R\u00e9cemment, j'ai aid\u00e9 des amis \u00e0 r\u00e9soudre le probl\u00e8me de l'accrochage DDoS de leur site web et j'ai d\u00e9couvert un ph\u00e9nom\u00e8ne int\u00e9ressant : beaucoup de gens d\u00e9pensent beaucoup d'argent pour acheter un CDN \u00e0 haute d\u00e9fense, mais la configuration de la liaison du nom de domaine n'est pas appropri\u00e9e, soit le trafic n'a pas acc\u00e9l\u00e9r\u00e9 le n\u0153ud, soit le pare-feu n'a pas eu d'effet. Le cas le plus scandaleux est celui d'une station de commerce \u00e9lectronique, \u00e9quip\u00e9e d'un CDN, mais dont l'IP de la station source est directement expos\u00e9e, l'attaquant ayant contourn\u00e9 la protection pour paralyser directement le serveur - de nos jours, m\u00eame le CDN doit \u00eatre \u201canti-t\u00e9moin\u201d.<\/p>\n
En fait, la liaison de nom de domaine du CDN de haute d\u00e9fense n'est pas si myst\u00e9rieuse, mais les d\u00e9tails d\u00e9terminent la vie et la mort. J'ai trait\u00e9 le cas, 10 probl\u00e8mes de configuration 7 sur 10 dans le lien de liaison de nom de domaine. Ne regardez pas la console du fournisseur fantaisiste, la logique de base des \u00e9tapes, comprendre une fois que vous pouvez manger tous les fournisseurs.<\/p>\n
Lancez d'abord un jet d'eau froide :Ne pensez jamais qu'il vous suffit d'indiquer un nom de domaine au fournisseur de CDN pour en finir !<\/strong>Le processus complet comprend trois liens essentiels : configuration de la plate-forme + r\u00e9solution DNS + validation. Le processus complet comprend \u201cla configuration de la plateforme + la r\u00e9solution DNS + la validation des trois maillons essentiels, toute \u00e9tape manquante pouvant \u00eatre renvers\u00e9e\u201d. Ci-dessous, j'ai test\u00e9 CDN5, CDN07 et 08Host, trois fournisseurs, \u00e0 titre d'exemple, pour d\u00e9manteler le fonctionnement de la porte de liaison multi-domaine.<\/p>\n \u00c9tape 1 : Configuration de la plate-forme Principaux \u00e9cueils<\/strong><\/p>\n Ces param\u00e8tres sont les plus faciles \u00e0 utiliser lors de l'ajout d'un nom de domaine \u00e0 la console CDN :<\/p>\n Quel est le type de site source \u201cIP\u201d ou \u201cDomaine\u201d ? Si la source est un serveur cloud, il est fortement recommand\u00e9 d'indiquer l'adresse IP. J'ai constat\u00e9 que le nom de domaine de CDN07 vers la source a un d\u00e9lai de r\u00e9solution r\u00e9cursif, et j'ai rencontr\u00e9 des cas o\u00f9 la source \u00e9choue en raison de la mise en cache DNS. Au contraire, 08Host a optimis\u00e9 le nom de domaine vers la source, ce qui convient aux sc\u00e9narios d'\u00e9quilibrage de charge multi-serveurs.<\/p>\n Les applications web utilisent g\u00e9n\u00e9ralement 80\/443, mais certains ports commerciaux sp\u00e9ciaux doivent \u00eatre renseign\u00e9s manuellement. L'ann\u00e9e derni\u00e8re, un client de jeu a mis en place un CDN apr\u00e8s que le joueur ne puisse pas se connecter, c'est parce que j'ai oubli\u00e9 de remplir le port UDP 27015.<\/p>\n La liaison du certificat HTTPS est une cha\u00eene. Si vous choisissez \u201cforce jump to HTTPS\u201d, vous devez d'abord t\u00e9l\u00e9charger le certificat, l'interface de gestion des certificats de CDN5 est profond\u00e9ment cach\u00e9e, vous devez cliquer sur \u201cSecurity Configuration\u201d - \u201cCertificate Management\u201d pour t\u00e9l\u00e9charger d'abord le fichier PEM, puis revenir pour cocher la case \"Force Jump to HTTPS\". Vous devez cliquer sur \"Configuration de la s\u00e9curit\u00e9\"-\"Gestion des certificats\" pour t\u00e9l\u00e9charger le fichier PEM, puis revenir pour cocher la case \"Forcer le saut\". J'ai vu des personnes bloqu\u00e9es \u00e0 cette \u00e9tape pendant trois heures, tellement en col\u00e8re qu'elles ont directement pulv\u00e9ris\u00e9 les bons de travail du service client\u00e8le.