R\u00e9cemment, pour aider des clients \u00e0 faire face \u00e0 un \u00e9v\u00e9nement DDoS, j'ai rencontr\u00e9 le sc\u00e9nario classique : l'entreprise a \u00e9t\u00e9 soudainement p\u00e9n\u00e9tr\u00e9e, la station source a \u00e9t\u00e9 expos\u00e9e \u00e0 l'IP et m\u00eame le serveur de la base de donn\u00e9es a \u00e9t\u00e9 entra\u00een\u00e9 vers le bas. De nos jours, m\u00eame les CDN doivent \u2018pr\u00e9venir les co\u00e9quipiers\u2019, certains fournisseurs de services revendiquent une acc\u00e9l\u00e9ration globale, l'attaque revenant directement \u00e0 la source de l'IP expos\u00e9e, ce que l'on appelle la haute d\u00e9fense n'est qu'un faux-semblant.<\/p>\n
Pour les entreprises d'outre-mer, le choix d'un r\u00e9seau CDN de haute qualit\u00e9 ne d\u00e9pend pas du nombre de n\u0153uds, mais plut\u00f4t de la capacit\u00e9 de nettoyage et de la strat\u00e9gie de planification du r\u00e9seau. J'ai trait\u00e9 de nombreux cas d'entreprises multinationales et j'ai constat\u00e9 que 80 % des clients se trouvaient dans trois situations : la recherche aveugle de forfaits \u00e0 bas prix, la propagande cr\u00e9dule de la \u2018protection illimit\u00e9e\" et le fait d'ignorer le cryptage du lien de retour. L'ann\u00e9e derni\u00e8re, une promotion du commerce \u00e9lectronique pendant l'effondrement du trafic de 700 Gbps, est due \u00e0 l'utilisation d'un CDN bon march\u00e9, le trafic d'attaque n'a pas atteint le centre de nettoyage a bloqu\u00e9 le r\u00e9seau dorsal transfrontalier.<\/p>\n
Apr\u00e8s avoir test\u00e9 plus de vingt fournisseurs de services, j'en ai s\u00e9lectionn\u00e9 trois qui peuvent r\u00e9ellement jouer le r\u00f4le de CDN de haute d\u00e9fense. Ils se concentrent sur quatre dimensions : la densit\u00e9 de couverture du centre de nettoyage, l'algorithme d'acc\u00e9l\u00e9ration TCP, le temps de r\u00e9ponse d'urgence en cas de vuln\u00e9rabilit\u00e9, la prise en charge de l'orientation de l'optimisation de la Chine. Ne vous fiez pas aux fonctions fantaisistes de la console, la capacit\u00e9 anti-attaque d\u00e9pend enti\u00e8rement de l'infrastructure sous-jacente.<\/p>\n
Commen\u00e7ons par CDN5, un fournisseur allemand chevronn\u00e9. Cette famille a construit ses propres centres de nettoyage de niveau Tb dans trois centres principaux \u00e0 Francfort, Singapour et Los Angeles, et elle est particuli\u00e8rement dou\u00e9e pour faire face aux attaques de la couche applicative. L'ann\u00e9e derni\u00e8re, j'ai simul\u00e9 une inondation HTTP \u00e0 l'aide d'un outil de test de pression, et leur syst\u00e8me de routage intelligent peut envoyer le trafic vers les n\u0153uds de nettoyage en moins de 3 secondes. Le plus important est de fournir une fausse protection de l'IP source, l'attaquant ne peut tout simplement pas toucher l'emplacement r\u00e9el du serveur.<\/p>\n
L'exemple de configuration n\u00e9cessite de modifier la configuration de nginx pour qu'elle corresponde \u00e0 leur jeton de s\u00e9curit\u00e9 :<\/p>\n
Leur r\u00e9seau Anycast est dot\u00e9 d'une fonction de furtivit\u00e9 des ports, et le ping du nom de domaine ne renverra que l'IP du n\u0153ud de nettoyage dans le test r\u00e9el. co\u00fbteux mais d'un bon rapport qualit\u00e9-prix, le forfait le plus bas commence \u00e0 299 euros par mois, et convient aux entreprises financi\u00e8res.<\/p>\n
