Як CDN захищають сайти з відмовою від атак DDoS?

9

Я в процесі розробки веб-додатку Java, який, ймовірно, закінчуватиму розгортанням в Google App Engine (GAE). Приємна річ у GAE - це те, що я дійсно не повинен турбуватися про зміцнення свого додатка від жахливої ​​DDoS-атаки - я просто вказую "платіжну стелю", і якщо мій трафік досягає цієї стелі (DDoS чи іншим чином), GAE просто закриє мою програму. Іншими словами, GAE по суті буде масштабуватися до будь-якої суми, поки ви просто не зможете дозволити собі більше тримати роботу програми.

Тому я намагаюся запланувати випадок надзвичайних ситуацій, за умови, якщо я натисну цей платіж рахунків і GAE закриє додаток, налаштування DNS мого веб-домену веб-додатка "перемкнеться" на іншу, не GAE IP-адресу. Деякі початкові дослідження показали, що певні CDN, наприклад CloudFlare, пропонують послуги саме для цієї ситуації. В основному я просто зберігаю свої налаштування DNS з ними, і вони надають API, на який я можу потрапити, щоб автоматизувати процедуру відмови. Таким чином, якщо я виявляю, що я на 99% встановлюю свій платіж для мого додатка GAE, я можу натиснути цей CloudFlare API, і CloudFlare динамічно змінить мої налаштування DNS, щоб вказувати з серверів GAE на якусь іншу IP-адресу.

Моїм початковим випадком було б перехід на "лише для читання" (лише статичного вмісту) версії мого веб-додатку, розміщеного десь в іншому місці, можливо, GoDaddy або Rackspace.

Але тоді мені раптом заснуло: якщо DDoS-атаки націлюють на доменне ім’я, яку різницю це має, якщо я перейду з моєї IP-адреси GAE на мою (скажімо) IP-адресу GoDaddy? По суті, аварійний ремонт не зробив би нічого іншого, крім того, що дозволяє зловмисникам DDoS збити мій резервний / GoDaddy сайт!

Іншими словами, зловмисники DDoS координують атаку на мій веб-додаток, розміщений на GAE, на www.blah-whatever.com, який справді є IP-адресою 100.2.3.4 . Вони призводять до того, що мій трафік зростає до 98% моєї платіжної стелі, а мій користувацький монітор запускає помилку CloudFlare від 100.2.3.4 до 105.2.3.4 . Зловмисників DDoS це не хвилює! Вони все ще розпочинають атаку проти www.blah-whatever.com! Атака DDoS триває!

Тому я запитую: який захист пропонують такі CDN, як CloudFlare, щоб - коли вам потрібно перейти на інший DNS - ви не загрожуєте тим же самим, продовжували DDoS-атаку? Якщо такий захист існує, чи існують якісь технічні обмеження (наприклад, лише для читання тощо), розміщені на веб-сайті з відмовою? Якщо ні, то які вони корисні ?! Спасибі заздалегідь!

java  web-applications  security  google-app-engine 
пастух
джерело
Великий Q! Про це можна дізнатися багато :-)
Martijn Verburg

Відповіді:

6

У цій конфігурації вони не захищають від DDoS-атак. CDN не "захищає" від DDoS-атаки - вони просто пом’якшують його ефекти, маючи багато апаратного забезпечення та пропускну здатність, щоб кинути проблему. Коли CDN змінює параметри DNS, щоб вказувати безпосередньо на ваш сервер, CDN більше не обробляє запити для вашого веб-сайту - клієнти ніколи не бачать IP-адресу CDN, тому CDN вже не може запропонувати вам захист.

Що стосується "чого вони хороші" - DDoS-атаки не є сенсом використання CDN. Сенс використання CDN полягає в тому, щоб зменшити затримку між тим, коли хтось запитує великий фрагмент даних з одного з ваших веб-серверів, і тією особою, яка отримує дані, скорочуючи географічну відстань між сервером та клієнтом. Це оптимізація парфумів, яку ви можете зробити; але він дійсно не розроблений для забезпечення безпеки від DDoS.

