CDN'ler yük devretme sitelerini DDoS saldırılarına karşı nasıl korur?

9

Muhtemelen Google App Engine'e (GAE) dağıtım yapacağım bir Java web uygulaması için tasarım sürecindeyim. GAE ile ilgili güzel bir şey, uygulamamı korkunç DDoS saldırısından güçlendirmekten endişelenmem gerekmiyor - sadece bir "faturalandırma tavanı" belirtiyorum ve trafiğim bu tavana (DDoS veya başka bir şekilde) ulaşıyorsa, GAE sadece uygulamamı kapatacak. Diğer bir deyişle, GAE, uygulamayı daha uzun süre çalışmaya devam etmeyi göze alamayacak kadar temelde herhangi bir miktara ölçeklenir.

Bu nedenle, bu faturalandırma tavanına basarsam ve GAE uygulamamı kapatırsa, web uygulaması alan adı DNS ayarlarım, GAE olmayan başka bir IP adresine "başarısız" bir durum planlamaya çalışıyorum. Bazı ilk araştırmalar CloudFlare gibi bazı CDN'lerin bu durum için hizmet sunduğunu göstermiştir. Temel olarak, DNS ayarlarımı onlarla birlikte saklıyorum ve yük devretme prosedürünü otomatikleştirmek için vurabileceğim bir API sağlıyorlar. Bu nedenle, GAE uygulamam için faturalandırma tavanımda% 99'um olduğunu tespit edersem, bu CloudFlare API'sine vurabilirim ve CloudFlare, GAE sunucularından başka bir IP adresine işaret etmek için DNS ayarlarımı dinamik olarak değiştirir.

Başlangıç ​​durumum, web uygulamamın belki de GoDaddy veya Rackspace tarafından barındırılan "salt okunur" (yalnızca statik içerik) sürümüne yük devretmektir.

Ama sonra aniden üzerime düştü: DDoS saldırıları etki alanı adını hedeflerse, GAE IP adresimden (örneğin) GoDaddy IP adresime geçersem ne fark eder? Aslında, yük devretme DDoS saldırganlarının yedek / GoDaddy sitemi indirmelerine izin vermek dışında hiçbir şey yapmaz!

Başka bir deyişle, DDoS saldırganları web uygulamamda GAE tarafından barındırılan ve www.blah-whatever.comgerçekte 100.2.3.4'lük bir IP adresi olan bir saldırıyı koordine eder . Trafiğimin faturalandırma tavanımın % 98'ine yükselmesine neden oluyorlar ve özel monitörüm 100.2.3.4'ten 105.2.3.4'e kadar bir CloudFlare yük devretmeyi tetikliyor . DDoS saldırganları umursamıyor! Hala bir saldırı düzenliyorlar www.blah-whatever.com! DDoS saldırısı devam ediyor!

Bu yüzden şunu soruyorum: CloudFlare gibi CDN'ler hangi korumayı sunuyor - böylece başka bir DNS'ye geçmeniz gerektiğinde - aynı, sürekli DDoS saldırısı için risk altında değilsiniz? Bu tür bir koruma varsa, yük devretme sitesine yerleştirilen herhangi bir teknik kısıtlama (ör. Salt okunur vb.) Var mı? Değilse, onlar ne kadar iyi ?! Şimdiden teşekkürler!

java  web-applications  security  google-app-engine 
herpylderp
kaynak
Harika Q! Bundan çok şey öğrenilebilir :-)
Martijn Verburg

Yanıtlar:

6

Bu yapılandırmadayken DDoS saldırılarına karşı koruma sağlamazlar. Bir CDN, bir DDoS saldırısına karşı "koruma" yapmaz - sadece sorunu çözmek için çok fazla donanım ve bant genişliğine sahip olarak etkilerini azaltır. CDN, DNS ayarlarını doğrudan sunucunuzu gösterecek şekilde değiştirdiğinde, CDN artık web siteniz için istekleri işlemez - istemciler CDN'nin IP'sini asla görmez, böylece CDN size artık koruma sunamaz.

"Onlar ne kadar iyi" kadar - DDoS saldırıları bir CDN kullanma noktası değildir. CDN kullanmanın amacı, sunucu ve istemci arasındaki coğrafi mesafeyi kısaltarak, birisi web sunucularınızdan birinden büyük miktarda veri istediği zaman ve veri alan kişi arasındaki gecikmeyi azaltmaktır. Yapabileceğiniz mükemmel bir optimizasyon; ancak DDoS'den güvenlik sağlamak için tasarlanmamıştır.

