最近では、誰が数回サイトを行うにはDDoSされていない?私はちょうどその時、業界に入って、私は樽のサーバーの構成は、2日間の行の結果は、トラフィックは洪水のように殺到して、サイトが直接横たわり、ボスの顔は緑色だと思います。
その後、私は理解するようになった、普通のホストに頼って運ぶのは難しい、つまり、石に対して卵、高セキュリティホストは本当のお守りですが、いつものように悪いと、私は心のうちで、今日はそれを再生する方法についてお話します。
市場の高防御ホストの広告を見てはいけない空高く吹いて、どのような “無制限の防衛”、“2番目の応答”、私は多くのギミックを発見した、本当に大規模な攻撃に遭遇し、崩壊や崩壊は、キーがどのように構成し、一致するかに依存します。
私は一般的な落とし穴から始めます:多くの人々は、高い防御を購入することがすべて正しいと思う、サイトを投げ、セキュリティポリシーの結果が調整されていない、抜け穴、攻撃者はちょうどCCの攻撃を貫通することができ、これは単にハッカーの頭を与えることです。
高防御ホストのコアは、ハードウェアではなく、より多くの牛ですが、クリーニング能力とインテリジェントなルーティングの背後にある、それは正常なユーザーと悪意のあるトラフィックを区別することができなければならない、またはカットがすべてブロックされ、ユーザーエクスペリエンスが台無しにされ、私は多くの駅を見てきましたユーザーの損失の誤分類のために重いの損失によって引き起こされる。
何が問題なのか?まず、ファイアウォールのルールが緩く設定されていたり、WAF(ウェブ・アプリケーション・ファイアウォール)が有効になっていなかったりと、構成がカジュアルすぎるため、SQLインジェクションやXSSなど、古くからある方法で抜け穴を突かれてしまいます。
ある友人のトラブルシューティングを手伝ったことがある。防御力の高いホストは500Gbpsの防御力を主張していたが、サイトは常に低速の攻撃に引きずられていた。ログをチェックしたところ、接続制限が開放されておらず、攻撃者がリソースを使い果たすために数千の低速リクエストを使っていることがわかった。
これらの “1つのキーの保護 ”ナンセンスを信じてはいけない、セキュリティは動的であり、ビジネスの調整に応じて、例えば、電子商取引の駅のプロモーション、トラフィックモデルや通常の全く異なる、高い防衛戦略も変化に従わなければならない。
加えて、コスト、高防御ホストは、通常、通常のホストよりも高価ですが、一部の人々は、お金を節約するために、バーゲンを選んだ偽の標準の防御値、本当に何かが唯一のクリーニングセンターは、ユーザーから10万80万マイル離れていることを見つけるために起こった、待ち時間がとんでもなく高いです。
最近でも、CDNは、“チームメイトを防ぐ ”ために、いくつかのサービスプロバイダーは、帯域幅を節約するために、クリーニングが完了していない、ホスト上の圧力の大きな増加の結果、上の攻撃トラフィックの一部を置く必要があり、私はいくつかを測定し、ギャップは一般的に大きくありません。
私の経験では、実際の事例とSLA(サービス・レベル・アグリーメント)を保証しているホストを探すことです。例えば、帯域幅の冗長性は公称の防御力の少なくとも1.5倍以上です。
私は最近、08Hostと呼ばれるサービスプロバイダを使用して、彼らの高い防衛ノードは、世界中に展開し、インテリジェントなスケジューリングは、特に強力な、自動的に攻撃を受けたときにルートを切り替えると、300Gbpsの混合攻撃で測定され、サイトの応答時間だけ10%未満増加し、業界では、この利点は本当に上にカウントされています。
例えばLinuxサーバーの場合、SYNフラッド攻撃を防ぐために、私は通常最初にカーネル・パラメーターを調整する。
私はこのコードを何年も使用しており、接続の枯渇を遅らせるのに効果的であることがテストされている。
さらに、WAFのルールはカスタマイズする必要がある。多くの高セキュリティ・ホストはデフォルトのルールを提供しているが、緩すぎる。ビジネス・ロジックに応じて、機密ディレクトリへのアクセスを制限したり、クローラーによるコンテンツの掃引を防止したりするなど、ルールを厳しくすることをお勧めする。
これらの設定は基本的なことのように思えるが、多くのウェブマスターはこれを無視しており、その結果、攻撃が来たときに手一杯になってしまう。
第三のステップは、監視し、高セキュリティホストに対応することです問題の終わりに設定されていない、監視システムを監視する必要があります、私はカンバンを構築するためにPrometheus + Grafanaを使用して、リアルタイムでトラフィックや攻撃の傾向を見るために使用されます。
トラフィックの突然の急増などの異常を見つけたら、すぐにコンソールにログインしてクリーニングレポートを参照してください。カスタマーサービスからの通知を待ってはいけません - 彼らは忙しすぎるかもしれません、私はこの損失に苦しんできました、そして今、彼らは独自のアラームを設定し、しきい値はトリガーで150%の通常のフローに設定されています。
