CDNs विफल साइटों को DDoS हमलों से कैसे बचाते हैं?

9

मैं जावा वेब ऐप के लिए डिज़ाइन प्रक्रिया में हूं जिसे मैं शायद Google ऐप इंजन (जीएई) में तैनात करूंगा। जीएई के बारे में अच्छी बात यह है कि मुझे वास्तव में खतरनाक डीडीओएस हमले से अपने ऐप को मजबूत करने के बारे में चिंता करने की ज़रूरत नहीं है - मैं सिर्फ एक "बिलिंग छत" निर्दिष्ट करता हूं, और अगर मेरा ट्रैफ़िक इस सीलिंग (डीडीओएस या अन्यथा), जीएई तक पहुंचता है बस मेरा ऐप बंद कर देगा। दूसरे शब्दों में, जीएई अनिवार्य रूप से किसी भी राशि तक स्केल करेगा जब तक कि आप बस ऐप को किसी भी समय तक चालू नहीं रख सकते।

इसलिए मैं एक आकस्मिक योजना बनाने की कोशिश कर रहा हूं, अगर मैं इस बिलिंग सीलिंग को हिट करता हूं और जीएई मेरे ऐप को बंद कर देता है, तो मेरा वेब ऐप डोमेन DNS सेटिंग्स "फेल ओवर" दूसरे, गैर-जीएई आईपी पते पर। कुछ शुरुआती शोधों से पता चला है कि कुछ CDN जैसे CloudFlare इस सटीक स्थिति के लिए सेवाएं प्रदान करते हैं। असल में, मैं बस अपनी DNS सेटिंग्स उनके साथ रखता हूं, और वे एक एपीआई प्रदान करते हैं जो मैं एक असफल प्रक्रिया को स्वचालित करने के लिए हिट कर सकता हूं। इस प्रकार, अगर मुझे पता चलता है कि मैं अपने GAE ऐप के लिए 99% अपनी बिलिंग सीलिंग पर हूं, तो मैं इस CloudFlare API को हिट कर सकता हूं, और CloudFlare गतिशील रूप से मेरी DNS सेटिंग्स को GAE सर्वर से दूर किसी अन्य आईपी पते पर इंगित करने के लिए बदल देगा।

मेरी प्रारंभिक आकस्मिकता मेरे वेब ऐप के "रीड-ओनली" (स्थिर सामग्री केवल) संस्करण के लिए विफल हो सकती है, शायद गोएड्डी या रैकस्पेस द्वारा कहीं और होस्ट की गई है।

लेकिन फिर यह अचानक मुझ पर हावी हो गया: अगर DDoS हमले डोमेन नाम को लक्षित करते हैं, तो मुझे अपने GAE IP पते से रोलओवर (मेरे) GoDaddy IP पते पर रोलओवर करने से क्या फर्क पड़ता है? संक्षेप में, फेलओवर मेरे बैकअप / GoDaddy साइट को लाने के लिए DDoS हमलावरों को अनुमति देने के अलावा कुछ नहीं करेगा!

दूसरे शब्दों में, DDoS हमलावर GAE द्वारा होस्ट किए गए मेरे वेब ऐप पर एक हमले का समन्वय करते हैं www.blah-whatever.com, जो वास्तव में 100.2.3.4 का एक आईपी पता है । वे 98% अपने बिल की छत से कील करने के लिए अपने यातायात का कारण है, और अपने कस्टम मॉनिटर से एक CloudFlare विफलता से चलाता है 100.2.3.4 को 105.2.3.4 । DDoS हमलावरों की परवाह नहीं है! वे अभी भी एक हमले के खिलाफ शुरू कर रहे हैं www.blah-whatever.com! DDoS का हमला जारी है!

इसलिए मैं पूछता हूं: क्लाउडफ्लारे जैसे सीडीएन क्या सुरक्षा प्रदान करते हैं ताकि जब आपको किसी अन्य डीएनएस पर विफल होने की आवश्यकता हो - तो आप उसी के लिए जोखिम में नहीं हैं, डीडीओएस हमले जारी रखें? यदि इस तरह की सुरक्षा मौजूद है, तो क्या कोई तकनीकी प्रतिबंध (जैसे केवल पढ़ने के लिए, आदि) हैं जो विफलता स्थल पर रखे गए हैं? यदि नहीं, तो वे क्या अच्छे हैं ?! अग्रिम में धन्यवाद!

