Récemment, pour aider des amis à faire face aux problèmes d'accrochage du site Web frappé par un DDoS, j'ai découvert que beaucoup de CDN de haute sécurité sont mal configurés, en particulier la résolution CNAME de ce lien - vous pensez qu'après la résolution de la haute tranquillité d'esprit ? Ce n'est pas le cas ! Une mauvaise configuration est une défaillance d'accélération légère, une exposition directe lourde de l'IP de la station source.
Le mois dernier, un client m'a juré que "les vendeurs de CDN ont dit que la résolution de cinq minutes pour prendre effet", les résultats de l'attente pendant une demi-journée ou l'utilisateur est directement connecté à sa station source, le flux de trafic s'est précipité dans le serveur directement paralysé. Je suis allé jeter un coup d'œil, bon gars, la valeur de l'enregistrement CNAME à la fin de la valeur manque un point, l'analyse syntaxique n'est pas entrée en vigueur.
Aujourd'hui, même les CDN doivent se défendre contre les coéquipiers.Les documents de certains fournisseurs sont rédigés comme s'il s'agissait de livres, et le support technique ne fait que copier et coller les mots officiels. Aujourd'hui, je vais vous dire avec une expérience pratique, la résolution CDN CNAME de haute sécurité dans la fin comment jouer, à partir du principe d'éviter la fosse d'une étape à l'autre.
Lancez d'abord un jet d'eau froide :Ne pensez pas que tout ira bien après avoir résolu le CNAME.J'ai testé le temps de résolution de trois grands fournisseurs. J'ai testé le temps de résolution des trois principaux fournisseurs. Le CDN5 le plus rapide peut prendre effet en 90 secondes au niveau mondial, tandis que certains des petits fournisseurs du nœud doivent même attendre 20 minutes - pendant ce laps de temps, le trafic est à l'état brut !
Pourquoi le CNAME est-il si important ? Il s'agit tout simplement de votre planificateur de trafic. Lorsqu'un utilisateur accède à votre nom de domaine, le DNS pointe d'abord la requête vers l'adresse CNAME du fournisseur CDN, puis le fournisseur l'affecte intelligemment au nœud de protection le plus proche. Si le programmateur se met en grève, l'utilisateur se précipite directement à la porte de votre serveur domestique.
Prenons un cas douloureux : une plateforme financière a utilisé le service de haute défense de CDN07, mais les techniciens ont résolu le CNAME à l'IP de la station source au lieu du nom de domaine de protection du fournisseur. En conséquence, l'attaquant a directement parcouru les enregistrements DNS pour trouver l'IP réelle, une vague de 500G de trafic directement vers la salle des serveurs.
Nous allons maintenant vous enseigner la configuration correcte, en prenant pour exemple la résolution domestique commune DNSPod :
Attention à cela.point final! C'est le détail le plus facilement négligé. Un point indique un nom de domaine absolu, sans point le système ajoutera automatiquement le nom de domaine actuel. J'ai vu des gens mettre des valeurs d'enregistrement comme "security.cdn5.com.web.com" et ce genre de conneries.
Si vous utilisez un CDN comme 08Host avec quatre couches de protection, la configuration sera un peu plus compliquée :
N'attendez pas que l'analyse soit terminée ! Vérifiez-le immédiatement avec la commande dig :
J'avais l'habitude de vérifier l'état de la résolution des différentes régions à l'aide de l'outil de requête DNS global. Une fois, j'ai constaté que le délai de résolution des nœuds européens atteignait 300 ms, et j'ai décidé de laisser le fournisseur rafraîchir le cache DNS des nœuds périphériques.
Les données réelles parlent d'elles-mêmes.Dans le même environnement de réseau, la résolution globale de CDN5 prend en moyenne 68 secondes, CDN07 120 secondes, et 08Host est le plus performant dans la région Asie-Pacifique avec seulement 40 secondes. Si vous pratiquez le commerce électronique transfrontalier, cette différence de temps a une incidence directe sur la vitesse de chargement du premier écran.
Que dois-je faire si une résolution ne fonctionne pas ? Vérifiez d'abord trois choses :Si le cache DNS est rafraîchi, si le TTL est trop long, si la valeur CNAME contient des espaces supplémentaires.Je ne suis pas sûr de savoir comment résoudre ce problème, mais je ne suis pas sûr de savoir comment le résoudre. Il m'est arrivé de rencontrer un problème métaphysique : le cache DNS du client a même été stocké pendant 24 heures, et j'ai finalement été obligé de rafraîchir le DNS local pour le résoudre.
Conseils de dissimulation pour les CDN à haute défense :Configurer les règles WAF dès que l'analyse prend effet. De nombreuses personnes ont été exploitées par des attaques par injection alors qu'elles attendaient le "plein effet". En fait, dès que la résolution DNS commence à distribuer le trafic, le nœud de protection peut déjà intervenir pour nettoyer le trafic.
Un dernier conseil judicieux :Ne croyez pas l'affirmation du vendeur selon laquelle "la résolution prend effet immédiatement".. Tous les changements de DNS sont soumis à des délais de propagation et prennent au moins 2 minutes pour prendre effet au niveau mondial. Pendant ce temps, veillez à activer le pare-feu source et à le configurer de manière à autoriser uniquement les IP des nœuds CDN à accéder au site, car il s'agit d'une pratique infaillible.
Vérifiez maintenant votre enregistrement CNAME, attendez-vous toujours "cinq minutes pour prendre effet" ? Utilisez la commande dig pour vérifier, peut-être que votre site web tourne à vide en ce moment !