Le deuxi\u00e8me CDN07 recommand\u00e9, le plus grand avantage de cette perversion de la couverture des n\u0153uds am\u00e9ricains - 187 points POP dans le monde entier int\u00e9gr\u00e9 AWS, GCP et Azure n\u0153uds de bord. Particuli\u00e8rement adapt\u00e9 pour le trafic soudain \u00e9norme en direct et l'industrie du jeu, j'ai une fois aid\u00e9 un client de jeu configur\u00e9 leur fonction d'acc\u00e9l\u00e9ration dynamique, la latence des utilisateurs europ\u00e9ens et am\u00e9ricains directement de 380 ms \u00e0 89 ms.<\/p>\n
Leur base de r\u00e8gles WAF est mise \u00e0 jour extr\u00eamement rapidement, et vous pouvez voir de nouvelles r\u00e8gles de protection contre les vuln\u00e9rabilit\u00e9s ajout\u00e9es chaque semaine. N'oubliez pas d'activer leur fonction \u2018botnet challenge\", le trafic suspect\u00e9 d'attaque sera d'abord v\u00e9rifi\u00e9 par JS avant d'\u00eatre publi\u00e9. Le test a permis de bloquer efficacement l'attaque du crawler 90%, mais il convient de noter que cela peut affecter certains moteurs de recherche.<\/p>\n
La configuration de leurs fonctions de bord n\u00e9cessite l'\u00e9criture d'un simple morceau de logique :<\/p>\n
Passons maintenant au troisi\u00e8me 08Host, ce fournisseur de services singapourien est particuli\u00e8rement adapt\u00e9 aux entreprises de la r\u00e9gion Asie-Pacifique. Au Japon, \u00e0 Ta\u00efwan et \u00e0 Hong Kong, il dispose d'un grand nombre de lignes optimis\u00e9es CN2, dont la vitesse d'acc\u00e8s est comparable \u00e0 celle du CDN local. Le plus important est de fournir des certificats SSL gratuits et des services de lutte contre les attaques CC, qui ont d\u00e9j\u00e0 r\u00e9sist\u00e9 pendant quatre jours \u00e0 une attaque CC de dix millions de QPS.<\/p>\n
J'ai test\u00e9 leur algorithme d'acc\u00e9l\u00e9ration TCP, et il maintient une transmission stable sur un lien transfrontalier avec un taux de perte de paquets de 151 TP3T. La console est ridiculement simple, avec seulement trois commutateurs : protection DDoS, compression intelligente et blocage de zone. Id\u00e9al pour les \u00e9quipes de startups qui ne veulent pas s'embarrasser de d\u00e9tails techniques, le prix de 59 $ par mois inclut \u00e9galement un cr\u00e9dit de protection de 2Tbps.<\/p>\n
Veillez \u00e0 activer la fonction \u2018retour \u00e0 la source en toute s\u00e9curit\u00e9\" :<\/p>\n
Passons maintenant aux principales recommandations en mati\u00e8re de s\u00e9lection. Les entreprises financi\u00e8res pr\u00e9f\u00e8rent CDN5, dont la certification de conformit\u00e9 est la plus compl\u00e8te ; les jeux vid\u00e9o choisissent CDN07, dont la capacit\u00e9 de transport du trafic en rafale est la plus forte ; les utilisateurs de la r\u00e9gion Asie-Pacifique choisissent principalement 08Host, dont l'optimisation des temps de latence est en effet en place. Ne vous laissez pas abuser par la rh\u00e9torique de la \u2018protection illimit\u00e9e\", tous les CDN \u00e0 haute d\u00e9fense ont une limite cach\u00e9e, plus que le trafic nominal directement nul.<\/p>\n
Enfin, quelques pi\u00e8ges sont rappel\u00e9s : \u00e9viter d'utiliser des paquets IP partag\u00e9s, sinon il est facile d'\u00eatre impliqu\u00e9 par les voisins ; veiller \u00e0 tester si le cryptage du lien de retour est vraiment efficace ; v\u00e9rifier la port\u00e9e des annonces BGP du fournisseur de services, et plus le n\u0153ud de nettoyage couvre d'ASN, mieux c'est. L'ann\u00e9e derni\u00e8re, un client a choisi un certain CDN de niche pour \u00e9conomiser de l'argent, et le r\u00e9sultat a \u00e9t\u00e9 que le trafic d'attaque a \u00e9t\u00e9 bloqu\u00e9 par l'op\u00e9rateur en amont juste apr\u00e8s 300G.<\/p>\n