java  web-applications  security  google-app-engine 
herpylderp
स्रोत
महान क्यू! इस से बहुत कुछ सीखा जा सकता है :-)
Martijn Verburg

जवाबों:

6

वे इस कॉन्फ़िगरेशन में DDoS हमलों से सुरक्षा नहीं करते हैं। एक सीडीएन एक डीडीओएस हमले के खिलाफ "सुरक्षा" नहीं करता है - वे बस बहुत सारे हार्डवेयर और बैंडविड्थ को समस्या पर फेंकने के द्वारा इसके प्रभावों को कम करते हैं। जब CDN आपके सर्वर पर सीधे इंगित करने के लिए DNS सेटिंग्स को बदलता है, तो CDN अब आपकी वेबसाइट के लिए अनुरोधों को संभाल नहीं रहा है - क्लाइंट CDN का IP कभी नहीं देखते हैं, इसलिए CDN अब आपको सुरक्षा प्रदान नहीं कर सकता है।

जहाँ तक "वे कितने अच्छे हैं" - DDoS हमले CDN का उपयोग करने का बिंदु नहीं हैं। CDN का उपयोग करने का बिंदु यह है कि जब कोई आपके वेब सर्वर से डेटा का एक बड़ा हिस्सा मांगता है और उस व्यक्ति को डेटा प्राप्त हो रहा है, तो सर्वर और क्लाइंट के बीच की भौगोलिक दूरी को छोटा करके, बीच में विलंब को कम करना है। यह एक पूर्ण अनुकूलन है जिसे आप बना सकते हैं; लेकिन यह वास्तव में DDoS से सुरक्षा प्रदान करने के लिए डिज़ाइन नहीं किया गया है।

बिली ओनली
स्रोत
धन्यवाद @ बिली ओनली (+1) - इसलिए संक्षेप में: मैं अपने "डीडीओएस फेलओवर" को वास्तव में सीडीएन सर्वरों के अनुरोधों को पुनर्निर्देशित करना चाहूंगा, ताकि वे साइट को बनाए रखने और चलाने के लिए समस्या पर पर्याप्त हार्डवेयर / बैंडविड्थ फेंक सकें; हालाँकि यह CDN का प्राथमिक कार्य नहीं है। क्या यह कमोबेश सही है? यदि हां, तो एक त्वरित अनुवर्ती प्रश्न: यदि मैं इस मार्ग पर गया था और सीडीएन पर मेरा फेलओवर रीडायरेक्ट हुआ था, तो क्या मेरा वेब ऐप सामान्य की तरह कार्य करना जारी रख सकेगा या सीडीएन की केवल स्थैतिक सामग्री को वापस सेवा देगा (अर्थात, मेरा वेब ऐप बन जाएगा) केवल पढ़ें, आदि)? एक बार फिर धन्यवाद!
3
@herpylderp: खैर, यह साइट की प्रकृति पर निर्भर करता है। CDN केवल पूरी तरह से स्थिर सामग्री को संभालता है। यदि आपका सर्वर "रोचक बातें" करता है, तो CDN आपकी मदद करने वाला नहीं है। आप आमतौर पर सीडीएन के सर्वर पर कोड नहीं चला सकते। उदाहरण के लिए, स्टैक एक्सचेंज साइटों पर, प्रत्येक साइट के लिए छवियों को sstatic.com, एक CDN पर होस्ट किया जाता है, लेकिन मुख्य साइट को StackExchange के अपने डेटासेंटर में होस्ट किया जाता है।
बिली ओनेल
1
CDN आमतौर पर वॉल्यूम के आधार पर चार्ज होता है, इसलिए आप बिलिंग लागत को एक वेंडर से दूसरे में स्थानांतरित कर रहे हैं। AFAIK, DDoS शमन में आमतौर पर IP श्रेणियों का स्वचालित अस्थायी अवरोधन शामिल होता है।
जोएरी सेबेस्ट्स
धन्यवाद @Joeri Sebrechts (+1) - क्या "IP श्रेणी" और "IP सबनेट" के बीच कोई अंतर है या वे समान हैं? मैं पूछता हूं क्योंकि जीएई आपको आईपी सबनेट को ब्लॉक करने की अनुमति देता है और उम्मीद कर रहा हूं कि आप किस बारे में बात कर रहे हैं।
हर्पीडरपूल
7

