Actualités

Récemment, j'ai effectué des tests de pénétration pour quelques clients, et dès que je suis arrivé, j'ai demandé : “Avez-vous déjà utilisé un CDN haute-défense ?” Résultat, la moitié des personnes m'ont répondu : “Avec ah, mais ne semble pas sentir la différence ?”. J'ai ri à ce moment-là - mon frère, vous avez peur d'acheter une fausse défense élevée, n'est-ce pas ? De nos jours, même les CDN doivent être “anti-témoins”, et ne pas se contenter de mettre en place un cache appelé "haute défense". La haute défense CDN est essentiellement dans le CDN traditionnel basé sur l'empilement de l'armure, pour porter le combat contre les coups doivent encore courir rapidement. Mais beaucoup de gens ont aveuglément opté pour la haute défense, les résultats de l'argent dépensé, l'attaque est venu comme l'effondrement habituel. J'ai constaté que la demande de haute défense dans les différentes industries est très différente - le jeu à faible latence, le commerce électronique a peur de ...

L'année dernière, notre équipe a pris en charge un projet de streaming vidéo, peu de temps après le lancement des coûts de bande passante sur la table, le patron a failli ne pas m'ouvrir, c'est à ce moment-là que j'ai vraiment apprécié le CDN haute-défense n'est pas seulement anti-attaques, mais aussi dans les économies sur le jeu des fleurs. Vidéo cette chose, en particulier HD ou 4K flux, la consommation de bande passante est comme un puits sans fond, chaque utilisateur supplémentaire à regarder, le coût de dilly-dally up, sans parler de ces attaques DDoS de temps en temps pour se joindre à l'amusement, bien que le CDN traditionnel peut mettre en cache le contenu, mais mal configuré au lieu d'augmenter en arrière à la source de la pression, j'ai trouvé que beaucoup d'équipes se concentrent sur le flux de statistiques, mais en ignorant la stratégie de mise en cache et la compression de la meilleure ! ...

Ces derniers temps, les gens me demandent toujours : “Quel est le coût minimum d'un CDN de haute défense ? Je viens de commencer ce petit site, puis-je me le permettre ?” Pour être honnête, quand j'ai commencé à faire le site pense aussi, toujours penser que la protection de la sécurité est riche et les grandes entreprises peuvent se permettre de jouer la chose, jusqu'à ce que mon blog personnel a été une vague de paralysie DDoS pendant trois jours. À l'époque, j'utilisais un hébergement web bon marché, le trafic se précipitait directement sur les ressources étaient bloquées, le service clientèle m'a lancé un “recommandé d'acheter des services de haute défense”. En colère, j'ai failli écraser le clavier - de nos jours, même le script boy a appris à utiliser la boîte à outils du trafic aléatoire, les petites stations devraient courir nues ? Plus tard, j'ai mis ...

L'industrie des échecs a vraiment été touchée par les DDoS ces dernières années. L'année dernière, pour aider une plateforme texane à intervenir en urgence, il a suffi de brancher le téléphone pour entendre le patron hurler : “La bande passante est pleine, les joueurs sont tous bloqués hors ligne, perdant des centaines de milliers de dollars par heure !” Jetez un coup d'œil, c'est un bon gars, le pic a atteint 400 Gbps, les défenses traditionnelles ne peuvent pas le supporter. Cette échelle d'attaque n'est pas le fait d'un pirate personnel, mais d'une équipe professionnelle qui manipule des réseaux de zombies, choisissant les heures de pointe pour jouer une chaîne de combinaisons - inondation TCP, attaques CC, attaques par amplification DNS, etc. Vous pensez que vous pouvez acheter une adresse IP ordinaire à haute défense et la réparer ? C'est naïf. De nombreuses usines ...

Récemment, plusieurs amis pratiquant les échecs et les cartes ont couru me demander, ils m'ont dit que le site était toujours touché, que la carte ne pouvait pas jouer, que certaines personnes recommandaient d'utiliser un VPN d'accélération, que d'autres recommandaient d'acheter un CDN de haute défense, en fin de compte, qui devrais-je croire ? Je n'aime pas du tout la phrase suivante : ne confondez pas l'accélération et l'anti-D, ces deux choses ne sont pas la même chose, l'utilisation chaotique au lieu des accidents. J'ai vu trop de gens tomber dans cette affaire. L'année dernière, un client a insisté pour utiliser le “VPN d'entreprise” d'un fournisseur pour faire de l'accélération aux échecs, le résultat du troisième jour d'activité a été pénétré, les données du joueur nues sans parler, mais aussi perdu plus de 100 000 flux. Ce n'est pas pour vous effrayer, cette ligne d'échecs est née pour attaquer, choisissez le mauvais programme sur...

