In che modo i CDN proteggono i siti di failover dagli attacchi DDoS?

9

Sono nel processo di progettazione di un'applicazione web Java che probabilmente finirò per la distribuzione su Google App Engine (GAE). La cosa bella di GAE è che non devo preoccuparmi di fortificare la mia app dal terribile attacco DDoS - ho appena specificato un "massimale di fatturazione", e se il mio traffico raggiunge il limite massimo (DDoS o altro), GAE chiuderà semplicemente la mia app. In altre parole, GAE si ridurrà sostanzialmente a qualsiasi importo fino a quando non puoi semplicemente permetterti di mantenere l'app in esecuzione più a lungo.

Quindi sto cercando di pianificare un evento per cui, se raggiungo questo limite di fatturazione e GAE chiude l'app, le impostazioni DNS del dominio delle app Web "eseguono il failover" su un altro indirizzo IP non GAE. Alcune ricerche iniziali hanno dimostrato che alcuni CDN come CloudFlare offrono servizi per questa esatta situazione. Fondamentalmente, mantengo le mie impostazioni DNS con loro e forniscono un'API che posso colpire per automatizzare una procedura di failover. Quindi, se rilevo che sono al 99% del mio massimale di fatturazione per la mia app GAE, posso colpire questa API CloudFlare e CloudFlare cambierà dinamicamente le mie impostazioni DNS in modo che punti dai server GAE a qualche altro indirizzo IP.

La mia contingenza iniziale sarebbe il failover di una versione "di sola lettura" (solo contenuto statico) della mia app web ospitata da qualche altra parte, forse da GoDaddy o Rackspace.

Ma all'improvviso mi sono reso conto: se gli attacchi DDoS indirizzano il nome del dominio, che differenza fa se eseguo il rollover dal mio indirizzo IP GAE al mio indirizzo IP goDaddy (ad esempio) In sostanza , il failover non farebbe altro che permettere agli aggressori DDoS di far cadere il mio sito di backup / GoDaddy!

In altre parole, gli aggressori DDoS coordinano un attacco alla mia app Web, ospitata da GAE, a www.blah-whatever.com , che in realtà è un indirizzo IP di 100.2.3.4 . Il mio traffico raggiunge il 98% del mio massimale di fatturazione e il mio monitor personalizzato attiva un failover CloudFlare da 100.2.3.4 a 105.2.3.4 . Gli attaccanti DDoS non si preoccupano! Stanno ancora lanciando un attacco contro www.blah-whatever.com ! L'attacco DDoS continua!

Quindi chiedo: che protezione offrono i CDN come CloudFlare in modo che, quando è necessario eseguire il failover su un altro DNS, non si rischi lo stesso attacco DDoS continuato? Se esiste una tale protezione, esistono restrizioni tecniche (ad esempio di sola lettura, ecc.) Che vengono posizionate sul sito di failover? Se no, a cosa servono ?! Grazie in anticipo!

    
posta herpylderp 26.07.2012 - 01:43
fonte

2 risposte

6

Non proteggono dagli attacchi DDoS quando sono in questa configurazione. Un CDN non "protegge" da un attacco DDoS - semplicemente mitiga i suoi effetti avendo un sacco di hardware e larghezza di banda da lanciare al problema. Quando il CDN modifica le impostazioni DNS in modo che puntino direttamente al tuo server, il CDN non gestisce più le richieste per il tuo sito Web - i client non vedono mai l'IP del CDN, quindi la CDN non può più offrirti protezione.

Per quanto riguarda "a cosa servono" - gli attacchi DDoS non sono il punto di utilizzo di un CDN. Il punto di utilizzo di un CDN è di ridurre la latenza tra quando qualcuno richiede una grossa fetta di dati da uno dei tuoi server web e quella persona che ottiene i dati, accorciando la distanza geografica tra il server e il client. È un'ottimizzazione perfetta che puoi realizzare; ma in realtà non è progettato per fornire sicurezza da DDoS.

    
risposta data 26.07.2012 - 04:01
fonte
7

Lavoro per Incapsula , una società di Cloud Security che fornisce anche servizi di accelerazione basati su CDN (come CF).

Voglio dire che mentre (come affermato correttamente da @Billy ONeal) CDN da solo non fornisce alcuna protezione DDoS, una rete proxy basata su cloud è uno strumento di mitigazione DDoS MOLTO efficace.

E così, nel caso di DDoS su Cloud CDN, non è il "CDN" ma "Cloud" che ti protegge prendendo tutto il traffico extra generato da DDoS, consentendo comunque l'accesso al tuo sito da diversi POP in giro il mondo.

Inoltre, poiché si tratta di una soluzione proxy front-gate, questa tecnologia può essere utilizzata per mitigare gli attacchi DDoS di rete di livello 3-4 (ad esempio SYN Flood) che utilizzano IP falsificati per inviare numerose richieste SYN ai tuoi server.

In questo caso un proxy non stabilirà una connessione fino a quando non viene ricevuta una risposta ACK, impedendo così il verificarsi del flood SYN.

Esistono anche altri modi per utilizzare la sicurezza di Cloud for Web (vale a dire Bad Bot Blocking, WAF basato su cloud) e alcuni di questi possono essere utilizzati anche per mitigazione o prevenzione DDoS (l'arresto dei bot di scanner è un buon esempio per ) ma la cosa principale da capire qui è che tutto questo non si basa su CDN ma su tecnologia Cloud.

    
risposta data 26.07.2012 - 15:55
fonte

Leggi altre domande sui tag