সিডিএন কীভাবে ডিডোএস আক্রমণ থেকে ব্যর্থ স্থানগুলিকে সুরক্ষা দেয়?

9

আমি একটি জাভা ওয়েব অ্যাপ্লিকেশনটির নকশা প্রক্রিয়ায় রয়েছি যা আমি সম্ভবত গুগল অ্যাপ ইঞ্জিনে (জিএই) স্থাপন করব। জিএই সম্পর্কে দুর্দান্ত জিনিসটি হ'ল ভয়ঙ্কর ডিডিওএস আক্রমণ থেকে আমার অ্যাপটিকে শক্তিশালী করার বিষয়ে আমার সত্যিই চিন্তা করার দরকার নেই - আমি কেবল একটি "বিলিং সিলিং" নির্দিষ্ট করেছি, এবং যদি আমার ট্র্যাফিক এই সিলিংয়ে পৌঁছে যায় (ডিডিওএস বা অন্যথায়), জিএইই শুধু আমার অ্যাপ বন্ধ করব। অন্য কথায়, GAE মূলত যে কোনও পরিমাণে স্কেল করে দেবে যতক্ষণ না আপনি অ্যাপ্লিকেশনটি আর চালিয়ে যাওয়ার পক্ষে সামর্থ না রাখেন।

সুতরাং আমি একটি জরুরী পরিকল্পনা করার চেষ্টা করছি যার মাধ্যমে, যদি আমি এই বিলিং সিলিংটি আঘাত করি এবং GAE আমার অ্যাপ্লিকেশনটি বন্ধ করে দেয়, তবে আমার ওয়েব অ্যাপ্লিকেশন ডোমেন ডিএনএস সেটিংসগুলি অন্য কোনও, জিএইএর আইপি ঠিকানায় "ব্যর্থ" হবে। কিছু প্রাথমিক গবেষণা প্রমাণ করেছে যে ক্লাউডফ্লেয়ারের মতো নির্দিষ্ট সিডিএনগুলি এই সঠিক পরিস্থিতির জন্য পরিষেবা সরবরাহ করে। মূলত, আমি কেবল তাদের সাথে আমার ডিএনএস সেটিংস রাখি এবং তারা একটি এপিআই সরবরাহ করে যা আমি ব্যর্থতা প্রক্রিয়াটি স্বয়ংক্রিয় করতে হিট করতে পারি। সুতরাং, যদি আমি সনাক্ত করি যে আমি আমার GAE অ্যাপ্লিকেশনটির জন্য আমার বিলিং সিলিংটি 99% এ রেখেছি তবে আমি এই ক্লাউডফ্লেয়ার এপিআই হিট করতে পারি এবং ক্লাউডফ্লেয়ারটি ডিএনএস সেটিংসকে GAE সার্ভারগুলি থেকে অন্য কোনও আইপি ঠিকানায় দূরে সরিয়ে রাখার জন্য পরিবর্তনশীল হবে will

আমার প্রাথমিক কমান্ডটি হ'ল আমার ওয়েব অ্যাপ্লিকেশনটির "পঠনযোগ্য" (কেবলমাত্র স্থিতিশীল সামগ্রী) সংস্করণে ব্যর্থ হওয়া, অন্য কোনও জায়গায় হোস্ট করা হতে পারে, সম্ভবত গোডাডি বা র্যাকস্পেস দ্বারা।

তবে তারপরে হঠাৎ এটি আমার উপর ছড়িয়ে পড়ে: যদি ডিডোএস আক্রমণ করে ডোমেন নামটি, আমি আমার জিএইপি আইপি ঠিকানা থেকে আমার (বলি) GoDaddy আইপি ঠিকানাতে রোলওভার করি তবে তাতে কী পার্থক্য হবে? সংক্ষেপে, ব্যর্থতা ডিডিওস আক্রমণকারীদের আমার ব্যাকআপ / গোড্যাডি সাইটটি নামিয়ে আনার অনুমতি ব্যতীত অন্য কিছু করবে না!