<\/p>\n La liaison multi-domaine a une astuce paresseuse : CDN5 prend en charge l'importation par lots de noms de domaine, s\u00e9par\u00e9s par des virgules sur la ligne. Mais notez que chaque nom de domaine doit \u00eatre configur\u00e9 ind\u00e9pendamment du site source, ne vous attendez pas \u00e0 ce que l'op\u00e9ration par lots puisse \u00eatre h\u00e9rit\u00e9e des param\u00e8tres - j'ai une fois un souffle d'importation de 50 noms de domaine, les r\u00e9sultats de tous pointant vers le m\u00eame serveur de test, et a presque caus\u00e9 un accident de production.<\/p>\n \u00c9tape 2 : Fonctionnement fauve de la r\u00e9solution DNS<\/strong><\/p>\n Apr\u00e8s la configuration de la plate-forme, vous recevrez l'adresse CNAME, cette fois-ci pour aller du c\u00f4t\u00e9 du fournisseur de services DNS pour modifier l'enregistrement de r\u00e9solution. Le point est \u00e0 venir :Ne vous empressez pas de supprimer l'enregistrement A<\/strong>! Ajoutez d'abord l'enregistrement CNAME, puis supprimez l'enregistrement original apr\u00e8s l'expiration du TTL. Il est recommand\u00e9 d'utiliser la commande dig pour v\u00e9rifier que l'analyse fonctionne :<\/p>\n Si vous voyez que la sortie contient le nom de domaine du fournisseur CDN, cela signifie que la r\u00e9solution a pris effet. Le suffixe CNAME de 08Host est .cdn08.net, et CDN5 utilise .cdn5gb.com, donc ne vous y trompez pas.<\/p>\n Que faire lorsque vous avez plusieurs sous-domaines \u00e0 lier ? Gagnez du temps et de l'\u00e9nergie avec la r\u00e9solution par caract\u00e8res g\u00e9n\u00e9riques. Ajoutez un enregistrement CNAME de *.cdn.youdomain.com au DNS, et vous pourrez alors faire pointer tous les sous-domaines vers le CDN. Cependant, CDN07 facture un suppl\u00e9ment pour les domaines wildcard, ce qui est un peu pitoyable.<\/p>\n Phase III : Validation des moyens ultimes d'entr\u00e9e en vigueur<\/strong><\/p>\n Il ne fonctionne pas imm\u00e9diatement apr\u00e8s la configuration, j'ai un combo de validation :<\/p>\n V\u00e9rifiez d'abord l'en-t\u00eate HTTP avec curl :<\/p>\n Recherchez le logo du fournisseur de CDN dans l'en-t\u00eate de retour (par exemple X-CDN : CDN5). Si vous voyez l'en-t\u00eate Server expos\u00e9 par l'IP source, d\u00e9p\u00eachez-vous de v\u00e9rifier la configuration.<\/p>\n Deuxi\u00e8mement, l'outil Ping global est utilis\u00e9 pour d\u00e9tecter la couverture des n\u0153uds. Les n\u0153uds asiatiques de 08Host ont d'excellentes performances en mati\u00e8re de latence, mais les n\u0153uds europ\u00e9ens et am\u00e9ricains sont occasionnellement pomp\u00e9s. Le r\u00e9seau Anycast de CDN5 a une latence globale plus stable, ce qui est adapt\u00e9 au commerce international.<\/p>\n Enfin, vous devez tester le trafic r\u00e9el ! Dans la console du CDN, ouvrez la surveillance en temps r\u00e9el, leur propre outil de test de pression pour simuler la demande, afin d'observer si le trafic atteint le n\u0153ud de protection. J'ai vu la situation la plus scandaleuse : toute la configuration est normale, mais \u00e0 cause du cache local du DNS, le trafic de test n'est pas all\u00e9 jusqu'au CDN.<\/p>\n Un jeu de haut niveau sur la liaison multidomaine<\/strong><\/p>\n CDN5 et 08Host fournissent tous deux une API REST compl\u00e8te, et vous pouvez \u00e9crire un script en Python pour automatiser le d\u00e9ploiement :<\/p>\n La r\u00e9partition du poids est \u00e9galement une comp\u00e9tence pratique. Par exemple, le trafic du site web officiel est divis\u00e9 en CDN5, la distribution vid\u00e9o en 08Host, l'interface API en CDN07. Gr\u00e2ce \u00e0 la fonction de r\u00e9solution de poids du DNS, vous pouvez r\u00e9aliser le d\u00e9tournement du trafic et le basculement.