昨年、ある越境ECのプロジェクトを引き受けたのですが、顧客は急遽ウェブサイトをオンラインにしたのですが、結果は3日目にDDoS攻撃で麻痺し、トラフィックは直接80Gbpsに急上昇し、ビジネス全体が停止しました。
電話で顧客はほとんど泣き叫んでいる、私は唯一の一晩の解決策を見つけることができ、その経験は私が完全に理解させる:ないレコードサーバーは、高い防御力を持たない場合、それは単にハッカーの頭を与えることです。
最近では、海外ビジネスや急ぎのプロジェクトを行う場合、レコードのプロセスを投げたくない人は、レコードサーバーが自然に肉とジャガイモになることはありません。
しかし、市場は混在しており、多くの商人は普通のVPSを高い防御力として販売している。
私は実際にダースのサービスプロバイダをテストしている、いくつかの保護偽の標準、いくつかのネットワークの不安定性は、今日、本当に信頼性の高い、唯一の花瓶を考えることができる解散するギャングと。
まず、ファイルフリーのハイディフェンス・サーバーの核心的な問題について話そう。
無申告とは、サーバーを香港、米国、シンガポールなど海外に置くことを意味し、国内規制から逃れられるが、ネットワーク遅延やセキュリティ上の課題も生じる。
最高のグローバル・ノード」と自慢する広告を鵜呑みにしてはいけない。
DDoS緩和能力における高いセキュリティの鍵は、100Gbpsの保護を宣伝しているパッケージをいくつも見たことがあるが、実際の圧力テストは50Gで破綻しており、純粋に白人を騙すためのものだった。
もうひとつ、プロテクション戦略はあまり硬直的であってはならない。
一部のサービスプロバイダは、ハードウェアファイアウォールスタッキングにのみ依存して、愚かな新しいアプリケーション層の攻撃に遭遇し、この種の私は通常、直接黒を引く。
本当に高いセキュリティを求めるなら、インテリジェントなトラフィッククリーニング、行動分析、CDN連携を組み合わせる必要がある。
以下では、代表的な3つのサービス・プロバイダーを比較のためにピックアップしているが、いずれも私が個人的に試したもので、公式サイトのパラメーターをコピーしたものではなく、実際にテストしたデータである。
最初のものはプロバイダーXと呼ばれるもので、低コストの無申告に焦点を当てたもので、私は2年前に利用したことがある。
同社のスターター・パッケージは月額50ドルで、10Gbpsのプロテクションを謳っているが、実際には小規模のSYNフラッドに対しては問題ない程度の基本的なファイアウォール・ルールしかない。
CCアタックをシミュレートしたところ、1秒間に何万ものリクエストがあり、サーバーのCPUが直接フル回転した。
私は通常、Fail2banとNginxのフロー制限モジュールをインストールする。
これは、彼らのために自宅のCentOSサーバーで私がいつも使っている保護スクリプトだ:
プロバイダーXは、手頃な価格で、迅速なカスタマーサービス対応をしてくれるという利点があり、予算が限られ、攻撃のリスクが低い小規模なプロジェクトに適している。
しかし、もしあなたが金融やゲームビジネスに携わっているのであれば、このプロテクションだけでは不十分で、私はテスト環境で使用するためにダウングレードしました。
もう1つはプロバイダーYで、高い防御力を持つサーバーに焦点を当て、100Gbpsの保護を宣伝している。
香港のノードでTCPフラッディングとUDPリフレクション攻撃をシミュレートするストレステストを行ったところ、約70Gbpsのトラフィックを流した。
しかし、ネットワークの待ち時間はあまり安定しておらず、アジア太平洋地域の夕方のピーク時には150msに達することもあり、ビデオカードの読み込みにイライラすることもある。
彼らの家ではカスタム保護ルールを提供しているが、設定インターフェイスは反人間的で、それを弄るにはコマンドラインを少し知らなければならない。
デフォルトのSYNクッキー保護機能がオンになっているために、正規の接続が誤って切断されてしまうという問題があった。
カーネル・パラメーターのチューニングの例を、経験のある人向けに紹介しよう:
プロバイダーYは、中堅企業向けの本格的なプロテクションに適しているが、自社でネットワークの最適化に取り組む必要がある。
