CDN은 DDoS 공격으로부터 장애 조치 사이트를 어떻게 보호합니까?

Java 웹 앱의 디자인 프로세스에 있으며 아마도 Google App Engine (GAE)에 배포하게 될 것입니다. GAE의 좋은 점은 DDoS 공격으로부터 앱을 강화하는 것에 대해 걱정할 필요가 없다는 것입니다. 나는 단지 "청구 한도"를 지정하고 트래픽이이 한도 (DDoS 또는 기타)에 도달하면 GAE 내 앱을 종료합니다. 다시 말해 GAE는 단순히 더 이상 앱을 계속 실행할 수 없을 때까지 기본적으로 어느 정도까지 확장됩니다.

따라서 청구 한도에 도달하고 GAE가 내 앱을 종료하면 웹 앱 도메인 DNS 설정이 다른 비 GAE IP 주소로 "장애 조치"되는 우발 사태를 계획하려고합니다. 일부 초기 연구에 따르면 CloudFlare와 같은 특정 CDN은 이러한 정확한 상황에 대한 서비스를 제공합니다. 기본적으로 DNS 설정 만 유지하고 장애 조치 절차를 자동화하기 위해 적중 할 수있는 API를 제공합니다. 따라서 GAE 앱의 청구 한도 인 99 %에 도달하면이 CloudFlare API를 사용할 수 있으며 CloudFlare는 GAE 서버에서 다른 IP 주소를 가리 키도록 DNS 설정을 동적으로 변경합니다.

내 초기 우발적 상황은 GoDaddy 또는 Rackspace에 의해 다른 곳에서 호스팅되는 웹 응용 프로그램의 "읽기 전용"(정적 내용 만) 버전으로 장애 조치하는 것입니다.

그러나 DDoS 공격이 도메인 이름을 대상으로하는 경우 GAE IP 주소에서 GoDaddy IP 주소로 롤오버하면 어떤 차이가 있습니까? 본질적으로 장애 조치는 DDoS 공격자가 내 백업 / GoDaddy 사이트를 중단시킬 수 있도록하는 것 외에는 아무것도하지 않습니다!

즉, DDoS 공격자는 GAE에서 호스팅하는 내 웹 앱에서 www.blah-whatever.com실제로 100.2.3.4 의 IP 주소 인 공격 을 조정 합니다. 그들은 98 % 내 청구 천장에 스파이크 내 트래픽을 유발하고 내 사용자 정의 모니터에서 CloudFlare 장애 조치 트리거 100.2.3.4 에 105.2.3.4을 . DDoS 공격자는 신경 쓰지 않습니다! 그들은 여전히 공격을 시작하고 있습니다 www.blah-whatever.com! DDoS 공격이 계속됩니다!

그래서 저는 묻습니다. CloudFlare와 같은 CDN은 어떤 DNS를 페일 오버해야 할 때 동일한 DDoS 공격이 계속 될 위험이 없도록하기 위해 어떤 보호 기능을 제공합니까? 이러한 보호가 존재하는 경우 장애 조치 사이트에 적용되는 기술적 제한 (예 : 읽기 전용 등)이 있습니까? 그렇지 않다면, 그들은 무엇입니까?! 미리 감사드립니다!

— 헤르 피더
소스

좋은 Q! 많은

— 것들이

답변:

이 구성에서는 DDoS 공격으로부터 보호되지 않습니다. CDN은 DDoS 공격으로부터 "보호"하지 않습니다. 문제를 일으킬 수있는 많은 하드웨어와 대역폭을 가짐으로써 그 영향을 완화 할뿐입니다. CDN이 DNS 설정을 서버를 직접 가리 키도록 변경하면 CDN은 더 이상 웹 사이트 요청을 처리하지 않습니다. 클라이언트는 CDN의 IP를 볼 수 없으므로 CDN은 더 이상 보호 기능을 제공 할 수 없습니다.

"그들이 얼마나 좋은지"-DDoS 공격은 CDN을 사용하는 것이 아닙니다. CDN을 사용하는 요점은 누군가가 서버와 클라이언트 사이의 지리적 거리를 줄임으로써 누군가 웹 서버 중 하나에서 많은 데이터 청크를 요청할 때와 해당 데이터를받는 사람 사이의 대기 시간을 줄이는 것입니다. 성능을 최적화 할 수 있습니다. 그러나 실제로 DDoS의 보안을 제공하도록 설계되지 않았습니다.