Je viens de traiter un problème en ligne avec un client, la tension artérielle a failli ne pas monter. Vous dites qu'une bonne station de commerce électronique, un grand jour à la maison soudainement l'écran blanc, l'utilisateur fou des plaintes. Une vérification, un bon gars, le CPU de la station source a directement grimpé à 100%, le pool de connexion de la base de données est plein. La cause première ? Une page de produit populaire a été crawler une deuxième demande des milliers de fois, chaque demande pénètre le CDN, directement de retour à la base de données de requête de source. Comment ce top ah est-il possible ? Le CDN à haute défense est évidemment suspendu, l'attaque est évitée, mais la vitesse ? La performance ? De l'argent dépensé en vain ! Le problème réside dans le fait que la stratégie de mise en cache n'est pas configurée correctement - soit une mise en cache intégrale, soit une mise en cache dynamique intégrale, soit rien du tout...

Récemment, des clients m'ont posé la question suivante : quel CDN de haute défense utilisez-vous, et celui de Huawei Cloud est-il correct ? Pour être honnête, de nos jours, même les CDN doivent "prévenir les coéquipiers" - certains fournisseurs de services parlent d'"accélération globale", mais en réalité, lorsqu'ils rencontrent des attaques CC, ils vous renvoient directement à la source, n'est-ce pas un piège ? Il se trouve que le mois dernier, notre équipe a procédé à une mise à niveau de l'architecture de sécurité, et j'ai retiré du test circulaire le CDN de haute défense de Huawei, l'ancien CDN5 de l'industrie, et le principal CDN07 d'outre-mer. La méthode de test est très simple et rudimentaire : directement au nom de domaine de test pour verser le trafic mixte, pour voir qui peut résister à des scénarios d'attaque réels. Les premières conclusions : la formule de Huawei Cloud...

Récemment, de nombreux pairs sont venus me demander si les attaques DDoS devenaient de plus en plus impitoyables et si les CDN traditionnels à haute défense pouvaient encore tenir le coup. Pour être honnête, l'année dernière, j'ai personnellement vu une plateforme financière avec une pénétration de trafic mixte de 300 Gbps - la mise à jour de la base de règles est un peu plus lente, l'analyse humaine est trop tardive pour réagir. Les attaquants ont même utilisé des modèles de trafic générés par l'IA, en choisissant l'exercice de l'angle mort des règles. De nos jours, même les CDN doivent “prévenir les coéquipiers”. De nombreuses entreprises pensent que l'achat d'un système de défense de haut niveau ne pose pas de problème ; les résultats ont montré que la base de règles est mise à jour, mais que le trafic de leur entreprise a été tué par erreur. J'ai testé la protection CC d'un fournisseur traditionnel, les demandes normales des utilisateurs sont en fait ...

Récemment, le projet de blockchain d'un vieil ami a été directement paralysé par une attaque DDoS, perdant six chiffres, et il m'a appelé au milieu de la nuit, la voix tremblante. Cet incident m'a rappelé que la blockchain semble décentralisée et impénétrable, mais qu'en réalité les nœuds et la couche réseau sont aussi fragiles qu'une feuille de papier. De nos jours, même les CDN doivent se défendre contre les coéquipiers, sans parler des attaques externes. Si vous êtes engagé dans le projet blockchain, ne croyez pas à ceux qui font exploser le ciel en parlant de ‘protection universelle‘, d'attaques DDoS en quelques minutes pour vous apprendre à être une personne. Le cœur de la blockchain est un grand livre distribué, mais chaque nœud a besoin d'une IP publique pour communiquer, ce qui en fait une cible vivante pour les attaquants. ...

Récemment, j'ai aidé plusieurs startups à développer leur activité en ligne et j'ai découvert que nombre d'entre elles avaient subi des attaques DDoS juste après avoir démarré leur activité, et qu'elles étaient paralysées dès qu'elles étaient touchées. Le patron était tellement inquiet qu'il s'est levé d'un bond : “Nous utilisons un fournisseur de services en nuage qui dispose de sa propre protection ! La configuration a été démontée, et la capacité de nettoyage de 5 Gbps de la version de base n'a pas suffi aux pirates pour s'échauffer. Aujourd'hui, les attaques de réseaux sont industrialisées depuis longtemps. L'offre d'attaquer le site est clairement indiquée, 50 yuans peuvent paralyser votre entreprise pendant une heure. S'attendre à une protection de base de la part d'un fournisseur de services en nuage ? Cela équivaut à bloquer une Gatling avec un bouclier en papier. Dans les cas d'attaques massives que j'ai traités, l'équipe de 90% a commis l'erreur fatale d'attendre que le...

