In che modo i CDN proteggono i siti di failover dagli attacchi DDoS?

9

Sono in fase di progettazione per un'app Web Java che probabilmente finirò per distribuire a Google App Engine (GAE). La cosa bella di GAE è che davvero non devo preoccuparmi di fortificare la mia app dall'attacco DDoS temuto - ho appena specificato un "limite di fatturazione" e se il mio traffico raggiunge questo limite (DDoS o altro), GAE chiuderà semplicemente la mia app. In altre parole, GAE si ridurrà essenzialmente a qualsiasi importo fino a quando semplicemente non puoi permetterti di mantenere l'app in esecuzione più a lungo.

Quindi sto cercando di pianificare una contingenza in base alla quale, se raggiungo questo limite di fatturazione e GAE arresta la mia app, le impostazioni DNS del dominio della mia app Web "eseguono il failover" su un altro indirizzo IP non GAE. Alcune ricerche iniziali hanno dimostrato che alcuni CDN come CloudFlare offrono servizi per questa situazione esatta. Fondamentalmente, mantengo solo le mie impostazioni DNS con loro e forniscono un'API che posso colpire per automatizzare una procedura di failover. Pertanto, se rilevo che sono al 99% del mio limite di fatturazione per la mia app GAE, posso toccare questa API CloudFlare e CloudFlare cambierà dinamicamente le mie impostazioni DNS per puntare lontano dai server GAE a qualche altro indirizzo IP.

La mia contingenza iniziale sarebbe quella di eseguire il failover su una versione "sola lettura" (solo contenuto statico) della mia app Web ospitata da qualche altra parte, magari da GoDaddy o Rackspace.

Ma poi all'improvviso mi sono reso conto: se gli attacchi DDoS prendono di mira il nome di dominio, che differenza fa se passo al passaggio dal mio indirizzo IP GAE al mio indirizzo IP (ad esempio) GoDaddy? In sostanza, il failover non farebbe altro che consentire agli aggressori DDoS di far cadere il mio sito di backup / GoDaddy!

In altre parole, gli aggressori DDoS coordinano un attacco sulla mia app Web, ospitata da GAE, su www.blah-whatever.com, che in realtà è un indirizzo IP di 100.2.3.4 . Causano il mio traffico al 98% del mio limite di fatturazione e il mio monitor personalizzato avvia un failover CloudFlare da 100.2.3.4 a 105.2.3.4 . Agli attaccanti DDoS non importa! Stanno ancora lanciando un attacco contro www.blah-whatever.com! L'attacco DDoS continua!

Quindi chiedo: quale protezione offrono CDN come CloudFlare in modo che - quando è necessario eseguire il failover su un altro DNS - non si sia a rischio per lo stesso, attacco DDoS continuo? Se esiste una protezione di questo tipo, esistono restrizioni tecniche (ad esempio di sola lettura, ecc.) Che vengono collocate sul sito di failover? In caso contrario, a che cosa servono ?! Grazie in anticipo!

java  web-applications  security  google-app-engine 
herpylderp
fonte
Grande Q! Da questo si può imparare molto :-)
Martijn Verburg,

Risposte:

6

Non proteggono dagli attacchi DDoS in questa configurazione. Un CDN non "protegge" da un attacco DDoS, ma ne mitiga gli effetti avendo un sacco di hardware e larghezza di banda da risolvere. Quando la CDN modifica le impostazioni DNS per puntare direttamente al tuo server, la CDN non gestisce più le richieste per il tuo sito Web: i client non vedono mai l'IP della CDN, quindi la CDN non può più offrirti protezione.

Per quanto riguarda "a che cosa servono" - gli attacchi DDoS non sono il punto di usare una CDN. Il punto di usare una CDN è ridurre la latenza tra quando qualcuno richiede una grande mole di dati da uno dei tuoi server web e quella persona che ottiene i dati, accorciando la distanza geografica tra il server e il client. È un'ottimizzazione perf che puoi fare; ma in realtà non è progettato per fornire sicurezza da DDoS.

