昨年の冬、オンライン教育に携わる友人のオンライン・クラス・プラットフォームが、プロモーション・シーズンにDDoS攻撃の波に直接圧倒されたとき、私は緊急事態に対処する手助けをした。ユーザーはログインできず、ライブ放送はPPTで止まり、払い戻しのアプリケーションは雪のように舞い上がった。彼は電話で声を震わせていた。“私のサーバー構成は悪くないああ、ファイアウォールも開いている。”どうして紙粘土のようなんだ?私はこのようなことがあまりにも多く、多くの人々は、クラウドホストを借りて、セキュリティソフトウェアをインストールすると安心して眠ることができると思う、攻撃の結果は、すぐに現在のフォームが来た。
現在、ネットワーク環境は10年前ほど小さくはない。攻撃は、ボットネットのリースから戦いに代わって攻撃に、産業のチェーンとなっている、価格は明確にマークされています。あなたは、電子商取引ステーションに従事し、競合他社はあなたが一日を麻痺させるために数千ドルを費やすことができる、あなたはゲームサーバーを行い、恐喝ギャング分はあなたに何百ものGトラフィック “ギフトパッケージ ”を送信する。通常のサーバーの帯域幅とコンピューティングリソースは、実際の洪水の攻撃の前に、苦労する機会も。
標準的なクラウドサーバーは、たとえCPUとメモリがトップであっても、1秒間に数十万パケットのUDP Floodが持続的に発生し、3分以内に崩壊することがわかりました。システムログは “接続拒否 ”でいっぱいになり、コンソールが灰色になる。より多くの欲求不満は、直接あなたの “ブラックホール ”に、他のユーザーに影響を与えないために、いくつかのクラウドサービスプロバイダということです - つまり、通常のアクセスと一緒に、捨てるために入り口のトラフィックを入力することはできません。あなたはサービスを購入するためにお金を払うと言う、何かが人々の最初の反応に起こったことは、ハエを食べるよりも嫌な経験、あなたを分離することです。
だから、みんな甘く見てはいけない。攻撃にはあらゆる種類があるので、よくあるものをいくつか挙げておこう:
- このようなUDPフラッド、ICMPフラッドなどのトラフィック型の攻撃は、純粋に帯域幅を呪文。あなたのサーバーの輸出は100Mですが、人々は10Gを打つ、どのように運ぶために?
- コネクションベースの攻撃、典型的なSYNフラッドは、狂ったようにハンドシェイクパケットを送信し、TCPコネクションプールを使い果たす。カーネルパラメータを調整しなければ、毎秒5,000のSYNが普通のLinuxサーバーを横たわらせる。
- CC攻撃、HTTP低速接続などのアプリケーション層攻撃。これは、実際のユーザーの行動をシミュレートし、最も陰湿であり、ファイアウォールはしばしば判断を誤る。私は顧客のフォーラムサイトに遭遇したことがある、CCは、データベース接続の数が上限まで高騰し、ページが30秒以上ロードされ、ユーザーはすべて逃げた。
最近では、CDNでさえ「チームメイトを守る」必要がある。いくつかの小さなベンダーは、IPプールやクリーニングリソースを共有し、コストを節約するために、結果は、サイトがヒットしたということです、プール全体が影響を受け、他の顧客と一緒に苦しむ。だから私は後で私の教訓を学んだ、重要なビジネスは、独立した保護リソースのサービスを使用する必要があります。
ハイ・ディフェンス・サーバーは、大げさに言えば、あらゆる不服従の “硬骨 ”に対する特別扱いである。それはブラックテクノロジーではなく、ハードウェアからソフトウェアまでのフルセットのソリューションである。大帯域幅の入り口、インテリジェントなトラフィックのクリーニング、冗長な負荷分散:3つのポイントのコア。帯域幅だけでは不十分だ。私はそのような08Hostパッケージ、標準500Gbps以上のクリーニング容量、Tレベルのリソースへのバックボーンネットワークへの直接アクセスなど、いくつかの信頼性の高い高防御ノードを見てきました。攻撃トラフィックが来ると、まずクリーニングセンターに導かれ、汚れたデータがフィルタリングされ、きれいなトラフィックがサーバーのソースに戻る。プロセスはミリ秒単位で遅延し、ユーザーはほとんど無感覚です。
しかし、それはベンダーに依存するだけでは十分ではありません、あなた自身のロープを知っている必要があります。例えば、Linuxサーバーは、カーネルパラメータ、高いセキュリティ割引の効果を最適化しないでください。私は通常、次のように、オンラインに行く前にいくつかの重要な値を調整します:
これらのパラメーターはビジネスのタイプに合わせて微調整するもので、大きければいいというものではない。ゲームサーバーとWebサーバーは異なって設定され、私は通常、それを行う前に、数日間のトラフィックパターンを監視します。それらのオンライン “ユニバーサル設定 ”を信じてはいけない、コピーしてトラブルに巻き込まれやすい貼り付け。