Біллі ONeal
джерело
Дякуємо @Billy ONeal (+1) - так підсумовую: я хотів би, щоб мій "DDoS Failover" фактично перенаправляв запити на сервери CDN, щоб вони могли кинути достатню кількість апаратної / пропускної здатності при проблемі, щоб веб-сайт працював і працював; хоча це не основна функція CDN. Це більш-менш правильно? Якщо так, швидке запитання про наступне: якщо я пішов цією маршрутом і мій перехід на відмову перейшов на CDN, чи моє веб-додаток могло б продовжувати функціонувати як звичайне, чи тільки CDN подаватиме статичний вміст (тобто мій веб-додаток стане " лише читати "тощо)? Знову дякую!
герпельдерп
@herpylderp: Ну, це залежить від характеру сайту. CDN обробляють лише повністю статичний вміст. Якщо ваш сервер робить "цікаві речі", то CDN вам не допоможе. Зазвичай ви не запускаєте код на серверах CDN. Наприклад, на сайтах обміну стеками зображення для кожного з сайтів розміщуються на sstatic.com, CDN, але головний сайт розміщується у власних центрах обробки даних StackExchange.
Біллі ONeal
1
Зазвичай CDN стягується з урахуванням обсягу, тому ви просто пересуваєте рахунки від одного постачальника до іншого. AFAIK, пом'якшення DDoS зазвичай передбачає автоматичне тимчасове блокування діапазонів IP.
Joeri Sebrechts
Дякую @Joeri Sebrechts (+1) - чи є різниця між "IP-діапазоном" та "IP-підмережею" чи вони однакові? Я запитую, тому що GAE дозволяє блокувати IP-підмережі, і я сподіваюся, що саме про це ви говорите.
herpylderp
7

Я працюю в Incapsula , компанії Cloud Security, яка також надає послуги з прискорення на основі CDN (наприклад, CF).

Хочу сказати, що хоча (як правильно заявив @Billy ONeal) CDN сам по собі не забезпечує захисту DDoS, хмарна проксі-мережа є ДУЖЕ ефективним засобом пом'якшення DDoS.

І так, у випадку DDoS на Cloud CDN, не "CDN", а "Cloud" захищає вас, беручи на себе увесь додатковий трафік, що генерується DDoS, при цьому все ж дозволяючи доступ до вашого сайту з різних POPs по всьому світу.

Крім того, оскільки це рішення проксі-сервера на передньому воріті, ця технологія може бути використана для пом’якшення рівнів 3-4 мережевих атак DDoS (тобто SYN Floods), які використовують підроблені IP-адреси для надсилання численних запитів SYN на ваші сервери.

У цьому випадку проксі не встановить з'єднання, поки не буде отримано відповідь ACK, таким чином, запобігаючи потоку SYN потоку.

Існують також інші способи використання Cloud для захисту веб-сайтів (наприклад, Блокування Блота Бота, WAF на основі хмар), а деякі з них також можуть бути використані для пом'якшення та запобігання DDoS (зупинка ботів сканерів є хорошим прикладом для подальшого), але Тут головне розуміти, що це все базується не на CDN, а на хмарній технології.

Ігал Зейфман
джерело
1
Вау - спасибі @Igal Zeifman (+1) - чудова відповідь! Кілька наступних питань для вас: (1) Коли ви говорите " проксі-мережа " або " проксі-сервер ", я вважаю, що ви маєте на увазі, що хмара надає сервери, які виступають посередниками між клієнтами та моїми серверами додатків, так? Якщо ви не можете пояснити, будь ласка? І (2) чи надає CloudFlare та / або Incapsula функціональність для цих інших служб (зупинка / блокування ботів, WAF тощо)? Знову дякую!
herpylderp
Також під " POP " я припускаю, що ви маєте на увазі "Окуляри присутності", так?
herpylderp
Привіт, спасибі Цінується. Щоб відповісти на ваші запитання: Front Gate Proxy: термін "проксі" означає посередницькі відносини між вказаною мережею та вашим сайтом. Це означає, що мережа буде "сидіти" перед вашим сайтом (звідси "передні ворота") як перша лінія захисту, в основному отримуючи весь трафік 1-го і фільтруючи всі "погані речі", в нашому випадку за допомогою Bad Bot блокування правил та векторів, WAF тощо. У випадку DDoS ця мережа також допоможе врівноважити зайвий трафік, тим самим запобігаючи проблемам, пов’язаним з DDoS. (тобто збої) POP = Пункти присутності. Ви на 100% правильні.
Ігал Зейфман
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.