Comment les CDN protègent-ils les sites de basculement contre les attaques DDoS?

Je suis en train de concevoir une application Web Java que je finirai probablement par déployer sur Google App Engine (GAE). La bonne chose à propos de GAE est que je n'ai vraiment pas à me soucier de fortifier mon application contre l'attaque DDoS redoutée - je spécifie juste un "plafond de facturation", et si mon trafic atteint ce plafond (DDoS ou autre), GAE va simplement fermer mon application. En d'autres termes, GAE évoluera essentiellement à n'importe quel montant jusqu'à ce que vous ne puissiez tout simplement plus vous permettre de faire fonctionner l'application plus longtemps.

J'essaie donc de planifier une éventualité selon laquelle, si je frappe ce plafond de facturation et que GAE ferme mon application, mes paramètres DNS de domaine d'application Web "basculent" vers une autre adresse IP non GAE. Certaines recherches initiales ont montré que certains CDN comme CloudFlare offrent des services pour cette situation exacte. Fondamentalement, je garde juste mes paramètres DNS avec eux, et ils fournissent une API que je peux utiliser pour automatiser une procédure de basculement. Ainsi, si je détecte que je suis à 99% de mon plafond de facturation pour mon application GAE, je peux atteindre cette API CloudFlare, et CloudFlare modifiera dynamiquement mes paramètres DNS pour pointer loin des serveurs GAE vers une autre adresse IP.

Ma contingence initiale serait de basculer vers une version "en lecture seule" (contenu statique uniquement) de mon application Web hébergée ailleurs, peut-être par GoDaddy ou Rackspace.

Mais cela m'est soudainement apparu: si les attaques DDoS ciblent le nom de domaine, quelle différence cela fait-il si je passe de mon adresse IP GAE à mon (disons) adresse IP GoDaddy? En substance, le basculement ne ferait rien d'autre que de permettre aux attaquants DDoS de faire tomber mon site de sauvegarde / GoDaddy!

En d'autres termes, les attaquants DDoS coordonnent une attaque sur mon application web, hébergée par GAE, sur www.blah-whatever.com, qui est en réalité une adresse IP de 100.2.3.4 . Ils font grimper mon trafic à 98% de mon plafond de facturation, et mon moniteur personnalisé déclenche un basculement CloudFlare de 100.2.3.4 à 105.2.3.4 . Les attaquants DDoS s'en moquent! Ils lancent toujours une attaque contre www.blah-whatever.com! L'attaque DDoS continue!

Je demande donc: quelle protection les CDN comme CloudFlare offrent-ils pour que - lorsque vous devez basculer vers un autre DNS - vous ne soyez pas à risque de subir la même attaque DDoS continue? Si une telle protection existe, existe-t-il des restrictions techniques (par exemple en lecture seule, etc.) qui sont placées sur le site de basculement? Sinon, à quoi servent-ils?! Merci d'avance!

Ils ne protègent pas contre les attaques DDoS lorsqu'ils sont dans cette configuration. Un CDN ne "protège" pas contre une attaque DDoS - il atténue simplement ses effets en disposant de beaucoup de matériel et de bande passante pour contourner le problème. Lorsque le CDN modifie les paramètres DNS pour pointer directement vers votre serveur, le CDN ne traite plus les demandes pour votre site Web - les clients ne voient jamais l'IP du CDN, donc le CDN ne peut plus vous offrir de protection.

En ce qui concerne "à quoi bon ils" - les attaques DDoS ne sont pas le point d'utiliser un CDN. Le but de l'utilisation d'un CDN est de diminuer la latence entre le moment où quelqu'un demande un gros morceau de données à l'un de vos serveurs Web et celui qui obtient les données, en raccourcissant la distance géographique entre le serveur et le client. C'est une optimisation de performance que vous pouvez faire; mais il n'est vraiment pas conçu pour assurer la sécurité des DDoS.

Je travaille pour Incapsula , une société Cloud Security qui fournit également des services d'accélération basés sur CDN (comme CF).

Je tiens à dire que même si (comme correctement indiqué par @Billy ONeal) CDN en lui-même n'offre aucune protection DDoS, un réseau proxy basé sur le cloud est un outil d'atténuation DDoS TRÈS efficace.

Et donc, en cas de DDoS sur Cloud CDN, ce n'est pas le "CDN" mais le "Cloud" qui vous protège en absorbant tout le trafic supplémentaire généré par les DDoS, tout en permettant l'accès à votre site à partir de différents POP à travers le monde.

De plus, comme il s'agit d'une solution proxy frontale, cette technologie peut être utilisée pour atténuer les attaques DDoS réseau de niveau 3-4 (c.-à-d. Les inondations SYN) qui utilisent des adresses IP falsifiées pour envoyer de nombreuses demandes SYN à vos serveurs.

Dans ce cas, un proxy n'établira pas de connexion jusqu'à ce qu'une réponse ACK soit reçue, empêchant ainsi le déluge SYN de se produire.

Il existe également d'autres façons d'utiliser Cloud pour la sécurité des sites Web (par exemple, le blocage des bots, le WAF basé sur le cloud) et certaines d'entre elles peuvent également être utilisées pour l'atténuation ou la prévention des DDoS (l'arrêt des robots de scanner est un bon exemple pour les versions ultérieures), mais le La principale chose à comprendre ici est que tout cela n'est pas basé sur CDN mais sur la technologie Cloud.