CDNs ปกป้องไซต์ failover จากการโจมตี DDoS อย่างไร

ฉันอยู่ในขั้นตอนการออกแบบสำหรับเว็บแอปพลิเคชัน Java ที่อาจจะนำไปใช้กับ Google App Engine (GAE) สิ่งที่ดีเกี่ยวกับ GAE คือฉันไม่ต้องกังวลเกี่ยวกับการเสริมแอปของฉันจากการโจมตี DDoS ที่น่ากลัวฉันเพียงแค่ระบุ "เพดานการเรียกเก็บเงิน" และถ้าปริมาณการใช้ของฉันสูงถึงเพดานนี้ (DDoS หรืออย่างอื่น) GAE จะเพิ่งปิดแอปของฉัน กล่าวอีกนัยหนึ่ง GAE จะปรับขนาดเป็นจำนวนเท่าใดก็ได้จนกว่าคุณจะไม่สามารถทำให้แอปทำงานต่อไปได้อีกต่อไป

ดังนั้นฉันจึงพยายามวางแผนฉุกเฉินหากฉันกดเพดานการเรียกเก็บเงินนี้และ GAE ปิดแอปของฉันการตั้งค่า DNS โดเมนเว็บแอปของฉัน "ล้มเหลว" เป็นที่อยู่ IP อื่นที่ไม่ใช่ GAE งานวิจัยเริ่มต้นบางงานแสดงให้เห็นว่า CDN บางตัวเช่น CloudFlare ให้บริการสำหรับสถานการณ์ที่แน่นอนนี้ โดยพื้นฐานแล้วฉันเพิ่งเก็บการตั้งค่า DNS ไว้กับพวกเขาและพวกเขายังมี API ที่ฉันสามารถใช้เพื่อทำให้กระบวนการล้มเหลวอัตโนมัติ ดังนั้นหากฉันตรวจพบว่าฉันอยู่ที่ 99% เพดานการเรียกเก็บเงินสำหรับแอป GAE ของฉันฉันสามารถกด CloudFlare API นี้ได้และ CloudFlare จะเปลี่ยนการตั้งค่า DNS ของฉันแบบไดนามิกเพื่อชี้ไปที่เซิร์ฟเวอร์ GAE เป็นที่อยู่ IP อื่น ๆ

ความบังเอิญเริ่มต้นของฉันคือการล้มเหลวในเวอร์ชัน "อ่านอย่างเดียว" (เนื้อหาคงที่เท่านั้น) ของเว็บแอปของฉันที่โฮสต์ที่อื่นโดย GoDaddy หรือ Rackspace

แต่ทันใดนั้นมันก็เริ่มกับฉัน: ถ้า DDoS โจมตีเป้าหมายชื่อโดเมนมันจะแตกต่างกันอย่างไรถ้าฉันวางข้ามจากที่อยู่ GAE ของฉันไปยังที่อยู่ GoDaddy ของฉัน (พูด) โดยพื้นฐานแล้วการล้มเหลวจะไม่ทำอะไรนอกจากอนุญาตให้ DDoS โจมตีไซต์สำรอง / GoDaddy ของฉัน!

กล่าวอีกนัยหนึ่งผู้โจมตี DDoS ประสานงานการโจมตีบนเว็บแอปของฉันซึ่งโฮสต์โดย GAE ที่www.blah-whatever.comซึ่งเป็นที่อยู่ IP 100.2.3.4จริง ๆ พวกเขาทำให้เกิดการจราจรของฉันที่จะขัดขวาง 98% เพดานการเรียกเก็บเงินของฉันและจอภาพของฉันเองเรียก failover CloudFlare จาก100.2.3.4เพื่อ105.2.3.4 ผู้โจมตี DDoS ไม่สนใจ! พวกเขายังคงทำการโจมตีwww.blah-whatever.com! การโจมตี DDoS ดำเนินต่อไป!

ดังนั้นฉันจึงถามว่า: CDNs มีการป้องกันอะไรบ้างเช่น CloudFlare ที่เสนอ - เมื่อคุณต้องล้มเหลวไปยัง DNS อื่น - คุณไม่มีความเสี่ยงจากการโจมตี DDoS ต่อเนื่อง หากมีการป้องกันดังกล่าวจะมีข้อ จำกัด ทางเทคนิคใด ๆ (เช่นอ่านอย่างเดียว ฯลฯ ) ที่วางอยู่บนไซต์ล้มเหลวหรือไม่? ถ้าไม่พวกเขาดีอะไร! ขอบคุณล่วงหน้า!