料金は月200ドルからで、決して安くはないが、攻撃されて収益を失うよりはマシだ。
3つ目に紹介するのは08Hostで、この半年間、私のメインチョイスだった。
08Hostは防御力の高いサーバーとグローバルCDNを統合し、自動スケジューリングでトラフィックを一掃する。
彼らは200Gbpsの保護を謳っているが、私は友人に150Gbpsのハイブリッド攻撃をシミュレートするストレステストをやってもらった。
私が最も救われたのは、コンフィギュレーションのシンプルさ、ワンクリックでデプロイできるスクリプトの提供、そしてAPIを介して動的にルールを微調整できる機能だ。
例えば、APIエンドポイントに対する遅い攻撃の波に遭遇したとき、私は彼らのコンソールから直接ルールを追加し、5分で緩和した。
ここに掲載されているクイックスタートの例なら、初心者でもすぐに始められるだろう:
08Hostの利点はインテリジェントなミティゲーションで、攻撃トラフィックはエッジノードによってクリーニングされ、ほとんど無感覚のままソースサーバーに返される。
香港ノードのレイテンシを測定したところ、平均で30ミリ秒以内で、おそらく専用回線で最適化された多くの純粋なサーバーベンダーよりも速い。
価格は月額約150ドルだが、CDNトラフィックとプロテクションが含まれているため、別々に購入するよりも費用対効果は高い。
最近では、CDNでさえ『チームメイトを防ぐ』必要があり、サーバーはこのようなトラブルのない統合ソリューションを選択しなければならない。
データ比較のために、核となる指標をリスト形式で示す簡単な表を作った。
プロバイダーX:
- 保護容量:公称10Gbps、抵抗測定値5Gbps
- ネットワーク遅延:アジア太平洋地域で平均80ms、夕方のピーク時に大きく変動あり
- 価格:月額50ドル
- 適したシナリオ:静的なウェブサイト、リスクの低いビジネス
プロバイダーのY:
- 保護容量:公称100Gbps、抵抗測定値70Gbps
- ネットワーク遅延:平均100ms、平均安定性
- 価格:月額200ドル
- シナリオ:中規模アプリケーション、カスタマイズされた保護が必要
08ホスト
- 保護能力:公称200Gbps、抵抗測定値150Gbps以上
- ネットワーク遅延:平均30ms、専用回線最適化
- 価格:月額150ドル~(CDNを含む)
- 適したシナリオ:トラフィックの多いビジネス、リアルタイムの保護ニーズ
これを読んで、おそらくいいアイデアが浮かんだだろう。
アドバイスとしては、宣伝されているパラメータを見るだけでなく、自分で測ってみることだ。
保護能力は、MHDDoSやSlowlorisシミュレーションのようなオープンソースツールを取ることができ、pingとtracerouteのマルチタイムランでネットワークの待ち時間を試してみる。
構成的には、どれを選ぶにしても、基本的なセキュリティ強化は控えめにはできない。
私は、サーバーをデプロイした後、SSHポートを変更し、キーログインを追加し、ウェブアプリケーションファイアウォールをラミネートすることに慣れている。
ここに、ほとんどのLinuxシステムに共通するクイック・ハードニング・スクリプトを入れる:
最後に、ないレコードの高い防衛サーバーは、普遍的なソリューションを持っていない、あなたが選択するビジネスのニーズを組み合わせる必要があります。
もしあなたがビジネスウェブサイトを置くだけなら、プロバイダーXで十分です。あなたがオンライン取引やゲームプラットフォームを行うなら、08Hostはより安定した統合ソリューションです。
無制限のプロテクション」なんて戯言を信じてはいけない。このビジネスの代償はそこにあり、80パーセントの猫には厳しすぎる。
安いからとベアメタルサーバーを選び、一度攻撃を受けて全データを失ってから泣いたのでは遅すぎる。
最後に一言、プロテクションは一過性のものではない。
ルールの定期的な更新、ログの監視、データのバックアップは、本当に命を救うための決まりきった手順だ。
このとりとめのない文章が、サーバーに関すること、安定性こそが王であること、などなど、みなさんがより多くの甌穴(おうけつ)を踏む手助けになることを願っている。