L'effet de protection r\u00e9el d\u00e9pend \u00e9galement du combat r\u00e9el. Il est recommand\u00e9 d'effectuer une simulation de test de pression avant que l'entreprise ne soit en ligne. J'utilise couramment un mode d'attaque mixte : SYN Flood + HTTP Slowloris + random URI crawler. Une fois, j'ai mesur\u00e9 les d\u00e9fauts des r\u00e8gles WAF d'un CDN bien connu, leur protection AI a m\u00eame \u00e9t\u00e9 contourn\u00e9e par un cookie sp\u00e9cial.<\/p>\n
Aujourd'hui, ces fournisseurs proposent des essais gratuits, mais n'oubliez pas de toujours v\u00e9rifier les param\u00e8tres cl\u00e9s pendant la p\u00e9riode de test : le taux de retransmission TCP des n\u0153uds de Hong Kong vers Los Angeles, la latence de r\u00e9ponse des centres de nettoyage europ\u00e9ens et le routage BGP des n\u0153uds asiatiques vers China Mobile. Les jolis graphiques de surveillance pr\u00e9sent\u00e9s par certains fournisseurs sont en fait des itin\u00e9raires de d\u00e9monstration optimis\u00e9s.<\/p>\n
En fin de compte, le CDN de haute d\u00e9fense n'est qu'une partie du syst\u00e8me de s\u00e9curit\u00e9, mais aussi du pare-feu d'application Web, de l'architecture de confiance z\u00e9ro et du processus d'intervention d'urgence. La derni\u00e8re fois que j'ai vu un cas scandaleux, le client a d\u00e9pens\u00e9 beaucoup d'argent pour acheter un CDN de haut niveau, mais \u00e0 cause de la fuite du code source, l'IP de la station source a \u00e9t\u00e9 expos\u00e9e - c'est comme acheter une porte \u00e0 l'\u00e9preuve des balles, mais la cl\u00e9 est ins\u00e9r\u00e9e dans la porte.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, pour aider des clients \u00e0 faire face \u00e0 un \u00e9v\u00e9nement DDoS, j'ai rencontr\u00e9 le sc\u00e9nario classique : l'entreprise a \u00e9t\u00e9 soudainement p\u00e9n\u00e9tr\u00e9e, la station source a \u00e9t\u00e9 expos\u00e9e \u00e0 l'IP et m\u00eame le serveur de la base de donn\u00e9es a \u00e9t\u00e9 entra\u00een\u00e9 vers le bas. De nos jours, m\u00eame les CDN doivent \u2018pr\u00e9venir les co\u00e9quipiers\u2019, certains fournisseurs de services revendiquent une acc\u00e9l\u00e9ration globale, l'attaque revenant directement \u00e0 la source de l'IP expos\u00e9e, ce que l'on appelle la haute d\u00e9fense n'est qu'un faux-semblant. Pour les entreprises d'outre-mer, le choix d'un CDN \u00e0 haute d\u00e9fense ne d\u00e9pend pas du nombre de n\u0153uds, mais plut\u00f4t de la capacit\u00e9 de nettoyage et de la strat\u00e9gie de programmation du r\u00e9seau. J'ai trait\u00e9 de nombreux cas d'entreprises multinationales et j'ai constat\u00e9 que 80 % des clients se trouvaient dans trois situations : la recherche aveugle de forfaits \u00e0 bas prix, la propagande cr\u00e9dule de la \u2018protection illimit\u00e9e\" et l'ignorance du cryptage du lien de retour. L'ann\u00e9e derni\u00e8re, lors d'une promotion du commerce \u00e9lectronique, le trafic s'est effondr\u00e9 \u00e0 700 Gbps, \u00e0 cause de l'utilisation d'un CDN bon march\u00e9, le trafic d'attaque n'a pas atteint le centre de nettoyage et a bloqu\u00e9 le r\u00e9seau dorsal transfrontalier. Mesur\u00e9 \u00e0 vingt<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-955","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=955"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/955\/revisions"}],"predecessor-version":[{"id":1170,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/955\/revisions\/1170"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=955"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}