Comment les CDN protègent-ils les sites de basculement contre les attaques DDoS?

9

Je suis en train de concevoir une application Web Java que je finirai probablement par déployer sur Google App Engine (GAE). La bonne chose à propos de GAE est que je n'ai vraiment pas à me soucier de fortifier mon application contre l'attaque DDoS redoutée - je spécifie juste un "plafond de facturation", et si mon trafic atteint ce plafond (DDoS ou autre), GAE va simplement fermer mon application. En d'autres termes, GAE évoluera essentiellement à n'importe quel montant jusqu'à ce que vous ne puissiez tout simplement plus vous permettre de faire fonctionner l'application plus longtemps.

J'essaie donc de planifier une éventualité selon laquelle, si je frappe ce plafond de facturation et que GAE ferme mon application, mes paramètres DNS de domaine d'application Web "basculent" vers une autre adresse IP non GAE. Certaines recherches initiales ont montré que certains CDN comme CloudFlare offrent des services pour cette situation exacte. Fondamentalement, je garde juste mes paramètres DNS avec eux, et ils fournissent une API que je peux utiliser pour automatiser une procédure de basculement. Ainsi, si je détecte que je suis à 99% de mon plafond de facturation pour mon application GAE, je peux atteindre cette API CloudFlare, et CloudFlare modifiera dynamiquement mes paramètres DNS pour pointer loin des serveurs GAE vers une autre adresse IP.

Ma contingence initiale serait de basculer vers une version "en lecture seule" (contenu statique uniquement) de mon application Web hébergée ailleurs, peut-être par GoDaddy ou Rackspace.

Mais cela m'est soudainement apparu: si les attaques DDoS ciblent le nom de domaine, quelle différence cela fait-il si je passe de mon adresse IP GAE à mon (disons) adresse IP GoDaddy? En substance, le basculement ne ferait rien d'autre que de permettre aux attaquants DDoS de faire tomber mon site de sauvegarde / GoDaddy!

En d'autres termes, les attaquants DDoS coordonnent une attaque sur mon application web, hébergée par GAE, sur www.blah-whatever.com, qui est en réalité une adresse IP de 100.2.3.4 . Ils font grimper mon trafic à 98% de mon plafond de facturation, et mon moniteur personnalisé déclenche un basculement CloudFlare de 100.2.3.4 à 105.2.3.4 . Les attaquants DDoS s'en moquent! Ils lancent toujours une attaque contre www.blah-whatever.com! L'attaque DDoS continue!

Je demande donc: quelle protection les CDN comme CloudFlare offrent-ils pour que - lorsque vous devez basculer vers un autre DNS - vous ne soyez pas à risque de subir la même attaque DDoS continue? Si une telle protection existe, existe-t-il des restrictions techniques (par exemple en lecture seule, etc.) qui sont placées sur le site de basculement? Sinon, à quoi servent-ils?! Merci d'avance!

herpylderp
la source
Great Q! On peut en apprendre beaucoup :-)
Martijn Verburg

Réponses:

6

Ils ne protègent pas contre les attaques DDoS lorsqu'ils sont dans cette configuration. Un CDN ne "protège" pas contre une attaque DDoS - il atténue simplement ses effets en disposant de beaucoup de matériel et de bande passante pour contourner le problème. Lorsque le CDN modifie les paramètres DNS pour pointer directement vers votre serveur, le CDN ne traite plus les demandes pour votre site Web - les clients ne voient jamais l'IP du CDN, donc le CDN ne peut plus vous offrir de protection.

En ce qui concerne "à quoi bon ils" - les attaques DDoS ne sont pas le point d'utiliser un CDN. Le but de l'utilisation d'un CDN est de diminuer la latence entre le moment où quelqu'un demande un gros morceau de données à l'un de vos serveurs Web et celui qui obtient les données, en raccourcissant la distance géographique entre le serveur et le client. C'est une optimisation de performance que vous pouvez faire; mais il n'est vraiment pas conçu pour assurer la sécurité des DDoS.