অন্য কথায়, ডিডিওস আক্রমণকারীরা আমার ওয়েব অ্যাপ্লিকেশনটিতে আক্রমণের সমন্বয় সাধন করে www.blah-whatever.com, জিএইই দ্বারা হোস্ট করা হয় , এটি সত্যই 100.2.3.4 এর আইপি ঠিকানা । তারা 98% আমার বিলিং ছাদ থেকে গজাল আমার ট্রাফিক কারণ, এবং আমার নিজস্ব মনিটর থেকে একটি CloudFlare ফেলওভার আরম্ভ করে 100.2.3.4 থেকে 105.2.3.4 । ডিডোএস আক্রমণকারীদের পাত্তা দিচ্ছে না! তারা এখনও বিরুদ্ধে আক্রমণ চালাচ্ছে www.blah-whatever.com! ডিডিওএসের আক্রমণ অব্যাহত!

সুতরাং আমি জিজ্ঞাসা করছি: ক্লাউডফ্লেয়ারের মতো সিডিএনগুলি কী সুরক্ষা দেয় যাতে - যখন আপনাকে অন্য ডিএনএসের কাছে ব্যর্থ হওয়ার দরকার হয় - আপনি একই, অব্যাহত ডিডিওএস আক্রমণের ঝুঁকি রাখেন না? যদি এইরকম সুরক্ষা বিদ্যমান থাকে তবে ব্যর্থতার সাইটে এমন কোনও প্রযুক্তিগত বিধিনিষেধ (যেমন পঠনযোগ্য কেবল ইত্যাদি) রয়েছে? যদি না হয়, তারা কি ভাল ?! আগাম ধন্যবাদ!

java  web-applications  security  google-app-engine 
herpylderp
সূত্র
দুর্দান্ত কিউ! এর থেকে প্রচুর শিখতে পারবেন :-)
মার্টিজ ভার্বার্গ

উত্তর:

6

এই কনফিগারেশনের সময় তারা ডিডোএস আক্রমণ থেকে সুরক্ষা দেয় না। সিডিএন কোনও ডিডোএস আক্রমণ থেকে "রক্ষা" করে না - সমস্যাটি ছড়িয়ে দেওয়ার জন্য তারা প্রচুর পরিমাণে হার্ডওয়্যার এবং ব্যান্ডউইথ পেয়ে এর প্রভাবগুলি প্রশমিত করে। সিডিএন যখন আপনার সার্ভারে সরাসরি নির্দেশ করার জন্য ডিএনএস সেটিংস পরিবর্তন করে, তখন সিডিএন আর আপনার ওয়েবসাইটের জন্য অনুরোধগুলি পরিচালনা করে না - ক্লায়েন্টরা কখনই সিডিএন এর আইপি দেখতে পায় না, তাই সিডিএন আপনাকে আর সুরক্ষা সরবরাহ করতে পারে না।

যতদূর পর্যন্ত "তারা কী ভাল" - ডিডিওএস আক্রমণগুলি সিডিএন ব্যবহার করার বিষয় নয়। সিডিএন ব্যবহারের বিষয়টি হ'ল সার্ভার এবং ক্লায়েন্টের মধ্যে ভৌগলিক দূরত্বকে সংক্ষিপ্ত করে যখন কেউ আপনার ওয়েব সার্ভারের মধ্যে থেকে কোনও একটি বৃহত অংশের ডেটা এবং সেই ব্যক্তি ডেটা প্রাপ্ত করার অনুরোধ করে তখন তার মধ্যে বিলম্বতা হ্রাস করা। এটি আপনি করতে পারেন একটি পারফেক্ট অপ্টিমাইজেশন; তবে এটি সত্যিই ডিডিওএস থেকে সুরক্ষা সরবরাহ করার জন্য ডিজাইন করা হয়নি।

