Je me souviens que l'\u00e9t\u00e9 dernier, le site de commerce \u00e9lectronique d'un ancien client a \u00e9t\u00e9 soudainement paralys\u00e9, le trafic est mont\u00e9 en fl\u00e8che, l'arri\u00e8re-plan s'est directement effondr\u00e9, et j'ai alors vraiment compris que le fait de s'appuyer sur le mat\u00e9riel du serveur pour transporter les attaques DDoS est tout simplement une mante.<\/p>\n
De nos jours, les attaquants brassent des centaines de gigaoctets de trafic, sans parler des petites entreprises, m\u00eame les grands fabricants doivent y laisser leur peau.<\/p>\n
Aujourd'hui, je vais donc parler de la haute s\u00e9curit\u00e9 CDN et de la protection DNS de ces deux fr\u00e8res - ils semblent prot\u00e9ger la s\u00e9curit\u00e9 du nom de domaine, mais le niveau de d\u00e9fense n'est pas du tout la m\u00eame chose, mais doit \u00e9galement correspondre \u00e0 l'utilisation qui en est faite.<\/p>\n
Ne croyez pas les fabricants qui vous vantent les m\u00e9rites d'une \u201csolution unique\u201d. J'ai constat\u00e9 que de nombreux probl\u00e8mes sont dus au fait que les gens ne comprennent pas la diff\u00e9rence avant de se lancer.<\/p>\n
Parlons du CDN de haute s\u00e9curit\u00e9 : il s'agit d'un \u201ccentre de nettoyage du trafic\u201d, qui bloque les requ\u00eates malveillantes \u00e0 l'ext\u00e9rieur et ne renvoie que le trafic propre vers la station source.<\/p>\n
Son niveau de d\u00e9fense se situe principalement dans la couche r\u00e9seau et la couche application, telles que SYN Flood, HTTP Flood, ces attaques courantes, s'appuyant sur les n\u0153uds globaux distribu\u00e9s pour exercer une pression.<\/p>\n
Mais le CDN \u00e0 haute d\u00e9fense a une faiblesse : il ne peut pas g\u00e9rer le niveau DNS des mites.<\/p>\n
C'est comme si vous aviez install\u00e9 une porte de s\u00e9curit\u00e9 sur votre porte d'entr\u00e9e (CDN), mais si le voleur contrefait directement le trou de la serrure (requ\u00eate DNS), la porte n'est pas bonne m\u00eame si elle est dure.<\/p>\n
La protection DNS, quant \u00e0 elle, est sp\u00e9cifiquement con\u00e7ue pour traiter les probl\u00e8mes de r\u00e9solution de noms de domaine, tels que le d\u00e9tournement de DNS, les attaques par amplification de DNS, etc.<\/p>\n
Il intervient lors de la session de recherche DNS pour v\u00e9rifier la l\u00e9gitimit\u00e9 de la demande et emp\u00eacher que le nom de domaine ne soit dirig\u00e9 vers une adresse IP malveillante.<\/p>\n
J'ai vu trop de cas, l'entreprise a d\u00e9pens\u00e9 beaucoup d'argent pour un CDN de haute d\u00e9fense, les r\u00e9sultats du DNS ont \u00e9t\u00e9 poignard\u00e9s, le nom de domaine est directement r\u00e9solu vers le site de phishing, il est trop tard pour pleurer.<\/p>\n
Il ne s'agit donc pas du tout de savoir qui remplace qui, mais plut\u00f4t de se compl\u00e9ter - l'un prot\u00e8ge le trafic, l'autre l'analyse.<\/p>\n
Ensuite, j'analyserai les diff\u00e9rences et le d\u00e9sordre qui r\u00e8gne actuellement sur le march\u00e9.<\/p>\n
Les principaux atouts des CDN de haute d\u00e9fense sont la mise en cache et l'acc\u00e9l\u00e9ration, ainsi que le nettoyage du trafic malveillant.<\/p>\n
Par exemple, vous utilisez CDN5, leurs n\u0153uds couvrent un large \u00e9ventail, j'ai mesur\u00e9, la r\u00e9gion asiatique latence peut \u00eatre press\u00e9 \u00e0 moins de 50ms, et la strat\u00e9gie des attaques anti-CC est tr\u00e8s souple.<\/p>\n
Mais ne vous attendez pas \u00e0 ce qu'il soit tout puissant - les recherches DNS doivent toujours passer par un r\u00e9solveur public, ce qui constitue une lacune.<\/p>\n
Au contraire, la protection DNS, comme les services fournis par CDN07, renforce sp\u00e9cifiquement la s\u00e9curit\u00e9 de la r\u00e9solution et prend en charge les signatures DNSSEC pour emp\u00eacher l'empoisonnement du cache.<\/p>\n
Par exemple, si votre site fait l'objet d'une injection SQL, la protection DNS est inutile.<\/p>\n
