemple, un certain CDN07 dit en surface qu'il supporte IPv6, mais en réalité il utilise le mode de conversion par proxy. Le trafic doit d'abord faire le tour de son serveur de conversion, puis être acheminé vers la source. La latence est de 50 ms de plus, sans parler du fait que, le pool NAT étant trop petit, la période de pointe est souvent à court de ports, ce qui entraîne des erreurs 502. Plus tard, j'ai capturé des paquets et j'ai découvert que l'en-tête de la réponse contenait des champs tels que `X-Forwarded-For : 2001:db8::1` qui n'étaient manifestement pas convertis, ce qui était scandaleux.
Il y a un 08Host plus désespéré, la page promotionnelle écrite en grandes lettres, “full support for IPv6”, les résultats d'un service à la clientèle, vous devez ajouter de l'argent pour acheter “Enterprise Enhanced Edition” pour ouvrir. La version de base du CDN haute défense, même les futurs protocoles de réseau doivent-ils payer un supplément ? De nos jours, même les CDN doivent “prévenir les coéquipiers”.
En fait, la principale difficulté de la protection IPv6 réside dans le fait que l'espace d'adressage est si vaste que le mécanisme traditionnel de liste noire est facilement inefficace. Par exemple, en IPv4, vous pouvez bloquer un segment /24 pour affecter au maximum 256 IP, mais en IPv6, vous pouvez bloquer un segment /64 - cela représente 18,4 milliards de milliards d'adresses, qui oserait faire cela ? La véritable solution fiable doit donc reposer sur l'analyse comportementale et l'apprentissage automatique.
Notre stratégie actuelle est une combinaison d'évaluation de la réputation et de modélisation du trafic en temps réel. Par exemple, si 1000 demandes de connexion apparaissent dans le même segment /64, cela déclenche directement une limitation élastique des flux au lieu d'un blocage brutal. Cet ensemble de règles ressemble à peu près à ceci lorsqu'il est configuré sur CDN5 :
Pour être honnête, il n'y a pas beaucoup de fournisseurs qui osent dire qu'ils ont complètement pénétré la haute défense IPv6. Outre le CDN5 dont on vient de se vanter, les deux autres fabricants internationaux ne sont pas mauvais, mais les nœuds nationaux sont trop peu nombreux, le délai ne peut pas répondre aux exigences de temps réel des applications sociales. Quoi qu'il en soit, lors de la sélection d'un modèle, veillez à le tester, en vous concentrant sur trois points : les fluctuations de la latence IPv6, la durée d'efficacité de la protection et la structure des coûts.
Enfin, certains clients pensent toujours qu'IPv6 est une “voie alternative” et ne veulent pas investir de ressources. Par conséquent, ils attendent vraiment que l'adresse IPv4 soit épuisée ou touchée avant de se précipiter pour migrer, et le coût de la transformation est alors encore plus élevé. Il serait préférable de choisir un CDN avec une double pile complète, et de la mettre en place en une seule fois.
En bref, si le CDN de haute défense pour les applications sociales ne prend pas en charge l'IPv6 natif, vous pouvez passer votre chemin. Il ne s'agit pas d'un retard technologique, il n'est tout simplement pas destiné à vous servir pendant longtemps - même l'adaptation de base du futur réseau n'est pas possible, mais vous osez également faire payer une défense de haut niveau ?