このインテリジェント・クリーニングの領域は深い。良いアルゴリズムを持つベンダーは、正確に攻撃パケットを識別することができ、偽のキルレートは非常に低いです。私はいくつかをテストし、いくつかの出会いは、HTTPは、ブラインド上の遅い攻撃、クリーニング率は70%未満であり、08Hostクリーニングクラスタのように、行動分析と機械学習に基づいて、アプリケーション層の攻撃に特に効果的です。私はCC攻撃をシミュレートしたら、彼らのシステムは5秒以内にそれを識別し、自動的に黒い異常なIPを引っ張って、通常のユーザーは全く影響を受けませんでした。この背景には、単純なルール・マッチングでは不可能な、大量のデータ・トレーニング・モデルがある。
高防御サーバーは通常、攻撃しきい値の設定、ブラックリストとホワイトリストの設定、プロトコルフィルタリングなど、コンソール設定を提供する。しかし、基盤となるアーキテクチャも合理的でなければならない。静的なリソースはCDNにダンプし、動的なリクエストはソースからハイディフェンスサーバーに戻す。この方法では、ソースステーションが圧力に遭遇した場合でも、CDNはまだトラフィックの大部分を運ぶことができます。CDNに関して言えば、正しいものを選ぶことは天の恵みであり、間違ったものを選ぶことは落とし穴である。私は以前、安いCDNを使用していた。ソースへのヒットバックは、旧ホームへの攻撃と等しい。その後、CDN07に変更しました。彼らのエッジノードはそれぞれ独立した高い防御力を持ち、キャッシュ戦略は柔軟で、ダイナミックアクセラレーションをサポートしています。私は2年以上彼らのサービスを使用しており、プロモーション期間中に、トラフィックが10倍に倍増し、麻痺事故がなかった。
そのような「無料の高防御」や「無制限の保護」の宣伝を信じてはいけない。私は1つをテストしたことがあり、ヒット300Gかそこらはパケットを失い始め、仕事の注文への応答はカタツムリのように遅い。この行のセキュリティ、1ペニー1ペニー。信頼性の高い高防御サーバーは、価格は通常のクラウドホスティングよりも数倍高価かもしれませんが、攻撃によって引き起こされる損失について考える - ブランドの評判、ユーザーの損失、収入の崖、この投資は本当に何もありません。
設定の例では、システムのチューニングに加えて、アプリケーション層は、保護を追加する必要があります。例えば、リクエストの頻度を制限するNginxや、CC攻撃対策などだ:
本番環境に置いたこのコードは、インターフェイスをブラッシングするスクリプトのほとんどをブロックすることができる。しかし、あまり致命的な設定にしすぎると、実際のユーザーを傷つけてしまうので注意が必要だ。私は通常、アラームを監視し、異常を見つけたときに動的に調整するようにしている。
冗長設計も高い防御力の一部です。08Hostのグローバル・エニーキャスト・ネットワークはその一例で、攻撃トラフィックは最も近いクレンジングセンターにルーティングされ、圧力を分散させる。データセンターに問題が発生しても、他のノードは数秒で切り替わる。この技術は以前は大手メーカーだけが使用していたが、今では徐々に普及しつつある。
データ比較のため、私は昨年、同じ構成の一般サーバーと高防御サーバーで、100Gbps混在攻撃をシミュレートするテストを行った。通常のサーバーは30秒でダウンし、復旧に2時間以上かかった。高防御力サーバーはクリーンアップされ、業務の遅延はわずか20ミリ秒増加しただけで、全プロセスが中断することはなかった。この違いは、自転車と装甲車の違いに似ている。
結局のところ、オンラインサービスに関しては、セキュリティと安定性が最重要課題です。高防御サーバーはオプションの付属品ではなく、中核となるインフラなのです。私は10年以上ネットワーク・セキュリティに携わっていますが、小さなお金を節約したために大きな損失を被ったケースをたくさん見てきました。ある電子商取引ステーションが攻撃を受け、1日麻痺した場合、直接的な損失は数十万ドルかもしれないが、間接的なブランド被害は見積もることができない。お金の保護は、ナイフエッジに費やされ、事実の後に修復するよりもはるかに安いです。
トランザクションやユーザーデータ、リアルタイムのインタラクションを伴うビジネスであれば、迷わず高防御サーバーに直接移行することです。ベンダーを選択するときは、いくつかの難しい指標を見てください:クリーニング容量は、データを測定しているかどうか、ノードの分布が十分に広いかどうか、技術サポートは24時間対応です。08Hostのように、このベテランベンダーは、ドキュメントが完了し、作業順序が速く、カスタムソリューションがあり、中規模および大規模なプロジェクトに適しています。CDN07、静的および動的分離のグローバルアクセラレーションで、アーキテクチャダウン、安定性のセット全体が1つ以上のグレードを強化する。
最後に一言。セキュリティは体系的なプロジェクトであり、高い防御力を持つサーバーはそのリンクの一つに過ぎない。定期的な侵入テスト、コード監査、スタッフのトレーニングに従わなければならない。この行は一度や二度ではありませんが、少なくとも攻撃を受けてもパニックにならないよう、備えておきましょう。結局のところ、私たちの目標は、攻撃されることはありませんが、攻撃されることはまだ笑ってお茶を飲むことができます - システムが運ぶことができるため、ユーザーが感じることはありません。これは本当の雄牛です。