<\/p>\n Un r\u00e9sum\u00e9 des le\u00e7ons tir\u00e9es du sang et des larmes<\/strong><\/p>\n Enfin, je voudrais dire quelques mots : Apr\u00e8s que le nom de domaine est li\u00e9, vous devez v\u00e9rifier la validit\u00e9 du certificat r\u00e9guli\u00e8rement ! \u00c9tablissez un calendrier pour rappeler le renouvellement 30 jours \u00e0 l'avance ; ne laissez pas fuir l'IP de la station source dans la console CDN, certains fournisseurs de la fonction \u201ctest back to the source\u201d exposeront l'adresse IP ; rencontr\u00e9 une attaque sur l'ajout temporaire du nom de domaine \u00e0 \u00eatre prudent, j'ai une fois serr\u00e9 ma main pour prot\u00e9ger le nom de domaine supprim\u00e9 par erreur, r\u00e9sultant en 10 minutes d'\u00eatre frapp\u00e9 dans un trou noir.<\/p>\n Le CDN haute d\u00e9fense n'est pas une solution miracle, lier le nom de domaine n'est que la premi\u00e8re \u00e9tape d'un long voyage. L'effet r\u00e9el de la protection d\u00e9pend de la configuration des r\u00e8gles, de la strat\u00e9gie de nettoyage du trafic et de la vitesse de r\u00e9ponse de l'op\u00e9ration et de la maintenance. Il est recommand\u00e9 aux d\u00e9butants de s'entra\u00eener d'abord avec les offres gratuites de 08Host, puis de se familiariser avec l'environnement de production. Apr\u00e8s tout -<\/p>\n Si vous le configurez mal, l'argent n'aura servi \u00e0 rien.<\/strong><\/p>","protected":false},"excerpt":{"rendered":" R\u00e9cemment, j'ai aid\u00e9 des amis \u00e0 r\u00e9soudre le probl\u00e8me de l'accrochage DDoS de leur site web et j'ai d\u00e9couvert un ph\u00e9nom\u00e8ne int\u00e9ressant : beaucoup de gens d\u00e9pensent beaucoup d'argent pour acheter un CDN \u00e0 haute d\u00e9fense, mais la configuration de la liaison du nom de domaine n'est pas appropri\u00e9e, soit le trafic n'a pas acc\u00e9l\u00e9r\u00e9 le n\u0153ud, soit le pare-feu n'a pas eu d'effet. Le cas le plus scandaleux est celui d'une station de commerce \u00e9lectronique, \u00e9quip\u00e9e d'un CDN, mais dont l'IP de la station source est directement expos\u00e9e, l'attaquant ayant contourn\u00e9 la protection pour atteindre directement le serveur paralys\u00e9 - de nos jours, m\u00eame le CDN doit \u00eatre \u201canti-attaquant\u201d. En fait, la liaison de domaine CDN \u00e0 haute d\u00e9fense n'est pas si myst\u00e9rieuse, mais les d\u00e9tails d\u00e9terminent la vie et la mort. J'ai trait\u00e9 le cas de 10 probl\u00e8mes de configuration, 7 sur 10 dans le lien de liaison du nom de domaine. Ne regardez pas la console fantaisiste du fournisseur, la logique de base des \u00e9tapes, comprendre une fois que vous pouvez manger tous les fournisseurs. Tout d'abord, versez de l'eau froide : ne pensez pas que les fournisseurs de CDN remplissent un nom de domaine \u00e0 la fin de l'affaire !<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-981","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/981","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=981"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/981\/revisions"}],"predecessor-version":[{"id":1144,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/981\/revisions\/1144"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=981"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=981"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=981"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=981"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}