— 빌리 오닐
소스

감사합니다 @Billy ONeal (+1)-요약하자면 : "DDoS Failover"가 실제로 요청을 CDN 서버로 리디렉션하기를 원하므로 문제가 발생했을 때 사이트를 계속 운영하기에 충분한 하드웨어 / 대역폭을 버릴 수 있습니다. CDN의 주요 기능은 아니지만. 이것은 다소 맞습니까? 그렇다면 빠른 후속 질문 :이 경로로 이동하여 장애 조치를 CDN으로 리디렉션하면 웹 앱이 정상적으로 작동하거나 CDN의 정적 콘텐츠 만 다시 제공 할 수 있습니까 (예 : 웹 앱이 " 읽기 전용 "등)? 다시 감사합니다!

— herpylderp

@ herpylderp : 글쎄, 그건 사이트의 특성에 달려 있습니다. CDN은 완전히 정적 인 내용 만 처리합니다. 서버가 "흥미로운 일"을한다면 CDN이 도움이되지 않을 것입니다. 일반적으로 CDN 서버에서 코드를 실행할 수 없습니다. 예를 들어, 스택 교환 사이트에서 각 사이트의 이미지 는 CDN 인 sstatic.com에서 호스팅되지만 기본 사이트는 StackExchange 자체 데이터 센터에서 호스팅됩니다.

— Billy ONeal

CDN은 일반적으로 수량에 따라 청구되므로 청구 비용을 한 공급 업체에서 다른 공급 업체로 이동하기 만하면됩니다. AFAIK, DDoS 완화에는 일반적으로 IP 범위의 자동 임시 차단이 포함됩니다.

— Joeri Sebrechts

감사합니다 @Joeri Sebrechts (+1)- "IP 범위"와 "IP 서브넷"사이에 차이점이 있습니까? 나는 GAE가 IP 서브넷을 차단하고 이것이 당신이 말하는 것을 희망하기 때문에 묻습니다.

— herpylderp

CDN 기반 가속화 서비스 (CF와 같은)를 제공하는 Cloud Security 회사 인 Incapsula 에서 근무 하고 있습니다.

CDN 자체가 DDoS 보호 기능을 제공하지는 않지만 (@Billy ONeal에서 올바르게 명시한대로) 클라우드 기반 프록시 네트워크는 매우 효과적인 DDoS 완화 도구라고 말하고 싶습니다.

따라서 DDoS on Cloud CDN의 경우 "CDN"이 아니라 "Cloud"가 DDoS에서 생성 된 모든 추가 트래픽을 수신하여 사용자를 보호하는 동시에 전 세계의 다른 POP에서 사이트에 액세스 할 수 있습니다.

또한이 기술은 프론트-게이트 프록시 솔루션이므로이 기술을 사용하여 스푸핑 된 IP를 사용하여 서버에 수많은 SYN 요청을 보내는 레벨 3-4 네트워크 DDoS 공격 (예 : SYN 플러드)을 완화 할 수 있습니다.

이 경우 프록시는 ACK 응답이 수신 될 때까지 연결을 설정하지 않으므로 SYN 플러드가 발생하지 않습니다.

웹 사이트 보안을 위해 Cloud를 사용할 수있는 다른 방법도 있습니다 (예 : Bad Bot Blocking, Cloud-based WAF).이 중 일부는 DDoS 완화 또는 예방에도 사용할 수 있습니다 (스캐너 봇 중지는 나중에 좋은 예입니다). 여기서 이해해야 할 것은 CDN이 아니라 클라우드 기술을 기반으로한다는 것입니다.

— 이갈 제 이프 만
소스

와우-고맙습니다 @Igal Zeifman (+1)-훌륭한 답변! 몇 가지 후속 질문 : (1) " 프록시 네트워크 "또는 " 정문 프록시 " 라고 말하면 클라우드가 클라이언트와 내 앱 서버 사이의 중개자 역할을하는 서버를 제공한다고 가정합니다. 그렇지 않다면 설명해 주시겠습니까? (2) CloudFlare 및 / 또는 Incapsula는 이러한 다른 서비스 (봇 중지 / 차단 봇, WAF 등)에 기능을 제공합니까? 다시 감사합니다!

— herpylderp

또한 " POP "는 "현재 위치"를 의미한다고 가정합니다.

— herpylderp

고마워 매우 감사. 질문에 대답하려면 : Front Gate Proxy : "프록시"라는 용어는 해당 네트워크와 사이트 간의 중개 관계를 의미합니다. 네트워크가 사이트의 첫 번째 방어선으로 "정착"(따라서 "정문"), 기본적으로 모든 트래픽 1을 수신하고 모든 경우 "불량 물건"을 필터링하는 것은 Bad Bot을 사용함을 의미합니다. 차단 규칙 및 벡터, WAF 등. DDoS의 경우이 네트워크는 추가 트래픽의 균형을 유지하여 DDoS 관련 문제를 방지합니다. (예 : 충돌) POP = 현재 상태. 당신은 100 % 정확합니다.

— Igal Zeifman