R\u00e9cemment, un ancien client m'a appel\u00e9 au milieu de la nuit pour me dire que son site s'\u00e9tait soudainement bloqu\u00e9, que le trafic \u00e9tait mont\u00e9 en fl\u00e8che jusqu'\u00e0 100 Gbps, qu'il s'agissait d'un DDoS, que les pare-feu traditionnels ne pouvaient pas prendre en charge. Aujourd'hui, les attaques de r\u00e9seau sont aussi courantes que les repas, vous n'avez pas de protection fiable, quelques minutes pour \u00eatre mis hors ligne, donc aujourd'hui, je vais harceler l'acc\u00e8s CDN haute d\u00e9fense \u00e0 l'ensemble du processus, du choix d'un fournisseur de services \u00e0 la r\u00e9solution de la configuration, \u00e9tape par \u00e9tape pour vous emmener \u00e0 \u00e9viter le gouffre.<\/p>\n
Je commencerai par une affirmation vraie, le CDN de haute s\u00e9curit\u00e9 n'est pas une panac\u00e9e, mais c'est certainement la r\u00e9ponse actuelle au programme privil\u00e9gi\u00e9 de trafic \u00e0 grande \u00e9chelle, qui disperse le trafic d'attaque \u00e0 travers des n\u0153uds distribu\u00e9s, tout en mettant en cache le contenu de l'acc\u00e8s acc\u00e9l\u00e9r\u00e9, j'ai constat\u00e9 qu'un bon CDN de haute d\u00e9fense peut supporter des attaques de niveau T, mais aussi am\u00e9liorer la vitesse de chargement, mais ne croyez pas que ceux qui se sont vant\u00e9s de la \u201cprotection 100% ! Mais ne croyez pas que ceux qui se vantent de la publicit\u00e9 \u201d100% protection\", trompent les gens, l'effet r\u00e9el d\u00e9pend de la configuration et de la strat\u00e9gie.<\/p>\n
Pourquoi je veux mettre l'accent sur le CDN de haute s\u00e9curit\u00e9, parce que le CDN ordinaire est comme un mur de papier, ne peut qu'acc\u00e9l\u00e9rer, ne peut pas emp\u00eacher le trafic malveillant, et le CDN de haute s\u00e9curit\u00e9 int\u00e9gr\u00e9 WAF, l'att\u00e9nuation DDoS, et m\u00eame l'analyse comportementale, j'ai vu trop de projets \u00e0 cause de l'argent pour \u00e9conomiser CDN ordinaire, les r\u00e9sultats de la p\u00e9n\u00e9tration de l'attaque CC, la perte de lourdes pertes, donc le c\u0153ur du probl\u00e8me : vous devez choisir le bon fournisseur de services, et la configuration correcte, ou sinon il est inutile. Sinon, c'est une perte d'argent.<\/p>\n
En ce qui concerne les fournisseurs de services, le march\u00e9 offre une multitude de choix, mais j'ai une pr\u00e9f\u00e9rence personnelle pour CDN5, CDN07 et 08Host. L'avantage de CDN5 est qu'il y a de nombreux n\u0153uds, une forte r\u00e9sistance aux attaques, particuli\u00e8rement adapt\u00e9 au commerce \u00e9lectronique et \u00e0 l'industrie du jeu, le prix est l\u00e9g\u00e8rement plus \u00e9lev\u00e9 mais en vaut la peine, CDN07 est rentable, la configuration est flexible, je l'utilise souvent pour faire l'environnement de test, les points forts de 08Host est que l'Asie est optimis\u00e9e pour une bonne latence faible, adapt\u00e9e aux entreprises de l'Asie-Pacifique, mais la capacit\u00e9 anti-attaque est un peu faible, il faut combiner ses propres besoins pour choisir. La capacit\u00e9 anti-attaque est un peu faible, il faut combiner ses propres besoins pour choisir.<\/p>\n
