Il proxy inverso non è una soluzione agli attacchi DDOS quando è ospitato su PaaS?

4

Gestiamo le nostre app su Heroku e usiamo Cloudflare come CDN e per proteggerci dagli attacchi DOS. Tuttavia, di recente abbiamo avuto un attacco (relativamente minore) che è riuscito a bypassare facilmente Cloudflare semplicemente inviando richieste a uno dei server di routing che Heroku ospita su AWS mentre si imposta l'intestazione ' Host: delle richieste sul nome host del nostro sito. Questo ha funzionato perché il routing delle applicazioni interne di Heroku è interamente basato su quell'intestazione.

Ho chiesto ad Heroku se potevano fare qualcosa al riguardo e hanno suggerito di gestirlo al livello middleware (che siamo, usando le regole di nginx). Ma questo consente comunque al traffico di attaccare di colpire il nostro banco di prova e mentre questo attacco è stato gestito utilizzando tale strategia, penserei che un attacco più ampio avrebbe rallentato nginx, anche se il server stava eseguendo il 403 collegamento in massa.

A corto di noi che eseguono il nostro proxy inverso, qualcuno ha un suggerimento per una strategia migliore? Non è forse una delle principali debolezze dell'architettura di Heroku che si dirigono verso le app basate sull'intestazione della richiesta Host: invece di assegnare gli indirizzi IP ai dynos? È tipico di PaaS?

    
posta sumizome 10.09.2015 - 01:29
fonte

2 risposte

2

Ci sono 2 modi per risolvere il tuo problema:

  1. Inserisci una distribuzione AWS Cloudfront tra Cloudflare e Heroku. Puoi usarli insieme e Cloudfront è adatto per contenuti dinamici .
  2. Override Host di intestazione in Cloudflare. A partire dall'inizio del 2016 richiede un abbonamento Enterprise.

In entrambi i casi, rimuovi il dominio frontale dal pannello di controllo di Heroku, impedendo efficacemente alle richieste dirette di colpire il tuo banco di prova.

P.S. Per essere chiari, imposta l'intestazione Host (origine per Cloudfront) in entrambi i casi con qualcosa come evening-sands-32400.herokuapp.com .

    
risposta data 24.03.2016 - 11:11
fonte
1

Vorrei guardare ad Akamai che ha anche un sistema di prevenzione DDoS basato su CDN. Tuttavia, dispongono anche di un firewall per applicazioni Web (WAF) che può eseguire alcuni filtri piuttosto sofisticati basati su intestazioni di richieste o su qualsiasi altro dato nelle sessioni HTTP / HTTPS.

Anche se non usi Akamai di per sé, penso che dovrebbe essere considerato un WAF.

    
risposta data 10.09.2015 - 07:50
fonte

Leggi altre domande sui tag