বিলি ওনিল
সূত্র
ধন্যবাদ @ বিলি ওনিল (+1) - সংক্ষেপে বলার জন্য: আমি চাই আমার "ডিডিওএস ফেলওভার "টি আসলে সিডিএন সার্ভারগুলিতে অনুরোধগুলি পুনর্নির্দেশ করুক, যাতে তারা সাইটটিকে চালিয়ে যেতে এবং সমস্যা চালাতে পর্যাপ্ত হার্ডওয়ার / ব্যান্ডউইথকে ছুঁড়ে ফেলতে পারে; যদিও এটি কোনও সিডিএন এর প্রাথমিক কাজ নয়। এটি কি কম-বেশি সঠিক? যদি তা হয়, তবে একটি দ্রুত অনুসরণের প্রশ্ন: যদি আমি এই পথে চলে যাই এবং আমার ফেইলওভারটি সিডিএন-এ পুনঃনির্দেশিত করি, তবে আমার ওয়েব অ্যাপ্লিকেশনটি কি স্বাভাবিকের মতো কাজ করা চালিয়ে যেতে সক্ষম করবে বা সিডিএন-এর কেবল স্থির বিষয়বস্তু পরিবেশন করতে সক্ষম হবে (যেমন, আমার ওয়েব অ্যাপ্লিকেশনটি হয়ে উঠবে ") শুধু পড়ুন "ইত্যাদি)? আবার ধন্যবাদ!
হারপিল্ডার্প
@ হার্পিল্ডার্প: ঠিক আছে, এটি সাইটের প্রকৃতির উপর নির্ভর করে। সিডিএনগুলি কেবল সম্পূর্ণ স্থিতিশীল সামগ্রী হ্যান্ডেল করে। যদি আপনার সার্ভার "আকর্ষণীয় জিনিস" করে তবে সিডিএন আপনাকে সাহায্য করবে না। আপনি সাধারণত সিডিএন এর সার্ভারগুলিতে কোড চালাবেন না। উদাহরণস্বরূপ, স্ট্যাক এক্সচেঞ্জ সাইটগুলিতে প্রতিটি সাইটের চিত্রগুলি sdatic.com- এ সিডিএন হোস্ট করা হয় তবে মূল সাইটটি স্ট্যাকএক্সচেঞ্জের নিজস্ব ডেটাসেন্টারে হোস্ট করা হয়।
বিলি ওনিল
1
সিডিএন এর সাধারণত ভলিউমের উপর ভিত্তি করে চার্জ হয়, সুতরাং আপনি কেবল বিলিং খরচটি একজন বিক্রেতা থেকে অন্য একজনের দিকে নিয়ে যাচ্ছেন। আফাইক, ডিডোএস প্রশমন সাধারণত আইপি রেঞ্জগুলি স্বয়ংক্রিয়ভাবে অস্থায়ী ব্লক করার সাথে জড়িত।
জোয়ারি সেব্রেচটস
ধন্যবাদ @ জোয়েরি সেব্র্যাচটস (+1) - "আইপি রেঞ্জ" এবং "আইপি সাবনেট" এর মধ্যে কোনও পার্থক্য আছে নাকি সেগুলি কি একই? আমি জিজ্ঞাসা করছি কারণ জিএইই আপনাকে আইপি সাবনেটগুলি ব্লক করতে দেয় এবং আশা করি আপনি এটিই বলছেন।
হার্পিল্ডার্প
7

আমি ইনকাপসুলা , ক্লাউড সিকিউরিটি সংস্থার জন্য কাজ করি যা সিডিএন ভিত্তিক ত্বরণ পরিষেবাও সরবরাহ করে (সিএফ এর মতো)।

আমি বলতে চাই যে (বিলি ওনিজেল যথাযথভাবে বলেছেন) সিডিএন নিজেই কোনও ডিডোএস সুরক্ষা সরবরাহ না করে, ক্লাউড ভিত্তিক প্রক্সি নেটওয়ার্ক একটি কার্যকর ডিডিওএস প্রশমন সরঞ্জাম।

এবং তাই, ক্লাউড সিডিএন-তে ডিডোএসের ক্ষেত্রে, এটি "সিডিএন" নয় বরং "ক্লাউড" যা ডিডিওএস দ্বারা উত্পাদিত সমস্ত অতিরিক্ত ট্র্যাফিক গ্রহণ করে আপনাকে সুরক্ষা দেয়, তবুও বিশ্বের বিভিন্ন পিওপি থেকে আপনার সাইটে অ্যাক্সেসের অনুমতি দেয়।

