Como as CDNs protegem os sites de failover contra ataques DDoS?

9

Estou no processo de design de um aplicativo Web Java que provavelmente acabarei implantando no Google App Engine (GAE). O bom do GAE é que eu realmente não preciso me preocupar em fortalecer meu aplicativo contra o terrível ataque DDoS - apenas especifique um "teto de cobrança" e, se meu tráfego atingir esse teto (DDoS ou não), o GAE apenas desligará meu aplicativo. Em outras palavras, o GAE será escalado para qualquer quantia até que você simplesmente não possa mais manter o aplicativo em execução.

Portanto, estou tentando planejar uma contingência na qual, se eu atingir esse limite de cobrança e o GAE encerrar meu aplicativo, as configurações de DNS do domínio do meu aplicativo da Web "falharão" para outro endereço IP não-GAE. Algumas pesquisas iniciais mostraram que certas CDNs, como o CloudFlare, oferecem serviços para essa situação exata. Basicamente, apenas mantenho minhas configurações de DNS com eles e eles fornecem uma API que posso acessar para automatizar um procedimento de failover. Portanto, se eu detectar que estou com 99% do meu limite de cobrança para o meu aplicativo GAE, posso acessar esta API do CloudFlare e o CloudFlare alterará dinamicamente minhas configurações de DNS para apontar para longe dos servidores GAE para outro endereço IP.

Minha contingência inicial seria o failover para uma versão "somente leitura" (somente conteúdo estático) do meu aplicativo da web hospedado em outro lugar, talvez pelo GoDaddy ou Rackspace.

Mas, de repente, me dei conta: se os ataques DDoS visam o nome de domínio, que diferença faz se eu passar do meu endereço IP do GAE para o meu (digamos) endereço IP do GoDaddy? Em essência, o failover não faria outra coisa senão permitir que os invasores DDoS derrubassem meu site de backup / GoDaddy!

Em outras palavras, os atacantes de DDoS coordenam um ataque no meu aplicativo da web, hospedado pelo GAE, at www.blah-whatever.com, que é realmente um endereço IP 100.2.3.4 . Eles fazem com que meu tráfego atinja 98% do meu limite de cobrança, e meu monitor personalizado aciona um failover do CloudFlare de 100.2.3.4 para 105.2.3.4 . Os atacantes DDoS não se importam! Eles ainda estão lançando um ataque contra www.blah-whatever.com! O ataque DDoS continua!

Então, pergunto: que proteção CDNs como o CloudFlare oferecem para que - quando você precise fazer o failover para outro DNS - não corra o risco do mesmo ataque DDoS contínuo? Se essa proteção existir, existem restrições técnicas (por exemplo, somente leitura, etc.) colocadas no site de failover? Se não, de que servem? Desde já, obrigado!

java web-applications security google-app-engine herpylderp
fonte
Ótimo Q! Muitas podem ser aprendidas a partir desta :-)
Martijn Verburg

Respostas:

6

Eles não protegem contra ataques DDoS quando estão nessa configuração. Uma CDN não "protege" contra um ataque DDoS - eles apenas atenuam seus efeitos, tendo muito hardware e largura de banda para resolver o problema. Quando a CDN altera as configurações de DNS para apontar diretamente para o servidor, a CDN não está mais lidando com solicitações do seu site - os clientes nunca veem o IP da CDN, portanto, a CDN não pode mais oferecer proteção a você.

Tanto quanto "de que servem eles" - os ataques DDoS não são o ponto de usar uma CDN. O objetivo do uso de uma CDN é diminuir a latência entre quando alguém solicita uma grande parte dos dados de um de seus servidores da Web e a pessoa que os obtém, diminuindo a distância geográfica entre o servidor e o cliente. É uma otimização de desempenho que você pode fazer; mas realmente não foi projetado para fornecer segurança de DDoS.