À 3 heures du matin, un appel d'urgence de l'équipe O&M m'a réveillé. Une plateforme de services de l'administration locale a été soudainement paralysée, la page a ouvert tous les défis CAPTCHA, les gens ne peuvent tout simplement pas faire des affaires. Le pic du trafic d'attaque a atteint 300 Gbps, les pare-feu traditionnels ressemblant à du papier mâché. Après cet incident, je comprends parfaitement que le CDN du système gouvernemental n'est pas du tout un "outil d'accélération", mais une ligne de défense de vie ou de mort. Les sites web gouvernementaux et les sites web d'entreprises ordinaires sont deux concepts complètement différents. Ce à quoi vous êtes confronté peut être une organisation APT étrangère qui regarde les données, ou un script boy qui s'entraîne. Mais le pire, c'est qu'il est clairement écrit dans la conformité d'Equipoise : mais lorsque des données privées de citoyens sont impliquées...

Récemment, j'ai aidé quelques joueurs d'échecs à effectuer des tests de pénétration et j'ai découvert un phénomène étrange : la configuration du serveur n'est manifestement pas mauvaise, mais à l'heure de pointe de la nuit, le serveur est bloqué dans le PPT ; une vérification des journaux montre que toutes les attaques CC portent sur le trafic - cette bande de petits-fils choisit l'heure de pointe pour jouer, et ne veut manifestement pas faire de bonnes affaires. Un client a pleuré et a dit que l'utilisation originale de la défense élevée ordinaire, a été frappé à travers trois fois par mois, le joueur a chuté au téléphone de service à la clientèle a été cassé. J'ai jeté un coup d'œil à leurs factures, bon gars, mensuel petit 20,000 dépensé en fait “partagé haute défense” paquet, le trafic sur le montant de l'argent à payer, le coût d'une attaque directement grimpé au plafond. L'industrie des échecs est depuis longtemps ...

Récemment, j'ai aidé un ami à gérer un projet qui a été touché par un DDoS et je n'ai pas pu m'occuper de moi-même. Je me suis donc souvenu de lui demander : “Utilisez-vous un CDN qui n'a pas une défense élevée ?”. Du coup, ce pote m'a répondu d'un air confus : “Peux-tu choisir un protocole pour un CDN à haute défense ? Ne pas donner un nom de domaine à raccrocher au bout du compte ?” J'ai failli écraser le clavier sur le champ - de nos jours, il y a encore des gens qui pensent que le CDN ne sert qu'à l'accélération, la défense et le support du protocole sont juste pour le spectacle ? Pour être honnête, la question de la prise en charge du protocole n'a rien de métaphysique. J'ai vu trop de gens acheter un service de haute défense, le résultat étant que le protocole n'est pas apparié, qu'il a été percé après que les vendeurs aient également dénoncé des bêtises. Le problème est que vous ne savez pas ce que vous faites...

Récemment, un ancien client m'a trouvé en pleurs, le site a été victime d'une vague d'attaques DDoS, la perte de plus de 100 000 commandes, j'ai regardé les journaux, un bon gars, un million de requêtes par seconde, ces jours-ci, même le script boy a commencé à utiliser le botnet, c'est vraiment indéfendable. Pour être honnête, je fais de la sécurité réseau depuis plus de dix ans, j'ai vu trop d'entreprises à cause de la sous-estimation de l'attaque et de la mise en place, le CDN ordinaire, cette chose au mieux pour accélérer le contenu, a vraiment rencontré des attaques à grande échelle, avec la même chose que le papier mâché, le CDN de haute défense est le roi de la route, mais la sélection des fournisseurs de services comme le défi des amis, un peu inattentif à être mis en place. Pourquoi le CDN haute défense est-il si important ? J'ai constaté que de nombreuses entreprises ...

Récemment, j'ai aidé quelques plateformes sociales à renforcer leur sécurité en leur remettant leurs journaux CDN de haute défense, ce qui m'a presque empêché de rire - les attaquants sont même allés jusqu'à “ 3 heures du matin pour pointer au travail ”, ce genre d'opération sordide ayant été engagé dans le chantage de cette année, qui a également pris une tournure inattendue. Pour être honnête, de nombreuses équipes ne regardent même pas les journaux de défense du CDN. Elles pensent qu'en ouvrant le WAF, elles pourront être tranquilles, le résultat de l'attaque sur le trafic étant comparable à une promenade dans le jardin. J'ai vu le cas le plus scandaleux : une application sociale était prise dans un trafic de 300G chaque jour, l'opération et la maintenance ont gelé pendant trois mois pour voir les journaux n'ont pas trouvé de champs anormaux. Parlons de la répartition des types d'attaques. A partir du CDN5 et du CDN, j'ai mesuré...