मैं इनकैप्सुला के लिए काम करता हूं , जो क्लाउड सुरक्षा कंपनी है जो सीडीएन आधारित त्वरण सेवाएं (जैसे सीएफ) भी प्रदान करती है।

मैं यह कहना चाहता हूं कि जबकि (जैसा कि @Billy ONeal द्वारा सही ढंग से कहा गया है) CDN स्वयं को कोई DDoS सुरक्षा प्रदान नहीं करता है, क्लाउड आधारित प्रॉक्सी नेटवर्क एक बहुत प्रभावी DDoS शमन उपकरण है।

और इसलिए, क्लाउड CDN पर DDoS के मामले में, यह "CDN" नहीं है, बल्कि "Cloud" है जो DDoS द्वारा उत्पन्न सभी अतिरिक्त ट्रैफ़िक को ले कर आपकी सुरक्षा करता है, जबकि अभी भी दुनिया भर के विभिन्न POP से आपकी साइट तक पहुँच की अनुमति देता है।

इसके अलावा, क्योंकि यह फ्रंट-गेट प्रॉक्सी समाधान है, इस तकनीक का उपयोग स्तर 3-4 नेटवर्क DDoS हमलों (यानी SYN फ्लड्स) को कम करने के लिए किया जा सकता है, जो आपके सर्वरों के लिए कई SYN अनुरोध भेजने के लिए स्पूफ़ किए गए IP का उपयोग करते हैं।

इस मामले में एक प्रॉक्सी एक कनेक्शन स्थापित नहीं करेगा जब तक कि एक एसीके प्रतिक्रिया प्राप्त नहीं होती है, इस प्रकार SYN बाढ़ को होने से रोकता है।

ऐसे अन्य तरीके भी हैं जिनका उपयोग आप क्लाउड को वेबसाइट सुरक्षा (यानी बैड बॉट ब्लॉकिंग, क्लाउड-आधारित WAF) के लिए कर सकते हैं और इनमें से कुछ का उपयोग DDoS शमन या रोकथाम के लिए भी किया जा सकता है (स्कैनर बॉट्स को रोकना बाद के लिए एक अच्छा उदाहरण है) लेकिन यहाँ समझने की मुख्य बात यह है कि यह सब CDN पर नहीं बल्कि क्लाउड तकनीक पर आधारित है।

इगल ज़ीफ़मैन
स्रोत
1
वाह - धन्यवाद @ जिगल ज़ीफ़मैन (+1) - शानदार जवाब! आपके लिए कुछ फॉलोअप प्रश्न: (1) जब आप " प्रॉक्सी नेटवर्क " या " फ्रंट गेट प्रॉक्सी " कहते हैं, तो मेरा मानना ​​है कि क्लाउड सर्वर प्रदान कर रहा है जो क्लाइंट और मेरे ऐप सर्वर के बीच बिचौलियों के रूप में कार्य करता है, हां? यदि आप नहीं समझा सकते हैं? और (2) क्या CloudFlare और / या इनकैप्सुला इन अन्य सेवाओं (स्टॉपिंग / ब्लॉकिंग बॉट, WAF इत्यादि) के लिए कार्यक्षमता प्रदान करता है? एक बार फिर धन्यवाद!
हर्पीडरपूल
इसके अलावा, " पीओपी " से मेरा मतलब है कि "उपस्थिति के बिंदु", हां?
१५:०
धन्यवाद। बहुत सराहना की। आपको सवालों के जवाब देने के लिए: फ्रंट गेट प्रॉक्सी: शब्द "प्रॉक्सी" का तात्पर्य उक्त नेटवर्क और आपकी साइट के बीच एक मध्यस्थ संबंध पर है। इसका मतलब है कि नेटवर्क आपकी साइट के सामने "बैठेगा" (इसलिए "फ्रंट गेट") रक्षा की पहली पंक्ति के रूप में, मूल रूप से सभी ट्रैफ़िक 1 प्राप्त कर रहा है और सभी "खराब सामान" को छान रहा है, हमारे मामले में बैड बॉट का उपयोग करके अवरुद्ध नियम और वैक्टर, WAF और इतने पर। DDoS के मामले में यह नेटवर्क अतिरिक्त ट्रैफ़िक को संतुलित करने में भी मदद करेगा, इस प्रकार DDoS संबंधित समस्याओं को रोका जा सकेगा। (यानी क्रैश) POP = पॉइंट ऑफ़ प्रेज़ेंस। आप 100% सही हैं।
इगल ज़ीफ़मैन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.