এছাড়াও, কারণ এটি একটি সম্মুখ-গেটের প্রক্সি সমাধান, এই প্রযুক্তিটি আপনার সার্ভারগুলিতে অসংখ্য এসওয়াইএন অনুরোধ প্রেরণের জন্য স্পোফড আইপি ব্যবহার করে 3-4 স্তরের ডিডিওএস আক্রমণ (অর্থাত্ এসওয়াইএন বন্যা) প্রশমিত করতে ব্যবহার করা যেতে পারে।

এই ক্ষেত্রে এসিএন জবাব না পাওয়া পর্যন্ত একটি প্রক্সি সংযোগ স্থাপন করবে না, ফলে এসওয়াইএন বন্যাটি ঘটবে না।

ওয়েবসাইট সুরক্ষার জন্য আপনি ক্লাউড ব্যবহারের অন্যান্য উপায়ও রয়েছে (যেমন ব্যাড বট ব্লকিং, ক্লাউড ভিত্তিক ডাব্লুএএফ) এবং এর কয়েকটি ডিডিওএস প্রশমন বা প্রতিরোধের জন্যও ব্যবহার করা যেতে পারে (স্ক্যানার বটগুলি থামানো পরবর্তীগুলির জন্য একটি ভাল উদাহরণ) তবে এখানে বোঝার মূল বিষয় হ'ল এটি সমস্ত সিডিএন নয় ক্লাউড প্রযুক্তির উপর ভিত্তি করে।

ইগাল জাইফম্যান
সূত্র
1
বাহ - ধন্যবাদ @ ইগাল জেইফম্যান (+1) - দুর্দান্ত উত্তর! আপনার জন্য কয়েকটি ফলোআপ প্রশ্ন: (1) আপনি যখন " প্রক্সি নেটওয়ার্ক " বা " সামনের গেট প্রক্সি " বলবেন , তখন আমি আপনাকে ধরে নিয়েছি যে আপনি মেঘ ক্লায়েন্ট এবং আমার অ্যাপ্লিকেশন সার্ভারগুলির মধ্যে মিডলম্যান হিসাবে কাজ করে এমন সার্ভার সরবরাহ করছে, হ্যাঁ? না পারলে কি বুঝিয়ে বলবেন? এবং (২) ক্লাউডফ্লেয়ার এবং / অথবা ইনক্যাপসুলা কি এই অন্যান্য পরিষেবাদির জন্য কার্যকারিতা সরবরাহ করে (বন্ধ / ব্লকিং বটস, ডাব্লুএএফ, ইত্যাদি)? আবার ধন্যবাদ!
হারপিল্ডার্প
এছাড়াও, " পিওপি " দ্বারা আমি ধরে নিয়েছি আপনার অর্থ "উপস্থিতিগুলির অবস্থান", হ্যাঁ?
হারপিল্ডার্প
ওহে ধন্যবাদ. অনেক প্রশংসিত. আপনার প্রশ্নের উত্তর দেওয়ার জন্য: ফ্রন্ট গেট প্রক্সি: "প্রক্সি" শব্দটি উল্লিখিত নেটওয়ার্ক এবং আপনার সাইটের মধ্যবর্তী সম্পর্কের উপর ইঙ্গিত দেয়। মানে নেটওয়ার্কটি আপনার সাইটের সামনের দিকে "বসবে" (সুতরাং "সামনের গেট") প্রতিরক্ষা প্রথম লাইন হিসাবে, মূলত সমস্ত ট্র্যাফিক গ্রহণ করবে এবং আমাদের "ব্যাড বট" ব্যবহার করে আমাদের ক্ষেত্রে "সমস্ত খারাপ জিনিস" ছাঁটাই করবে case নিয়ম এবং ভেক্টর, ডাব্লুএফএফ ইত্যাদি ব্লক করা। ডিডিওএসের ক্ষেত্রে এই নেটওয়ার্কটি অতিরিক্ত ট্র্যাফিকের ভারসাম্য বজায় রাখতে সহায়তা করবে, এইভাবে ডিডোএস সম্পর্কিত সমস্যাগুলি রোধ করবে। (অর্থাত ক্রাশ) পপ = উপস্থিতির পয়েন্ট। আপনি 100% সঠিক।
ইগাল জাইফম্যান
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.