พวกเขาไม่ได้ป้องกันการโจมตี DDoS เมื่ออยู่ในการกำหนดค่านี้ CDN ไม่ได้ "ป้องกัน" จากการโจมตี DDoS - พวกเขาลดผลกระทบโดยมีฮาร์ดแวร์และแบนด์วิดท์จำนวนมากเพื่อแก้ไขปัญหา เมื่อ CDN เปลี่ยนการตั้งค่า DNS ให้ชี้ไปที่เซิร์ฟเวอร์ของคุณโดยตรง CDN จะไม่จัดการคำขอสำหรับเว็บไซต์ของคุณอีกต่อไป - ไคลเอนต์จะไม่เห็น IP ของ CDN ดังนั้น CDN จึงไม่สามารถป้องกันคุณได้อีกต่อไป

เท่าที่ "สิ่งที่ดีคืออะไร" - การโจมตี DDoS ไม่ได้เป็นจุดที่ใช้ CDN จุดประสงค์ในการใช้ CDN คือการลดเวลาในการตอบสนองเมื่อมีคนร้องขอข้อมูลจำนวนมากจากเว็บเซิร์ฟเวอร์ของคุณและบุคคลนั้นได้รับข้อมูลโดยลดระยะทางภูมิศาสตร์ระหว่างเซิร์ฟเวอร์และไคลเอนต์ เป็นการเพิ่มประสิทธิภาพที่สมบูรณ์แบบที่คุณสามารถทำได้ แต่มันไม่ได้ออกแบบมาเพื่อให้ความปลอดภัยจาก DDoS

ฉันทำงานกับIncapsulaบริษัท Cloud Security ที่ให้บริการเร่งความเร็วตาม CDN (เช่น CF)

ฉันต้องการจะบอกว่าในขณะที่ (ตามที่ระบุไว้อย่างถูกต้องโดย @Billy ONeal) CDN ด้วยตัวเองไม่ได้ให้การป้องกัน DDoS, เครือข่ายพร็อกซีบนคลาวด์เป็นเครื่องมือในการบรรเทา DDoS ที่มีประสิทธิภาพมาก

ดังนั้นในกรณีของ DDoS บน Cloud CDN ไม่ใช่ "CDN" แต่ "Cloud" ที่ปกป้องคุณโดยการรับส่งข้อมูลเพิ่มเติมทั้งหมดที่ DDoS สร้างขึ้นในขณะที่ยังอนุญาตให้เข้าถึงไซต์ของคุณจาก POPs ต่างๆทั่วโลก

นอกจากนี้เนื่องจากเป็นโซลูชันพร็อกซีประตูหน้าเทคโนโลยีนี้สามารถใช้เพื่อลดการโจมตี DDoS ระดับเครือข่าย 3-4 ระดับ (เช่น SYN Floods) ซึ่งใช้ IP ปลอมแปลงเพื่อส่งการร้องขอ SYN จำนวนมากไปยังเซิร์ฟเวอร์ของคุณ

ในกรณีนี้พร็อกซีจะไม่สร้างการเชื่อมต่อจนกว่าจะได้รับการตอบสนอง ACK ดังนั้นการป้องกัน SYN ท่วมเกิดขึ้น

นอกจากนี้ยังมีวิธีอื่น ๆ ที่คุณสามารถใช้ Cloud สำหรับการรักษาความปลอดภัยเว็บไซต์ (เช่น Bad Bot Blocking, WAF บนคลาวด์) และบางวิธีสามารถใช้สำหรับ DDoS บรรเทาหรือป้องกัน (หยุดบอทสแกนเนอร์เป็นตัวอย่างที่ดีสำหรับภายหลัง) สิ่งสำคัญที่ต้องเข้าใจที่นี่คือทั้งหมดนี้ไม่ได้ขึ้นอยู่กับ CDN แต่เกี่ยวกับเทคโนโลยีคลาวด์