データの比較は非常に重要で、私は昨年、2つの高セキュリティホストを測定し、一方は最適化せず、もう一方は私のスキーム構成に従って、100Gbps DDoS攻撃のシミュレーションでは、前者のCPUは90%以上に急上昇し、サイトが妨害され、後者のCPUはわずか40%で、応答時間は正常のままです。
このギャップは、後者のような細部に反映され、TCPの最適化とキャッシュ戦略を開き、静的リソースはすべてCDNにダンプされ、ホストの負担を軽減し、CDNといえば、私はもう少し話をしなければならない、王と高防御ホストとCDN。
いくつかの攻撃は、具体的には、ソースの駅を打つCDNだけでは防ぐことはできませんが、高セキュリティホストが運ぶことができる、順番に、CDNは、トラフィックを分散することができますので、クリーニングより効率的に、私はテストし、99.99%以上を言及するサイトの使用可能なパフォーマンスの組み合わせが見つかりました。
ランダムにCDN07を賞賛し、そのグローバルアクセラレーションネットワークと高防御ホストがシームレスに統合され、キーがリンクすることができ、私は一度地理的な攻撃に遭遇し、CDN07は自動的に最寄りのクリーニングセンターにトラフィックを誘導し、遅延は、国境を越えたビジネスの利点はあまりにも実用的であるほとんど変更されません。
日常的なメンテナンスも忘れてはならない。防御力の高いホストは強力で、ソフトウェアの脆弱性にはパッチを当てなければならない。私は少なくとも月に一度はセキュリティスキャンを行い、Nmapのようなツールを使って開いているポートをチェックし、不要なサービスを閉じる。
また、バックアップがありますが、外部からの攻撃を防ぐために、怠け、高セキュリティホストが、設定エラーや内部の問題の場合には、データの損失はすべてオーバーですが、私はオフサイトに自動バックアップを設定し、暗号化されたストレージは、最悪のシナリオでもすぐに回復することができるように。
感情が出てきた、私は唾を吐く必要があります:今、いくつかのベンダーが販売する高級品として高い防衛ホストに、価格は高いですが、サービスが追いつくことができない、私は顧客サービスを見てきましたし、攻撃の基本的なタイプであっても区別することはできません、この直接黒、セキュリティは、この、少額のお金を節約する大きなお金を失う可能性があります。
ユーモアは、優れた高防御ホストで、チベタン・マスチフをドアの番人として育てるようなものである。
最後に、高セキュリティホストは銀の弾丸ではありませんが、それは間違いなくサイトのセキュリティの礎石であると結論づけ、私の経験は次のとおりです:信頼性の高いサービスプロバイダを選択し、細かい設定を行い、監視を強化し、CDNと、組み合わせのこのセットをダウンさせると、サイトは老犬のように安定させることができます。
攻撃が来るのを待って後悔しないように、今すぐ高セキュリティのホスティング設定をチェックし、ファイアウォールルールから段階的に最適化してください。
これから始めるのであれば、中小規模のソリューションから始めて、徐々に調整していくことをお勧めします。 結局のところ、ゲームステーションと情報ステーションなど、それぞれのビジネスシナリオは異なりますし、防衛戦略もまったく異なるかもしれません。
私はまた、高セキュリティのホストを使用した後、私は安心して、結果はSSL証明書が中間攻撃を更新しなかったためだと思う、顧客を覚えているので、セキュリティは全体のチェーンであり、ホストはリンクの一つに過ぎません。
技術的な詳細はもう少し、そのようなDDoS保護として、SYNフラッディングが一般的ですが、アプリケーション層の攻撃は、より狡猾である、WAFの高防御ホストは、ディープパケットインスペクション技術を必要とするHTTPプロトコル、アンチスロー攻撃を解析することができなければならない。
実際のテストでは、大量のトラフィックをソフトウェア・ファイアウォールだけに頼るのは難しいので、ハイ・ディフェンス・ホストのハードウェア・アクセラレーションがカギとなり、ASICチップのクリーニング能力を持つサービス・プロバイダーを選ぶことをお勧めする。
その後、費用対効果の話、高防御ホストは、毎月数百以上を費やすかもしれないが、ダウンタイムの損失によって引き起こされる攻撃は数万ドルかもしれない、アカウントは明らかである、私は多くの中小企業がプログラムを行っている助けた、彼らは最初の段階ではあまりにも高価であり、その後、ビューを変更するには、一度攻撃される。
最後に、ビューの鋭いポイントを与える:この業界は混在袋であり、単に価格を見ていない、より多くのレビューやユーザーのフィードバックをチェックし、私はサービスプロバイダが密かに帯域幅を売られ過ぎを見てきましたが、攻撃はポットをダンプするようになったので、契約は99.9%可用性保証などの明確なSLA条件でなければなりません。
高防御ホスティングをうまく使えば、ウェブサイトのセキュリティは本当に心配ないのだが、それは継続的なプロセスであり、学習し続け、現在流行しているIoTボットネット攻撃のような攻撃手段の変化についていかなければならない。
私はこれを共有し、私はあなたが有用な、安全な道路、より多くの準備、より少ない燃え尽き、より多くのコミュニケーションの時間を持って、結局のところ、この行はあまりにも多くのピットであることを願って、グループの温暖化は信頼性があります。