Ci-dessous, je d\u00e9monte les \u00e9tapes d'acc\u00e8s, d'abord \u00e0 partir du d\u00e9but de l'enregistrement, CDN5 comme un exemple, parce qu'il est plein de documents, bon support, pour \u00e9viter le novice aveugle, apr\u00e8s l'enregistrement d'un compte, ne pas se pr\u00e9cipiter pour se pr\u00e9cipiter, d'abord lire leur politique de s\u00e9curit\u00e9, j'ai un fr\u00e8re qui n'a pas regard\u00e9 les termes et conditions des r\u00e9sultats de la configuration des mauvaises r\u00e9trocessions, en col\u00e8re directement aux pieds.<\/p>\n
Ajouter un nom de domaine est une \u00e9tape cl\u00e9, dans la console CDN5, trouvez \u201cAdd Domain Name\u201d ou des options similaires, entrez votre nom de domaine principal, comme exemple.com, le syst\u00e8me va g\u00e9n\u00e9rer un enregistrement CNAME, qui est le noyau de la r\u00e9solution ult\u00e9rieure, ne vous embrouillez pas, j'ai trouv\u00e9 que si le nom de domaine n'est pas d\u00e9pos\u00e9 ou les certificats SSL, il peut \u00eatre bloqu\u00e9, donc pr\u00e9parez les mat\u00e9riaux \u00e0 l'avance. J'ai constat\u00e9 que si le nom de domaine n'est pas d\u00e9pos\u00e9 ou le certificat SSL, il peut \u00eatre bloqu\u00e9, alors pr\u00e9parez le mat\u00e9riel \u00e0 l'avance.<\/p>\n
Ici, je partage un exemple de code pour d\u00e9finir le temps de cache afin d'\u00e9viter l'expiration des ressources, dans CDN5, vous pouvez utiliser l'API ou l'interface utilisateur pour l'ajuster, par exemple, ce snippet JSON est utilis\u00e9 pour d\u00e9finir l'en-t\u00eate de cache :<\/p>\n
En termes de politique de s\u00e9curit\u00e9, assurez-vous d'activer le WAF et la protection DDoS, CDN5 fournit des r\u00e8gles personnalis\u00e9es, je fixe souvent des seuils pour bloquer les requ\u00eates anormales, par exemple, si une seule IP demande plus de 100 fois par seconde, elle sera automatiquement bloqu\u00e9e, ce qui peut emp\u00eacher efficacement les attaques CC, n'oubliez pas de tester les r\u00e8gles, sinon il peut bloquer par erreur les utilisateurs normaux.<\/p>\n
La r\u00e9solution de nom de domaine est l'une des erreurs les plus faciles \u00e0 commettre, j'ai vu un nombre incalculable de personnes r\u00e9soudre les mauvaises pistes pour que le CDN ne prenne pas effet, dans la plateforme de gestion DNS (comme Cloudflare ou leur propre DNS), ajouter un enregistrement CNAME, sera votre nom de domaine pour pointer vers l'adresse CNAME fournie par CDN5, par exemple :<\/p>\n
Il faut un certain temps pour que l'analyse prenne effet, g\u00e9n\u00e9ralement de quelques minutes \u00e0 quelques heures, p\u00e9riode pendant laquelle il est possible de la v\u00e9rifier \u00e0 l'aide de la commande dig :<\/p>\n
Si l'adresse du CDN est renvoy\u00e9e, cela signifie que l'op\u00e9ration est r\u00e9ussie, sinon vous devez r\u00e9soudre les probl\u00e8mes li\u00e9s aux param\u00e8tres DNS. Je sugg\u00e8re de tester d'abord avec un sous-domaine, tel que cdn.example.com, afin d'\u00e9viter d'affecter l'environnement de production.<\/p>\n
Le certificat SSL doit \u00eatre configur\u00e9, sinon le navigateur signalera l'ins\u00e9curit\u00e9, CDN5 supporte le SSL automatique, t\u00e9l\u00e9chargez le certificat ou utilisez la version gratuite de Let's Encrypt, trouvez l'onglet SSL dans la console, t\u00e9l\u00e9chargez votre certificat et votre cl\u00e9 priv\u00e9e, ou activez le renouvellement automatique, j'ai test\u00e9 et trouv\u00e9 que le t\u00e9l\u00e9chargement manuel est plus fiable, pour \u00e9viter l'embarras de l'\u00e9chec du certificat automatique.<\/p>\n