Billy ONeal
kaynak
Teşekkürler @Billy ONeal (+1) - Özetlemek gerekirse: Ben "DDoS Yük Devretme" aslında CDN sunucularına istekleri yeniden yönlendirmek istiyorum, böylece site ve çalışır tutmak için sorun yeterli donanım / bant genişliği atabilir; ancak bu bir CDN'nin birincil işlevi değildir. Bu aşağı yukarı doğru mu? Öyleyse, hızlı bir takip sorusu: Bu rotaya gittim ve yük devretme CDN'ye yönlendirirsem, web uygulamam normal gibi çalışmaya devam edebilir mi yoksa CDN'ler yalnızca statik içeriği geri sunabilir mi (yani, web uygulamam " salt okunur "vb.)? Tekrar teşekkürler!
herpylderp
@herpylderp: Bu sitenin doğasına bağlı. CDN'ler yalnızca tamamen statik içeriği işler. Sunucunuz "ilginç şeyler" yaparsa, CDN size yardımcı olmaz. Genellikle CDN'nin sunucularında kod çalıştırmazsınız. Örneğin, yığın değişim sitelerinde, sitelerin her biri için görüntüler bir CDN olan sstatic.com'da barındırılır, ancak ana site StackExchange'in kendi veri merkezlerinde barındırılır.
Billy ONeal
1
CDN'ler genellikle birime göre ücretlendirilir; bu nedenle faturalandırma maliyetini bir satıcıdan diğerine taşırsınız. AFAIK, DDoS hafifletme genellikle IP aralıklarının otomatik olarak geçici olarak engellenmesini içerir.
Joeri Sebrechts
Thanks @Joeri Sebrechts (+1) - "IP aralığı" ile "IP alt ağı" arasında herhangi bir fark var mı veya aynı mı? Soruyorum çünkü GAE IP alt ağlarını engellemenize izin veriyor ve bundan bahsettiğiniz şey olduğunu umuyorum.
herpylderp
7

CDN tabanlı hızlandırma hizmetleri (CF gibi) sağlayan bir Cloud Security şirketi olan Incapsula için çalışıyorum .

(@Billy ONeal tarafından doğru şekilde belirtildiği gibi) CDN'nin tek başına DDoS koruması sağlamadığını, Bulut tabanlı Proxy Ağı'nın ÇOK etkili bir DDoS azaltma aracı olduğunu söylemek istiyorum.

Ve böylece, Cloud CDN'de DDoS durumunda, sitenize dünyanın dört bir yanındaki farklı POP'lardan erişmeye izin verirken, DDoS tarafından üretilen tüm ekstra trafiği alarak sizi koruyan "CDN" değil "Cloud" dur.

Ayrıca, bu bir ön kapı proxy çözümü olduğundan, bu teknoloji sunucularınıza çok sayıda SYN isteği göndermek için sahte IP'ler kullanan seviye 3-4 ağ DDoS saldırılarını (yani SYN Taşkınları) azaltmak için kullanılabilir.

Bu durumda bir proxy, ACK yanıtı alınana kadar bağlantı kurmaz, böylece SYN taşkınının oluşmasını önler.

Web sitesi güvenliği için Cloud'u kullanmanın başka yolları da vardır (örneğin, Kötü Bot Engelleme, Bulut tabanlı WAF) ve bunlardan bazıları DDoS hafifletme veya önleme için de kullanılabilir (tarayıcı botlarını durdurmak daha sonra için iyi bir örnektir), ancak Burada anlaşılacak en önemli şey, bunların hepsinin CDN'ye değil Bulut teknolojisine dayanmasıdır.

Igal Zeifman
kaynak
1
Wow - teşekkürler @Igal Zeifman (+1) - harika cevap! Sizin için birkaç takip sorusu: (1) " Proxy ağı " veya " ön kapı proxy'si " dediğinde, bulutun istemcilerle uygulama sunucularım arasında aracı görevi gören sunucular sağladığını varsayıyorum, evet? Değilse lütfen açıklayabilir misiniz? Ve (2) CloudFlare ve / veya Incapsula bu diğer hizmetler için işlevsellik sağlıyor mu (botları durdurma / engelleme, WAF, vb.)? Tekrar teşekkürler!
herpylderp
Ayrıca, " POP " ile "Varlık noktaları" anlamına geldiğini varsayıyorum, evet?
herpylderp
Merhaba teşekkürler. Çok takdir etmek. Size soruları cevaplamak için: Front Gate Proxy: "proxy" terimi, söz konusu ağ ile siteniz arasındaki aracılık ilişkisini ifade eder. Ağın sitenizin önünde (dolayısıyla "ön kapı") ilk savunma hattı olarak "temelde" duracağı anlamına gelir, temelde tüm trafiği 1 alır ve bizim durumumuzda Bad Bot kullanarak tüm "kötü şeyleri" filtreler engelleme kuralları ve vektörler, WAF vb. DDoS durumunda, bu ağ ekstra trafiğin dengelenmesine yardımcı olacak ve böylece DDoS ile ilgili sorunları önleyecektir. (yani çöküyor) POP = Durum Noktaları. % 100 haklısın.
Igal Zeifman
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.