Billy ONeal
fonte
Obrigado @Billy ONeal (+1) - para resumir: eu gostaria que meu "DDoS Failover" redirecionasse solicitações para os servidores CDN, para que eles pudessem jogar hardware / largura de banda suficiente no problema para manter o site em funcionamento; embora essa não seja a principal função de uma CDN. Isso é mais ou menos certo? Em caso afirmativo, uma pergunta rápida de acompanhamento: se eu seguisse esse caminho e meu redirecionamento de failover para a CDN, meu aplicativo da web pudesse continuar funcionando normalmente ou se a CDN apenas exibisse conteúdo estático (por exemplo, meu aplicativo da web se tornaria " somente leitura ", etc.)? Obrigado novamente!
23412 herpylderp
@herpylderp: Bem, isso depende da natureza do site. CDNs lidam apenas com conteúdo completamente estático. Se o seu servidor fizer "coisas interessantes", a CDN não irá ajudá-lo. Você normalmente não consegue executar o código nos servidores da CDN. Por exemplo, nos sites de troca de pilhas, as imagens de cada um dos sites são hospedadas no sstatic.com, uma CDN, mas o site principal está hospedado nos próprios datacenters do StackExchange.
precisa
11
As CDNs costumam ser cobradas com base no volume; portanto, você está apenas movendo o custo de cobrança de um fornecedor para outro. A mitigação de AFAIK e DDoS geralmente envolve bloqueio temporário automático dos intervalos de IP.
Joeri Sebrechts
Obrigado @Joeri Sebrechts (+1) - existe alguma diferença entre um "intervalo de IP" e uma "sub-rede IP" ou eles são iguais? Eu pergunto porque o GAE permite bloquear sub-redes IP e espero que seja disso que você está falando.
23612 herpylderp
7

Trabalho na Incapsula , uma empresa de segurança em nuvem que também fornece serviços de aceleração baseados em CDN (como CF).

Quero dizer que, embora (como declarado corretamente pelo @Billy ONeal), a CDN por si só não ofereça proteção DDoS, uma Rede Proxy baseada em nuvem é uma ferramenta de mitigação de DDoS MUITO eficaz.

E assim, no caso do DDoS on Cloud CDN, não é o "CDN", mas o "Cloud" que protege você, absorvendo todo o tráfego extra gerado pelo DDoS, enquanto ainda permite o acesso ao seu site a partir de diferentes POPs ao redor do mundo.

Além disso, por se tratar de uma solução proxy de front-gate, essa tecnologia pode ser usada para atenuar os ataques DDoS de rede de nível 3-4 (por exemplo, SYN Floods) que usam IPs falsificados para enviar inúmeras solicitações de SYN para seus servidores.

Nesse caso, um proxy não estabelecerá uma conexão até que uma resposta ACK seja recebida, impedindo que a inundação SYN aconteça.

Também existem outras maneiras de usar o Cloud para segurança do site (por exemplo, bloqueio de bot incorreto, WAF baseado em nuvem) e algumas delas também podem ser usadas para mitigação ou prevenção de DDoS (interromper os bots de scanner é um bom exemplo para os posteriores), mas o O principal a entender aqui é que tudo isso se baseia não na CDN, mas na tecnologia Cloud.

Igal Zeifman
fonte
11
Uau - obrigado @Igal Zeifman (+1) - ótima resposta! Algumas perguntas de acompanhamento para você: (1) Quando você diz " rede proxy " ou " proxy de porta frontal ", suponho que você queira dizer que a nuvem está fornecendo servidores que agem como intermediários entre clientes e meus servidores de aplicativos, sim? Se não, você pode explicar? E (2) o CloudFlare e / ou o Incapsula fornecem funcionalidade para esses outros serviços (parada / bloqueio de bots, WAF etc.)? Obrigado novamente!
23612 herpylderp
Além disso, por " POP ", suponho que você queira dizer "Pontos de presença", sim?
23412 herpylderp
Oi obrigado Muito apreciado. Para responder às suas perguntas: Proxy do Front Gate: o termo "proxy" implica em um relacionamento intermediário entre a referida rede e seu site. O que significa que a rede "fica" na frente do seu site (daí o "front gate") como primeira linha de defesa, basicamente recebendo todo o tráfego primeiro e filtrando todas as "coisas ruins", no nosso caso, usando Bad Bot regras e vetores de bloqueio, WAF e assim por diante. No caso de DDoS, essa rede também ajudará a equilibrar o tráfego extra, evitando problemas relacionados ao DDoS. (ou seja, trava) POP = Pontos de presença. Você está 100% correto.
Igal Zeifman 29/07