Billy ONeal
la source
Merci @Billy ONeal (+1) - pour résumer: je voudrais que mon «basculement DDoS» redirige réellement les demandes vers les serveurs CDN, afin qu'ils puissent jeter suffisamment de matériel / bande passante au problème pour maintenir le site opérationnel; bien que ce ne soit pas la fonction principale d'un CDN. Est-ce plus ou moins vrai? Si tel est le cas, une question de suivi rapide: si je suivais cette voie et que ma redirection de basculement vers le CDN, mon application Web pourrait continuer à fonctionner comme d'habitude ou si les CDN ne servent que le contenu statique (c'est-à-dire que mon application Web deviendrait " lecture seule ", etc.)? Merci encore!
herpylderp
@herpylderp: Eh bien, cela dépend de la nature du site. Les CDN ne gèrent que du contenu complètement statique. Si votre serveur fait des "choses intéressantes", alors le CDN ne va pas vous aider. Vous ne pouvez généralement pas exécuter de code sur les serveurs du CDN. Par exemple, sur les sites d'échange de pile, les images de chacun des sites sont hébergées sur sstatic.com, un CDN, mais le site principal est hébergé dans les propres centres de données de StackExchange.
Billy ONeal
1
Les CDN facturent généralement en fonction du volume, vous ne faites donc que déplacer le coût de facturation d'un fournisseur à un autre. AFAIK, l'atténuation DDoS implique généralement un blocage temporaire automatique des plages IP.
Joeri Sebrechts
Merci @Joeri Sebrechts (+1) - y a-t-il une différence entre une "plage IP" et un "sous-réseau IP" ou sont-ils les mêmes? Je demande parce que GAE vous permet de bloquer les sous-réseaux IP et j'espère que c'est de cela dont vous parlez.
herpylderp
7

Je travaille pour Incapsula , une société Cloud Security qui fournit également des services d'accélération basés sur CDN (comme CF).

Je tiens à dire que même si (comme correctement indiqué par @Billy ONeal) CDN en lui-même n'offre aucune protection DDoS, un réseau proxy basé sur le cloud est un outil d'atténuation DDoS TRÈS efficace.

Et donc, en cas de DDoS sur Cloud CDN, ce n'est pas le "CDN" mais le "Cloud" qui vous protège en absorbant tout le trafic supplémentaire généré par les DDoS, tout en permettant l'accès à votre site à partir de différents POP à travers le monde.

De plus, comme il s'agit d'une solution proxy frontale, cette technologie peut être utilisée pour atténuer les attaques DDoS réseau de niveau 3-4 (c.-à-d. Les inondations SYN) qui utilisent des adresses IP falsifiées pour envoyer de nombreuses demandes SYN à vos serveurs.

Dans ce cas, un proxy n'établira pas de connexion jusqu'à ce qu'une réponse ACK soit reçue, empêchant ainsi le déluge SYN de se produire.

Il existe également d'autres façons d'utiliser Cloud pour la sécurité des sites Web (par exemple, le blocage des bots, le WAF basé sur le cloud) et certaines d'entre elles peuvent également être utilisées pour l'atténuation ou la prévention des DDoS (l'arrêt des robots de scanner est un bon exemple pour les versions ultérieures), mais le La principale chose à comprendre ici est que tout cela n'est pas basé sur CDN mais sur la technologie Cloud.

Igal Zeifman
la source
1
Wow - merci @Igal Zeifman (+1) - excellente réponse! Quelques questions de suivi pour vous: (1) Lorsque vous dites " réseau proxy " ou " proxy de porte d'entrée ", je suppose que vous voulez dire que le cloud fournit des serveurs qui agissent comme intermédiaires entre les clients et mes serveurs d'applications, oui? Sinon, pouvez-vous expliquer? Et (2) CloudFlare et / ou Incapsula fournissent-ils des fonctionnalités pour ces autres services (arrêt / blocage des bots, WAF, etc.)? Merci encore!
herpylderp
Aussi, par " POP ", je suppose que vous voulez dire "Points de présence", oui?
herpylderp
Salut merci. Très appréciée. Pour répondre à vos questions: Front Gate Proxy: le terme "proxy" implique sur une relation intermédiaire entre ledit réseau et votre site. Cela signifie que le réseau "s'asseoir" devant votre site (d'où "porte d'entrée") comme première ligne de défense, recevant essentiellement tout le trafic en premier et filtrant toutes les "mauvaises choses", dans notre cas en utilisant Bad Bot règles et vecteurs de blocage, WAF, etc. En cas de DDoS, ce réseau contribuera également à équilibrer le trafic supplémentaire, évitant ainsi les problèmes liés aux DDoS. (c.-à-d. plante) POP = Points de présence. Vous avez 100% raison.
Igal Zeifman