Я нахожусь в процессе разработки веб-приложения на Java, которое я, вероятно, в конечном итоге разверну в Google App Engine (GAE). Хорошая вещь в GAE заключается в том, что мне действительно не нужно беспокоиться о защите моего приложения от страшной DDoS-атаки - я просто указываю «потолок биллинга», и, если мой трафик достигает пика до этого потолка (DDoS или иным образом), GAE просто закрою мое приложение. Другими словами, GAE будет по существу масштабироваться до любой суммы, пока вы просто не сможете позволить себе продолжать работу приложения.
Поэтому я пытаюсь спланировать непредвиденную ситуацию, при которой, если я достигну этого потолка выставления счетов, и GAE закроет мое приложение, настройки DNS домена моего веб-приложения «переключатся» на другой IP-адрес не-GAE. Некоторые первоначальные исследования показали, что некоторые CDN, такие как CloudFlare, предлагают услуги для этой конкретной ситуации. По сути, я просто сохраняю свои настройки DNS с ними, и они предоставляют API, который я могу использовать для автоматизации процедуры восстановления после отказа. Таким образом, если я обнаружу, что у меня 99% потолка выставления счетов для моего приложения GAE, я могу подключиться к этому API CloudFlare, и CloudFlare динамически изменит мои настройки DNS, чтобы они указывали с серверов GAE на какой-либо другой IP-адрес.
Мое первоначальное непредвиденное обстоятельство состояло бы в переключении на «только для чтения» (только статическое содержимое) версию моего веб-приложения, размещенную где-то еще, возможно, GoDaddy или Rackspace.
Но вдруг меня осенило: если DDoS-атаки нацелены на доменное имя, какая разница, если я перенесу свой IP-адрес GAE на мой (скажем) IP-адрес GoDaddy? По сути, отработка отказа не сделает ничего, кроме того, что позволяет злоумышленникам DDoS уничтожить мой резервный сайт / сайт GoDaddy!
Другими словами, злоумышленники DDoS координируют атаку на мое веб-приложение, размещенное в GAE, по адресу www.blah-whatever.com
, который на самом деле является IP-адресом 100.2.3.4 . Они приводят к тому, что мой трафик достигает 98% моего потолка выставления счетов, и мой пользовательский монитор запускает переключение CloudFlare с 100.2.3.4 на 105.2.3.4 . Злоумышленникам DDoS все равно! Они все еще начинают атаку против www.blah-whatever.com
! DDoS-атака продолжается!
Поэтому я спрашиваю: какую защиту предлагают CDN, такие как CloudFlare, чтобы - когда вам нужно переключиться на другой DNS - вы не подвергались риску того же самого, продолжая DDoS-атаку? Если такая защита существует, существуют ли какие-либо технические ограничения (например, только для чтения и т. Д.), Которые размещены на сайте аварийного переключения? Если нет, то что они хорошего ?! Заранее спасибо!
источник
Ответы:
Они не защищают от DDoS-атак в этой конфигурации. CDN не «защищает» от DDoS-атаки - они просто смягчают ее последствия, имея много оборудования и пропускную способность, чтобы решить эту проблему. Когда CDN изменяет настройки DNS так, чтобы они указывали непосредственно на ваш сервер, CDN больше не обрабатывает запросы на ваш веб-сайт - клиенты никогда не видят IP-адрес CDN, поэтому CDN больше не может предложить вам защиту.
Что касается «что они хорошего» - DDoS-атаки не имеют смысла использовать CDN. Смысл использования CDN заключается в уменьшении задержки между тем, когда кто-то запрашивает большой кусок данных с одного из ваших веб-серверов, и тем, кто получает данные, путем сокращения географического расстояния между сервером и клиентом. Это идеальная оптимизация, которую вы можете сделать; но он действительно не предназначен для обеспечения безопасности от DDoS.
источник
Я работаю в Incapsula , компании Cloud Security, которая также предоставляет услуги ускорения на основе CDN (например, CF).
Я хочу сказать, что хотя (как правильно заявлено @Billy ONeal) CDN сама по себе не обеспечивает защиту от DDoS, облачная прокси-сеть является ОЧЕНЬ эффективным средством предотвращения DDoS.
И поэтому, в случае DDoS в облаке CDN, не «CDN», а «облако» защищает вас, поглощая весь дополнительный трафик, генерируемый DDoS, и в то же время предоставляя доступ к вашему сайту из разных POP по всему миру.
Кроме того, поскольку это решение с промежуточным прокси-сервером, эту технологию можно использовать для смягчения сетевых DDoS-атак 3-4-го уровня (например, SYN-наводнения), которые используют поддельные IP-адреса для отправки многочисленных запросов SYN на ваши серверы.
В этом случае прокси не установит соединение, пока не будет получен ответ ACK, что предотвратит переполнение SYN.
Есть и другие способы использования Cloud для обеспечения безопасности веб-сайтов (например, блокировка плохих ботов, WAF на основе облака), и некоторые из них также можно использовать для предотвращения или предотвращения DDoS (остановка ботов для сканера - хороший пример для последующего использования), но Главное, чтобы понять, что все это основано не на CDN, а на облачной технологии.
источник