Le lien de test ne peut pas \u00eatre sauvegard\u00e9, l'acc\u00e8s, avec des outils tels que curl ou le navigateur pour v\u00e9rifier l'en-t\u00eate de r\u00e9ponse, pour confirmer que l'en-t\u00eate X-Cache montre HIT, dit hit du cache CDN, tout en simulant des attaques pour tester la protection, tel que l'outil slowloris pour envoyer une requ\u00eate lente, pour voir si le CDN intercepte, la journalisation CDN5 est tr\u00e8s puissante, l'analyse des logs peut optimiser la configuration.<\/p>\n
J'utilise souvent la fonction de rapport de CDN5, je regarde les pics de trafic et les \u00e9v\u00e9nements de s\u00e9curit\u00e9, si vous trouvez des anomalies, modifiez les r\u00e8gles en temps voulu, par exemple en ajustant la politique de mise en cache ou en renfor\u00e7ant le WAF, n'oubliez pas que la s\u00e9curit\u00e9 du r\u00e9seau est une bataille permanente, ne vous laissez pas aller \u00e0 la paresse.<\/p>\n
En bref, l'acc\u00e8s au CDN haute d\u00e9finition semble complexe, mais \u00e9tape par \u00e9tape, c'est simple, choisir un fournisseur de services, la configuration, la r\u00e9solution, les tests, chaque lien doit \u00eatre prudent, j'ai tant d'ann\u00e9es d'exp\u00e9rience pour vous dire, passer plus de temps dans la phase initiale, le tard moins marcher sur les fosses, le monde du r\u00e9seau, la pr\u00e9vention des probl\u00e8mes avant qu'ils ne se produisent est la voie du roi, si vous avez un probl\u00e8me sp\u00e9cifique, bienvenue \u00e0 l'\u00e9change, j'essaie de revenir en arri\u00e8re.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, un ancien client m'a appel\u00e9 au milieu de la nuit pour me dire que son site s'\u00e9tait soudainement bloqu\u00e9, que le trafic \u00e9tait mont\u00e9 en fl\u00e8che jusqu'\u00e0 100 Gbps, qu'il s'agissait d'un DDoS, que les pare-feu traditionnels ne pouvaient pas prendre en charge. Aujourd'hui, les attaques de r\u00e9seau sont aussi courantes que les repas, vous n'avez pas de protection fiable, quelques minutes pour \u00eatre mis hors ligne, donc aujourd'hui je vais harceler l'acc\u00e8s CDN haute d\u00e9fense \u00e0 l'ensemble du processus, du choix d'un fournisseur de services \u00e0 la r\u00e9solution de la configuration, \u00e9tape par \u00e9tape pour vous emmener \u00e0 \u00e9viter le gouffre. J'ai d'abord dit une chose vraie, le CDN de haute s\u00e9curit\u00e9 n'est pas une panac\u00e9e, mais c'est certainement la r\u00e9ponse actuelle au flux \u00e0 grande \u00e9chelle de l'option pr\u00e9f\u00e9r\u00e9e, c'est des n\u0153uds distribu\u00e9s pour disperser le trafic d'attaque, tout en mettant en cache le contenu pour acc\u00e9l\u00e9rer l'acc\u00e8s, j'ai trouv\u00e9 qu'un bon CDN de haute s\u00e9curit\u00e9 peut supporter les attaques de niveau T, mais aussi am\u00e9liorer la vitesse de chargement, mais ne croyez pas que ceux qui se sont vant\u00e9s de la \u201cprotection 100%\", mais le CDN n'est pas le seul.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1039","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1039"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1039\/revisions"}],"predecessor-version":[{"id":1086,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1039\/revisions\/1086"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1039"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}