Saya sedang dalam proses desain untuk aplikasi web Java yang mungkin akan saya gunakan pada Google App Engine (GAE). Yang menyenangkan tentang GAE adalah saya benar-benar tidak perlu khawatir tentang memperkuat aplikasi saya dari serangan DDoS yang ditakuti - saya hanya menentukan "plafon penagihan", dan jika lalu lintas saya mencapai langit-langit ini (DDoS atau yang lain), GAE hanya akan menutup aplikasi saya. Dengan kata lain, GAE pada dasarnya akan menskalakan jumlah berapapun hingga Anda tidak mampu lagi menjalankan aplikasi.
Jadi saya mencoba merencanakan kontingensi di mana, jika saya mencapai batas penagihan ini dan GAE menutup aplikasi saya, pengaturan DNS domain aplikasi web saya "gagal" ke alamat IP non-GAE yang lain. Beberapa penelitian awal menunjukkan bahwa CDN tertentu seperti CloudFlare menawarkan layanan untuk situasi yang tepat ini. Pada dasarnya, saya hanya menyimpan pengaturan DNS saya dengan mereka, dan mereka menyediakan API yang dapat saya tekan untuk mengotomatiskan prosedur failover. Jadi, jika saya mendeteksi bahwa saya berada pada 99% plafon tagihan saya untuk aplikasi GAE saya, saya dapat menekan API CloudFlare ini, dan CloudFlare akan secara dinamis mengubah pengaturan DNS saya untuk menjauh dari server GAE ke beberapa alamat IP lainnya.
Kontingensi awal saya adalah failover ke versi "read-only" (hanya konten statis) dari aplikasi web saya yang dihosting di tempat lain, mungkin oleh GoDaddy atau Rackspace.
Tapi kemudian tiba-tiba saya sadar: jika serangan DDoS menargetkan nama domain, apa bedanya jika saya beralih dari alamat IP GAE saya ke (katakanlah) alamat IP GoDaddy saya? Intinya, failover tidak akan melakukan apa pun selain memungkinkan penyerang DDoS untuk menjatuhkan situs backup / GoDaddy saya!
Dengan kata lain, penyerang DDoS mengoordinasikan serangan di aplikasi web saya, yang dihosting oleh GAE, di www.blah-whatever.com
, yang sebenarnya merupakan alamat IP 100.2.3.4 . Mereka menyebabkan lalu lintas saya melonjak hingga 98% langit-langit penagihan saya, dan monitor khusus saya memicu kegagalan CloudFlare dari 100.2.3.4 hingga 105.2.3.4 . Penyerang DDoS tidak peduli! Mereka masih meluncurkan serangan terhadap www.blah-whatever.com
! Serangan DDoS berlanjut!
Jadi saya bertanya: perlindungan apa yang ditawarkan CDN seperti CloudFlare sehingga - ketika Anda perlu gagal ke DNS lain - Anda tidak berisiko untuk hal yang sama, melanjutkan serangan DDoS? Jika perlindungan tersebut ada, apakah ada batasan teknis (misalnya hanya baca, dll.) Yang ditempatkan di situs failover? Jika tidak, apa gunanya mereka ?! Terima kasih sebelumnya!
sumber
Jawaban:
Mereka tidak melindungi terhadap serangan DDoS ketika dalam konfigurasi ini. CDN tidak "melindungi" terhadap serangan DDoS - mereka hanya mengurangi dampaknya dengan memiliki banyak perangkat keras dan bandwidth untuk mengatasi masalahnya. Ketika CDN mengubah pengaturan DNS untuk menunjuk langsung ke server Anda, CDN tidak lagi menangani permintaan untuk situs web Anda - klien tidak pernah melihat IP dari CDN, sehingga CDN tidak lagi dapat menawarkan perlindungan kepada Anda.
Sejauh "apa gunanya mereka" - serangan DDoS bukan gunanya menggunakan CDN. Tujuan menggunakan CDN adalah untuk mengurangi latensi antara ketika seseorang meminta sepotong besar data dari salah satu server web Anda dan orang itu mendapatkan data, dengan memperpendek jarak geografis antara server dan klien. Ini adalah optimasi perf yang dapat Anda lakukan; tapi itu benar-benar tidak dirancang untuk memberikan keamanan dari DDoS.
sumber
Saya bekerja untuk Incapsula , perusahaan Cloud Security yang juga menyediakan layanan akselerasi berbasis CDN (seperti CF).
Saya ingin mengatakan bahwa sementara (sebagaimana dinyatakan dengan benar oleh @Billy ONeal) CDN dengan sendirinya tidak memberikan perlindungan DDoS, Jaringan Proksi berbasis Cloud adalah alat mitigasi DDoS yang sangat efektif.
Jadi, dalam hal DDoS di Cloud CDN, itu bukan "CDN" tetapi "Cloud" yang melindungi Anda dengan menerima semua lalu lintas tambahan yang dihasilkan oleh DDoS, sambil tetap memungkinkan akses ke situs Anda dari berbagai POP di seluruh dunia.
Juga, karena ini merupakan solusi proxy gerbang depan, teknologi ini dapat digunakan untuk mengurangi serangan DDoS jaringan level 3-4 (yaitu SYN Floods) yang menggunakan IP spoofed untuk mengirim berbagai permintaan SYN ke server Anda.
Dalam hal ini proxy tidak akan membuat koneksi sampai respon ACK diterima, sehingga mencegah banjir SYN terjadi.
Ada juga cara lain Anda dapat menggunakan Cloud untuk keamanan situs web (mis. Pemblokiran Bot Buruk, WAF berbasis Cloud) dan beberapa di antaranya juga dapat digunakan untuk mitigasi atau pencegahan DDoS (menghentikan bot pemindai adalah contoh yang baik untuk nanti) tetapi Hal utama yang perlu dipahami di sini adalah bahwa ini semua tidak didasarkan pada CDN tetapi pada teknologi Cloud.
sumber