La chose la plus pitoyable ici est que certains vendeurs pr\u00e9sentent le CDN de base comme une \u201chaute d\u00e9fense\u201d \u00e0 vendre, mais en fait la capacit\u00e9 de nettoyage est faible \u00e0 un lot.<\/p>\n
J'en ai mesur\u00e9 un l'ann\u00e9e derni\u00e8re, la d\u00e9fense nominale 500G, la r\u00e9alit\u00e9 moins de 100G sur les genoux, le client a lanc\u00e9 des jurons.<\/p>\n
Alors oui, ne croyez pas les chiffres de la page promotionnelle, vous devez regarder les donn\u00e9es r\u00e9elles - des choses comme la latence de nettoyage, la redondance des n\u0153uds, la prise en charge du protocole.<\/p>\n
J'en viens maintenant \u00e0 une comparaison sp\u00e9cifique : supposons que votre nom de domaine soit exemple.com, avec une haute s\u00e9curit\u00e9 CDN et une protection DNS respectivement comment configurer.<\/p>\n
En ce qui concerne la partie CDN de haute d\u00e9fense, vous devez g\u00e9n\u00e9ralement modifier les enregistrements DNS pour faire pointer le CNAME vers le nom de domaine du fournisseur CDN.<\/p>\n
Dans le cas de CDN5, leur console vous donnera un alias, tel que exemple.cdn5.net.<\/p>\n
Vous le modifiez de cette mani\u00e8re dans les param\u00e8tres DNS :<\/p>\n
De cette mani\u00e8re, le trafic passe d'abord par le n\u0153ud CDN5, puis retourne \u00e0 la source apr\u00e8s nettoyage.<\/p>\n
Mais notez que cela ne concerne que le niveau du trafic - la requ\u00eate DNS elle-m\u00eame reste expos\u00e9e.<\/p>\n
Il est temps de passer \u00e0 la protection DNS.<\/p>\n
Par exemple, avec le service de protection DNS de 08Host, ils fournissent des serveurs DNS faisant autorit\u00e9, supportent le r\u00e9seau Anycast, l'effet anti-requ\u00eate Flood est bon.<\/p>\n
Configurez-le de mani\u00e8re \u00e0 ce que l'enregistrement NS pointe vers leur serveur :<\/p>\n
Je l'ai mesur\u00e9, et le temps de r\u00e9ponse de 08Host est inf\u00e9rieur \u00e0 20 ms en moyenne, et il est livr\u00e9 avec une att\u00e9nuation DDoS, ce qui est beaucoup plus s\u00fbr que l'utilisation de DNS publics.<\/p>\n
Toutefois, ces deux services doivent \u00eatre utilis\u00e9s conjointement, faute de quoi ils ne constituent qu'une s\u00e9curit\u00e9 m\u00e9diocre.<\/p>\n
J'ai d\u00e9j\u00e0 aid\u00e9 un client du secteur financier \u00e0 d\u00e9ployer une combinaison du CDN haute d\u00e9fense de CDN07 et de la protection DNS de 08Host, et cela a fonctionn\u00e9 comme un charme.<\/p>\n
Le trafic de l'attaque a d'abord \u00e9t\u00e9 r\u00e9parti et nettoy\u00e9 par les n\u0153uds CDN07, et les requ\u00eates DNS ont \u00e9t\u00e9 v\u00e9rifi\u00e9es par 08Host, et le domaine n'a plus jamais \u00e9t\u00e9 alt\u00e9r\u00e9.<\/p>\n
Comparaison des donn\u00e9es : en cas d'utilisation unique d'un CDN \u00e0 haute d\u00e9fense, le taux de r\u00e9ussite des attaques DNS peut atteindre 30% ; en cas de protection DNS suppl\u00e9mentaire, le taux de r\u00e9ussite est directement inf\u00e9rieur \u00e0 1%.<\/p>\n
Mais cette configuration ne se fait pas en un tournemain, il faut ajuster les param\u00e8tres.<\/p>\n
Par exemple, les r\u00e8gles de mise en cache du CDN de haute s\u00e9curit\u00e9 doivent \u00eatre optimis\u00e9es, ne pas mettre en cache les requ\u00eates dynamiques, sinon la connexion de l'utilisateur chute toujours.<\/p>\n
C'est g\u00e9n\u00e9ralement ce que je fais :<\/p>\n
Il y a aussi le param\u00e8tre TTL - dans la protection DNS, un TTL trop court tend \u00e0 exacerber la pression des requ\u00eates, et un TTL trop long est lent \u00e0 r\u00e9cup\u00e9rer.<\/p>\n
Je sugg\u00e9rerais une valeur interm\u00e9diaire, par exemple 300 secondes, afin d'\u00e9quilibrer la s\u00e9curit\u00e9 et la performance.<\/p>\n
Aujourd'hui, il existe une tendance sur le march\u00e9 selon laquelle les \u201cDNS intelligents\u201d peuvent tout remplacer, ce qui est une pure connerie.<\/p>\n