Récemment, pour aider une station de commerce électronique à intervenir en cas d'urgence, j'ai été confronté à une situation désespérante : l'année dernière, ils ont dépensé beaucoup d'argent pour acheter un CDN à haute défense, la page promotionnelle indiquait "protection de niveau T", les résultats des activités promotionnelles ont commencé en dix minutes, le site entier a été directement abattu - l'attaque sur le trafic en fait, seulement 200G hors de la tête. Le patron a appelé le fournisseur de services pour le réprimander, et l'autre partie est lentement arrivée à une phrase : "vous achetez le paquet de base, la défense de pointe ne contient que 100G, au-delà de la partie à ajouter de l'argent pour ouvrir manuellement" ...... cette année, même les CDN doivent avoir des "anti-témoins" ? Pour parler franchement, le CDN à haute défense consiste à inviter un garde du corps sur le site. Mais le problème est que de nombreuses entreprises...

Récemment, pour aider des amis à vérifier l'anomalie de la charge du serveur, une vérification a révélé que l'IP source était manquée, le trafic d'attaque contournant directement le CDN de haute défense et passant par le serveur. De nos jours, même les CDN doivent “prévenir les coéquipiers” - vous pensez que l'ensemble des CDN se porte bien ? La fuite des minutes de l'IP source vous apprend à être une personne. J'ai vu trop d'équipes faire aveuglément confiance aux fournisseurs de services CDN, sans faire la deuxième vérification. Les mesures ont révélé que plus de 60 % des cas d'exposition de la station source ne sont pas du tout dus à une défaillance du CDN, mais à une omission de configuration ou à des cas limites. Ne croyez pas à l'absurdité de la “sécurité par défaut”, la sécurité doit toujours reposer sur ses propres couches de verrouillage. Pourquoi cacher l'IP source est-il si...

Récemment, il y a toujours des copains qui me demandent si le CDN haute défense de Cloudflare peut être utilisé en Chine ou non ? La vitesse est-elle vraiment aussi bonne qu'on le dit ? Pour être honnête, j'ai commencé à réfléchir à ce problème il y a cinq ans, au milieu de la fosse, j'ai payé des frais de scolarité, et même à cause du vent de pompage du nœud, j'ai presque été pulvérisé dans le tamis par le client. Aujourd'hui, je vais me séparer et parler de quelques données réelles, en passant, jeter quelques données de test réelles pour votre référence. Première conclusion : si vous êtes un utilisateur domestique, purement chinois, et extrêmement sensible aux retards, je vous conseille de ne jamais vous acharner sur Cloudflare.

À 3 heures du matin, mon téléphone portable a soudain vibré comme un fou - le patron du département commercial m'a appelé directement, sa voix a changé : "Le site web officiel et les services de base sont tous bloqués, et les plaintes des utilisateurs ont explosé ! Je me suis instantanément levé du lit, même en pantoufles, pour me précipiter vers l'ordinateur, me connecter en SSH pour voir, bon gars, la carte réseau du serveur est directement pleine, le trafic UDP entrant comme un chien enragé a grimpé jusqu'à 4 Gb/s. Il s'agit clairement d'une attaque UDP Flood typique, et ce n'est pas un petit combat. Il s'agit d'une attaque UDP Flood typique, et ce n'est pas une petite attaque. L'attaque UDP Flood est certainement l'une des attaques DDoS les plus courantes de la famille DDoS.

Quand il s'agit de la protection des sites web d'échecs, je dois vraiment cracher le morceau. De nos jours, les attaques DDoS font partie du quotidien, en particulier les attaques ciblées contre l'IP source, qui peuvent paralyser toute l'entreprise si l'on n'y prend pas garde. Je me souviens que l'année dernière, j'ai aidé un client à résoudre des problèmes, leur plate-forme d'échecs parce que l'IP de la station source a été exposée, par un groupe de chantage pendant trois jours, la perte quotidienne moyenne de plus de 100 000, le téléphone du service à la clientèle est presque tombé en panne. Depuis lors, j'ai tout à fait compris : il ne suffit pas de s'appuyer sur l'accélération du cache CDN traditionnel, il faut jouer avec le transfert multicouche et la dissimulation de la station source, afin de garantir véritablement la sécurité. Où est le problème ? Pour faire simple,...

J'ai récemment aidé un ami à faire face à une attaque DDoS sur une station suspendue, je me suis connecté au serveur pour voir l'organigramme - bon gars, le pic a directement grimpé à 300 Gbps, la protection gratuite des vendeurs de nuages est un leurre. L'autre partie a utilisé l'attaque par amplification de la réflexion la moins chère, le coût est faible et efficace, la sélection n'a pas à faire une protection de haut niveau du site pour commencer. De nos jours, même les CDN doivent “prévenir les coéquipiers”, sans parler des gangs de chantage à feu ouvert et à flèches sombres. Beaucoup de gens pensent que l'ensemble des CDN sera très bien, en fait, un CDN ordinaire face aux attaques réelles à haute fréquence n'est qu'un morceau de papier. Pour faire face aux attaques DDoS modernes, il faut s'appuyer sur un CDN spécial à haute défense, et non pas simplement sur un cache...