¿Cómo protegen los CDN los sitios de conmutación por error de los ataques DDoS?

Estoy en el proceso de diseño de una aplicación web Java que probablemente terminaré implementando en Google App Engine (GAE). Lo bueno de GAE es que realmente no tengo que preocuparme por fortificar mi aplicación del temido ataque DDoS: solo especifico un "límite de facturación", y si mi tráfico llega a este límite (DDoS o no), GAE solo cerrará mi aplicación. En otras palabras, GAE esencialmente escalará a cualquier cantidad hasta que simplemente no pueda permitirse mantener la aplicación funcionando por más tiempo.

Así que estoy tratando de planificar una contingencia mediante la cual, si llego a este límite de facturación y GAE cierra mi aplicación, la configuración de DNS del dominio de mi aplicación web "falla" a otra dirección IP que no sea GAE. Algunas investigaciones iniciales han demostrado que ciertas CDN como CloudFlare ofrecen servicios para esta situación exacta. Básicamente, solo mantengo mi configuración de DNS con ellos, y proporcionan una API que puedo utilizar para automatizar un procedimiento de conmutación por error. Por lo tanto, si detecto que estoy al 99% de mi límite de facturación para mi aplicación GAE, puedo alcanzar esta API de CloudFlare, y CloudFlare cambiará dinámicamente mi configuración de DNS para apuntar desde los servidores GAE a alguna otra dirección IP.

Mi contingencia inicial sería la conmutación por error a una versión de "solo lectura" (solo contenido estático) de mi aplicación web alojada en otro lugar, tal vez por GoDaddy o Rackspace.

Pero de repente me di cuenta: si los ataques DDoS se dirigen al nombre de dominio, ¿qué diferencia hay si paso de mi dirección IP GAE a mi (digamos) dirección IP GoDaddy? ¡En esencia, la conmutación por error no haría nada más que permitir que los atacantes DDoS derriben mi sitio de respaldo / GoDaddy!

En otras palabras, los atacantes DDoS coordinan un ataque a mi aplicación web, alojada por GAE, en www.blah-whatever.com, que es realmente una dirección IP de 100.2.3.4 . Causan que mi tráfico aumente al 98% de mi límite de facturación, y mi monitor personalizado desencadena una conmutación por error CloudFlare de 100.2.3.4 a 105.2.3.4 . ¡A los atacantes DDoS no les importa! ¡Todavía están lanzando un ataque contra www.blah-whatever.com! ¡El ataque DDoS continúa!

Entonces, pregunto: ¿qué protección ofrecen las CDN como CloudFlare para que, cuando necesite conmutar por error a otro DNS, no esté en riesgo de sufrir el mismo ataque DDoS continuo? Si existe tal protección, ¿existen restricciones técnicas (por ejemplo, de solo lectura, etc.) que se colocan en el sitio de conmutación por error? Si no, ¿de qué sirven? ¡Gracias por adelantado!

— herpylderp
fuente

Gran Q! Se puede aprender mucho de esto :-)

— Martijn Verburg

Respuestas:

No protegen contra ataques DDoS cuando están en esta configuración. Un CDN no "protege" contra un ataque DDoS, solo mitiga sus efectos al tener mucho hardware y ancho de banda para solucionar el problema. Cuando el CDN cambia la configuración de DNS para apuntar directamente a su servidor, el CDN ya no maneja las solicitudes de su sitio web: los clientes nunca ven la IP del CDN, por lo que el CDN ya no puede ofrecerle protección.

En cuanto a "de qué sirven", los ataques DDoS no son el punto de usar un CDN. El punto de usar un CDN es disminuir la latencia entre cuando alguien solicita una gran cantidad de datos de uno de sus servidores web y esa persona que obtiene los datos, acortando la distancia geográfica entre el servidor y el cliente. Es una optimización de rendimiento que puedes hacer; pero realmente no está diseñado para proporcionar seguridad desde DDoS.