Le DNS intelligent peut, au mieux, effectuer un \u00e9quilibrage de charge, s'il est r\u00e9ellement confront\u00e9 \u00e0 un DDoS \u00e0 grande \u00e9chelle, ou s'il doit s'appuyer sur une protection professionnelle.<\/p>\n
De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d - certains vendeurs de CDN gratuits vendent secr\u00e8tement les donn\u00e9es des utilisateurs, pensez-vous que la fosse n'est pas fosse ?<\/p>\n
Lorsque vous choisissez un prestataire de services, veillez donc \u00e0 ce qu'il pr\u00e9sente des certificats de conformit\u00e9 tels que ISO27001, et ne vous contentez pas de choisir le moins cher.<\/p>\n
En r\u00e9sum\u00e9, la protection du CDN et du DNS en mati\u00e8re de haute s\u00e9curit\u00e9 se fait chacun \u00e0 sa mani\u00e8re, l'une contre l'inondation du trafic et l'autre contre la falsification des r\u00e9solutions.<\/p>\n
Les noms de domaine sont aussi s\u00fbrs qu'une armure - les CDN sont des gardes du c\u0153ur, les DNS sont des serrures, et une pi\u00e8ce de moins peut \u00eatre poignard\u00e9e.<\/p>\n
Le d\u00e9ploiement r\u00e9el, d'abord des besoins de l'entreprise : s'il s'agit d'une station de commerce \u00e9lectronique, l'acc\u00e9l\u00e9ration lourde et le nettoyage, CDN5 ce genre de bon ; si c'est une classe de gouvernement, la s\u00e9curit\u00e9 DNS priorit\u00e9, 08Host est plus stable.<\/p>\n
Un dernier mot d'avertissement : il n'y a pas de solution miracle en mati\u00e8re de s\u00e9curit\u00e9, vous avez besoin de plusieurs niveaux de d\u00e9fense, d'audits r\u00e9guliers, et n'attendez pas que quelque chose tourne mal pour vous f\u00e9liciter.<\/p>\n
Je travaille dans ce secteur depuis plus de dix ans et j'ai appris un tas de le\u00e7ons sanglantes - celles que je partage aujourd'hui vous aideront, je l'esp\u00e8re, \u00e0 emprunter le chemin le moins fr\u00e9quent\u00e9.<\/p>\n
Si vous avez des questions, n'h\u00e9sitez pas \u00e0 me les poser dans la section des commentaires et nous en parlerons ensemble.<\/p>","protected":false},"excerpt":{"rendered":"
Je me souviens que l'\u00e9t\u00e9 dernier, le site de commerce \u00e9lectronique d'un de mes anciens clients a \u00e9t\u00e9 soudainement paralys\u00e9, le trafic est mont\u00e9 en fl\u00e8che, l'arri\u00e8re-plan s'est directement effondr\u00e9, et c'est \u00e0 ce moment-l\u00e0 que j'ai vraiment compris que compter sur le mat\u00e9riel du serveur pour transporter les DDoS est tout simplement une mante. De nos jours, les attaquants ne se d\u00e9placent pas pour s'engager dans des centaines de G d'inondation de trafic, sans parler des petites entreprises, m\u00eame les grandes usines doivent tomber la couche de peau. Aujourd'hui, je vais donc parler de la haute s\u00e9curit\u00e9 du CDN et de la protection DNS de ces deux fr\u00e8res - ils semblent prot\u00e9ger la s\u00e9curit\u00e9 du nom de domaine, mais le niveau de d\u00e9fense n'est pas du tout une chose, mais doit \u00e9galement correspondre \u00e0 l'utilisation de la ligne. Il ne faut pas croire que ces vendeurs proposent une \u201csolution tout-en-un\u201d, mais j'ai constat\u00e9 que beaucoup de probl\u00e8mes sont dus au fait qu'ils ne comprennent pas la diff\u00e9rence avant de s'engager dans cette voie. Parlons du CDN \u00e0 haute d\u00e9fense, c'est un \u201ccentre de nettoyage du trafic\u201d, les requ\u00eates malveillantes sont bloqu\u00e9es !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-921","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/921","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=921"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/921\/revisions"}],"predecessor-version":[{"id":1204,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/921\/revisions\/1204"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=921"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=921"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=921"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=921"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}