CDNはどのようにしてDDoS攻撃からフェイルオーバーサイトを保護しますか?


9

私は、おそらく最終的にGoogle App Engine(GAE)にデプロイされるJava Webアプリの設計プロセスにいます。GAEの良い点は、恐ろしいDDoS攻撃からアプリを強化することを本当に心配する必要がないことです。「請求上限」を指定するだけで、トラフィックがこの上限(DDoSまたはそれ以外)に達すると、GAEアプリをシャットダウンします。言い換えると、GAEは、アプリを実行し続ける余裕がなくなるまで、基本的に任意の量にスケーリングされます。

したがって、私は、この請求の上限に達し、GAEがアプリをシャットダウンした場合、WebアプリドメインのDNS設定が別の非GAE IPアドレスに「フェイルオーバー」するような不測の事態を計画しています。一部の初期の調査では、CloudFlareなどの特定のCDNがこの正確な状況に対応するサービスを提供していることが示されています。基本的に、私はDNS設定を保持するだけで、フェイルオーバー手順を自動化するために使用できるAPIを提供します。したがって、GAEアプリの請求上限が99%になっていることを検出した場合、このCloudFlare APIにアクセスできます。CloudFlareは、DNS設定を動的に変更して、GAEサーバーから他のIPアドレスを指すようにします。

私の最初の不測の事態は、おそらくGoDaddyまたはRackspaceによって他の場所でホストされているWebアプリケーションの「読み取り専用」(静的コンテンツのみ)バージョンにフェイルオーバーすることです。

しかし、それから突然私に気づきました。DDoS攻撃がドメイン名をターゲットにしている場合、GAE IPアドレスから(たとえば)GoDaddy IPアドレスにロールオーバーするとどのような違いがありますか?要するに、フェイルオーバーはDDoS攻撃者が私のバックアップ/ GoDaddyサイトをダウンさせること以外は何もしません!

言い換えると、DDoS攻撃者は、GAEによってホストされている私のWebアプリへの攻撃を調整しますwww.blah-whatever.com。これは、実際にはIPアドレス100.2.3.4です。これにより、トラフィックが課金上限の98%に急上昇し、カスタムモニターが100.2.3.4から105.2.3.4へのCloudFlareフェイルオーバーをトリガーます。DDoS攻撃者は気にしません!彼らはまだ攻撃を仕掛けていwww.blah-whatever.comます!DDoS攻撃が続いています!

だから私は尋ねます:CloudFlareのようなCDNはどのような保護を提供するので-別のDNSにフェールオーバーする必要があるときに-同じ、継続的なDDoS攻撃の危険にさらされませんか?そのような保護が存在する場合、フェイルオーバーサイトに課されている技術的な制限(読み取り専用など)はありますか?そうでない場合、彼らは何が良いのですか?前もって感謝します!


すばらしいQ!これから多くのことを学ぶことができます:-)
Martijn Verburg 2012

回答:


6

この構成では、DDoS攻撃から保護されません。CDNはDDoS攻撃から「保護」しません。問題に対応するために大量のハードウェアと帯域幅を用意することで、その影響を軽減します。CDNがDNS設定を変更してサーバーを直接指すようにすると、CDNはWebサイトへのリクエストを処理しなくなります。クライアントはCDNのIPを見ることができないため、CDNは保護を提供できなくなります。

「何が良いのか」という限り-DDoS攻撃はCDNを使用する目的ではありません。CDNを使用する目的は、サーバーとクライアント間の地理的な距離を短くすることにより、誰かがWebサーバーの1つから大量のデータを要求してから、そのユーザーがデータを取得するまでの待ち時間を短縮することです。これは、実行可能なパフォーマンス最適化です。ただし、DDoSからのセキュリティを提供するようには設計されていません。