Billy ONeal
fonte
Grazie @Billy ONeal (+1) - per riassumere: Vorrei che il mio "Failover DDoS" reindirizzasse effettivamente le richieste ai server CDN, in modo che potessero lanciare abbastanza hardware / larghezza di banda al problema per mantenere il sito attivo e funzionante; sebbene questa non sia la funzione principale di una CDN. È più o meno giusto? In tal caso, una domanda di follow-up rapida: se seguissi questa strada e avessi il mio reindirizzamento del failover sulla CDN, la mia app Web sarebbe in grado di continuare a funzionare normalmente o se la CDN fornisse solo contenuto statico di ritorno (ovvero la mia app Web diventerebbe " sola lettura ", ecc.)? Grazie ancora!
Herpylderp,
@herpylderp: Beh, dipende dalla natura del sito. I CDN gestiscono solo contenuti completamente statici. Se il tuo server fa "cose ​​interessanti", la CDN non ti aiuterà. Di solito non è possibile eseguire il codice sui server della CDN. Ad esempio, sui siti di scambio di stack, le immagini per ciascuno dei siti sono ospitate su sstatic.com, un CDN, ma il sito principale è ospitato nei propri data center di StackExchange.
Billy ONeal,
1
In genere, le tariffe CDN vengono addebitate in base al volume, quindi stai spostando i costi di fatturazione da un fornitore all'altro. AFAIK, la mitigazione DDoS di solito comporta il blocco temporaneo automatico degli intervalli IP.
Joeri Sebrechts,
Grazie @Joeri Sebrechts (+1) - c'è qualche differenza tra un "intervallo IP" e una "sottorete IP" o sono uguali? Chiedo perché GAE ti consente di bloccare le sottoreti IP e spero che questo sia ciò di cui stai parlando.
Herpylderp,
7

Lavoro per Incapsula , una società di Cloud Security che fornisce anche servizi di accelerazione basati su CDN (come CF).

Voglio dire che mentre (come correttamente affermato da @Billy ONeal) CDN di per sé non fornisce protezione DDoS, una rete proxy basata su cloud è uno strumento di mitigazione DDoS MOLTO efficace.

E così, nel caso di DDoS su Cloud CDN, non è il "CDN" ma "Cloud" che ti protegge assorbendo tutto il traffico aggiuntivo generato da DDoS, pur consentendo l'accesso al tuo sito da diversi POP in tutto il mondo.

Inoltre, poiché si tratta di una soluzione proxy front-gate, questa tecnologia può essere utilizzata per mitigare gli attacchi DDoS di rete di livello 3-4 (ovvero alluvioni SYN) che utilizzano IP falsificati per inviare numerose richieste SYN ai server.

In questo caso un proxy non stabilirà una connessione fino a quando non viene ricevuta una risposta ACK, evitando così che si verifichi il diluvio SYN.

Esistono anche altri modi in cui è possibile utilizzare Cloud per la sicurezza dei siti Web (ad es. Bad Bot Blocking, WAF basato su cloud) e alcuni di questi possono essere utilizzati anche per la mitigazione o la prevenzione DDoS (l'arresto dei robot scanner è un buon esempio per i successivi) ma il la cosa principale da capire qui è che tutto questo non si basa sulla CDN ma sulla tecnologia Cloud.

Igal Zeifman
fonte
1
Wow - grazie @Igal Zeifman (+1) - ottima risposta! Alcune domande di follow-up per te: (1) Quando dici " proxy network " o " front gate proxy ", presumo tu intenda che il cloud sta fornendo server che fungono da intermediari tra i client e i miei server delle app, sì? Altrimenti puoi spiegare? E (2) CloudFlare e / o Incapsula forniscono funzionalità per questi altri servizi (arresto / blocco dei bot, WAF, ecc.)? Grazie ancora!
Herpylderp,
Inoltre, per " POP " suppongo che intendi "Punti di presenza", sì?
Herpylderp,
Ciao grazie. Molto apprezzato. Per rispondere alle vostre domande: Front Gate Proxy: il termine "proxy" implica una relazione intermedia tra detta rete e il vostro sito. Ciò significa che la rete "siederà" davanti al tuo sito (quindi "cancello principale") come prima linea di difesa, sostanzialmente ricevendo tutto il primo traffico e filtrando tutte le "cose ​​cattive", nel nostro caso usando Bad Bot regole e vettori di blocco, WAF e così via. Nel caso di DDoS questa rete aiuterà anche a bilanciare il traffico extra, evitando così problemi relativi a DDoS. (es. arresti anomali) POP = Punti di presenza. Hai ragione al 100%.
Igal Zeifman,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.