— Billy ONeal
fuente

Gracias @Billy ONeal (+1), así que para resumir: me gustaría que mi "Conmutación por error DDoS" en realidad redirija las solicitudes a los servidores CDN, para que puedan lanzar suficiente hardware / ancho de banda al problema para mantener el sitio en funcionamiento; aunque esta no es la función principal de un CDN. ¿Es esto más o menos correcto? Si es así, una pregunta de seguimiento rápida: si tomé esta ruta y tuve mi redirección de conmutación por error a la CDN, ¿mi aplicación web podría continuar funcionando como normal o las CDN solo devolverían contenido estático (es decir, mi aplicación web se convertiría en " solo lectura ", etc.)? ¡Gracias de nuevo!

— herpylderp

@herpylderp: Bueno, eso depende de la naturaleza del sitio. Las CDN solo manejan contenido completamente estático. Si su servidor hace "cosas interesantes", entonces el CDN no lo ayudará. Por lo general, no puede ejecutar código en los servidores de CDN. Por ejemplo, en los sitios de intercambio de pila, las imágenes para cada uno de los sitios están alojadas en sstatic.com, un CDN, pero el sitio principal está alojado en los propios centros de datos de StackExchange.

— Billy ONeal

Los CDN generalmente cobran en función del volumen, por lo que solo transfiere el costo de facturación de un proveedor a otro. AFAIK, la mitigación de DDoS generalmente implica el bloqueo temporal automático de los rangos de IP.

— Joeri Sebrechts

Gracias @Joeri Sebrechts (+1): ¿hay alguna diferencia entre un "rango de IP" y una "subred de IP" o son iguales? Le pregunto porque GAE le permite bloquear subredes IP y espero que esto sea de lo que está hablando.

— herpylderp

Trabajo para Incapsula , una compañía de Cloud Security que también brinda servicios de aceleración basados en CDN (como CF).

Quiero decir que, si bien (como lo indica correctamente @Billy ONeal) CDN por sí solo no proporciona protección DDoS, una red proxy basada en la nube es una herramienta de mitigación DDoS MUY efectiva.

Y así, en el caso de DDoS on Cloud CDN, no es el "CDN" sino "Cloud" lo que lo protege al absorber todo el tráfico adicional generado por DDoS, al tiempo que permite el acceso a su sitio desde diferentes POP en todo el mundo.

Además, como se trata de una solución de proxy de puerta de entrada, esta tecnología se puede utilizar para mitigar los ataques DDoS de red de nivel 3-4 (es decir, SYN Floods) que utilizan IP falsificadas para enviar numerosas solicitudes SYN a sus servidores.

En este caso, un proxy no establecerá una conexión hasta que se reciba una respuesta ACK, evitando así que ocurra la inundación SYN.

También hay otras formas en que puede usar Cloud para la seguridad del sitio web (es decir, Bloqueo de bots incorrectos, WAF basado en la nube) y algunas de estas también se pueden usar para mitigar o prevenir DDoS (detener los bots del escáner es un buen ejemplo para más adelante) pero Lo principal que hay que entender aquí es que todo esto no se basa en CDN sino en tecnología Cloud.

— Igal Zeifman
fuente

Wow - gracias @Igal Zeifman (+1) - ¡gran respuesta! Algunas preguntas de seguimiento para usted: (1) Cuando dice " red proxy " o " proxy de puerta de entrada ", supongo que quiere decir que la nube está proporcionando servidores que actúan como intermediarios entre los clientes y mis servidores de aplicaciones, ¿sí? Si no, ¿puedes explicar? Y (2) ¿CloudFlare y / o Incapsula proporcionan funcionalidad para estos otros servicios (detener / bloquear bots, WAF, etc.)? ¡Gracias de nuevo!

— herpylderp

Además, por " POP " supongo que te refieres a "Puntos de presencia", ¿sí?

— herpylderp

Hola Gracias. Muy apreciado. Para responder a sus preguntas: Front Gate Proxy: el término "proxy" implica una relación intermedia entre dicha red y su sitio. Lo que significa que la red se "sentará" frente a su sitio (por lo tanto, "puerta principal") como primera línea de defensa, básicamente recibiendo todo el tráfico primero y filtrando todas las "cosas malas", en nuestro caso utilizando Bad Bot reglas y vectores de bloqueo, WAF, etc. En el caso de DDoS, esta red también ayudará a equilibrar el tráfico adicional, evitando así problemas relacionados con DDoS. (es decir, se bloquea) POP = Puntos de presencia. Estás 100% correcto.

— Igal Zeifman