ありがとう@Billy ONeal(+1)-要約すると、「DDoSフェイルオーバー」で実際にリクエストをCDNサーバーにリダイレクトして、サイトが稼働し続けるのに十分なハードウェア/帯域幅を問題にスローできるようにしたいと思います。これはCDNの主要な機能ではありませんが。これは多かれ少なかれ正しいですか?もしそうなら、簡単なフォローアップの質問:私がこのルートをたどり、フェイルオーバーをCDNにリダイレクトした場合、Webアプリは通常のように機能し続けることができますか、またはCDNは静的コンテンツのみを提供できますか(つまり、私のWebアプリは「読み取り専用」など)?再度、感謝します!
herpylderp 2012

@herpylderp:まあ、それはサイトの性質に依存します。CDNは完全に静的なコンテンツのみを処理します。サーバーが「興味深いこと」を行う場合、CDNは役に立ちません。通常、CDNのサーバーでコードを実行することはできません。たとえば、スタック交換サイトでは、各サイトのイメージはCDNであるsstatic.comでホストされていますが、メインサイトはStackExchangeの独自のデータセンターでホストされています。
Billy ONeal、2007

1
CDNは通常、ボリュームに基づいて課金されるため、請求コストをベンダー間で移動するだけです。AFAIK、DDoSの軽減には通常、IP範囲の自動一時ブロックが含まれます。
Joeri Sebrechts 2012

ありがとう@Joeri Sebrechts(+1)-「IP範囲」と「IPサブネット」の間に違いはありますか、それとも同じですか?GAEではIPサブネットをブロックできるため、これがあなたが話していることであることを期待しています。
herpylderp 2012

7

私はCDNベースの高速化サービス(CFなど)も提供するクラウドセキュリティ企業であるIncapsulaで働いています。

(@Billy ONealで正しく記述されているように)CDN自体はDDoS保護を提供しませんが、クラウドベースのプロキシネットワークは非常に効果的なDDoS緩和ツールであると言いたいです。

したがって、DDoS on Cloud CDNの場合、DDoSによって生成されたすべての余分なトラフィックを取り込みながら、世界中のさまざまなPOPからサイトへのアクセスを許可するのは、「CDN」ではなく「クラウド」です。

また、これはフロントゲートプロキシソリューションであるため、このテクノロジーを使用して、スプーフィングされたIPを使用してサーバーに多数のSYNリクエストを送信するレベル3〜4のネットワークDDoS攻撃(つまり、SYNフラッド)を緩和できます。

この場合、プロキシはACK応答を受信するまで接続を確立しないため、SYN​​フラッドが発生するのを防ぎます。

ウェブサイトのセキュリティにクラウドを使用できる他の方法もあります(つまり、不正なボットのブロック、クラウドベースのWAF)。これらのいくつかは、DDoSの緩和または防止にも使用できます(スキャナーボットの停止は、後者の良い例です)。ここで理解しておくべき主なことは、これはすべてCDNではなくクラウドテクノロジーに基づいているということです。


1
うわー-@Igal Zeifman(+1)に感謝-すばらしい回答です!フォローアップのいくつかの質問:(1)「プロキシネットワーク」または「フロントゲートプロキシ」と言うとき、クラウドがクライアントと私のアプリサーバーの間の仲介役として機能するサーバーを提供していると思いますか?できない場合は説明してください。(2)CloudFlareやIncapsulaはこれらの他のサービス(ボットの停止/ブロック、WAFなど)に機能を提供しますか?再度、感謝します!
herpylderp 2012

また、「POP」とは、「ポイントオブプレゼンス」を意味すると思いますか。
herpylderp

ありがとね。大変感謝いたします。あなたの質問に答えるために:フロントゲートプロキシ:「プロキシ」という用語は、前述のネットワークとサイトの間の仲介関係を意味します。ネットワークが最初の防御線としてサイトの前(つまり「フロントゲート」)に「座る」ことを意味し、基本的にすべてのトラフィックを最初に受け取り、すべての「悪いもの」をフィルタリングします。ブロックルールとベクトル、WAFなど。DDoSの場合、このネットワークは余分なトラフィックのバランスをとるのにも役立ち、DDoS関連の問題を防ぎます。(つまり、クラッシュ)POP =存在点。あなたは100%正解です。
Igal Zeifman、2012
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.