3

私の理解では、CloudFlare は Web アプリに対する DDoS 攻撃を阻止することを専門とする CDN です。これは基本的に、アプリ全体の読み取り専用の「キャッシュ」を作成するため、DDoS 攻撃を受けた場合でも、ユーザーはアプリの一部にアクセスでき、完全なサービス拒否を経験することはありません。

ダイナミック DNS についての私の理解では、DNS の変更が世界中のすべての DNS サーバーに「波及」するまで標準の 24 時間待たずに、Web アプリの URL の DNS 設定を何らかの方法ですぐに変更できるテクノロジーであるということです。そして影響を受けます。

最初に、これまでの私の発言が間違っていたり間違っていたりする場合は、まず正してください。

私が多かれ少なかれ正しいと仮定すると、Web アプリを DDoS 攻撃から (できる限り最善を尽くして) 保護しようとしています。

1 つには、Google App Engine または Heroku のいずれかでアプリをホストすることを決定しました (まだ最終的な決定はしていません)。また、アプリが DDoS 攻撃を受けた場合に、Heroku の IT スタッフがスケールアップ/処理する準備が整っていることを想像する必要があります。サーバーにデプロイされている間。

私にとって残念なことに、それは彼らがスケールアップして攻撃を処理することを意味します (!)。つまり、私の請求は屋根を突き破って急増し、私は廃業することになります (それは「現金攻撃」と呼ばれていると思います!)。

したがって、次の両方のシナリオを処理するソリューションが必要です。

  • DDoS は巨大であり、Google/Heroku でさえ「もう十分だ」と言っていますが、私たちはこの負荷をサポートしていません!
  • 請求の「上限」(Google と Heroku の両方が提供) を指定し、その上限に達した後、別の場所でホストされている CloudFlare/読み取り専用 Web アプリにトラフィックをリダイレクトします。

2 番目のシナリオを処理するには、どうにかしてダイナミック DNS を使用する必要があると思いますが、ほとんどの Web アプリがどのように DDoS に対して自身を強化しているかを知らずに (つまり、いわゆる「要塞ホスト」について聞いたことがありますか?!?)、確信が持てません。私が正しい道を進んでいるかどうか。前もって感謝します!

4

3 に答える 3

4

いくつかのマイナーな修正: Heroku はアプリを自動的にスケーリングせず、課金上限を指定する機能も提供しません。特定のシナリオへの対応方法に応じて、適切な監視およびアラート戦略を実装する必要があります。

DDoS 攻撃を防ぐことは、ほとんどのアプリ開発者が関心を持っていることではありませんが、おそらくあなたは特に影響を受けやすいドメインにいますか? もしそうなら、これを自動的に行うCloudFlareのようなサービスは良い選択肢です. ネームサーバーを使用するように DNS を設定すると、DNS がユーザーに代わって IP アドレスの割り当てを処理し、さまざまな脅威やその他の最適化の機会に対応します。

于 2012-07-23T16:01:44.720 に答える
1

私はIncapsulaで働いています。CF と同様に、DDoS 緩和を含むクラウドベースのセキュリティおよび高速化サービスも提供しています。これらのサービスは非常によく似ており、どちらも非常に優れており、CF はより高速化を重視していますが、私たちはよりセキュリティに重点を置いています。

(Google の「Incapsula と Cloudflare のレビュー」で比較ユーザー レビューを参照してください)

まず第一に、私が知る限り、Incapsula と同様に、CF もデフレによる DDoS 緩和を提供するということを言いたかったのです。これは基本的に、攻撃中サイトを 100% 機能させながら、すべての余分なトラフィックを「飲み込む」ことを意味します。

このタイプの保護は、Web アプリケーション層を超えて、あらゆるタイプの DDoS 関連シナリオを処理する DDoS セーフネットを提供します。(利用可能な「パイプ」が余分な着信トラフィックを処理できる限り)

私たちの場合、この Anti-DDoS ソリューションは PCI 準拠の WAF と組み合わせて提供されるため、アプリケーション レベルでも安全です。

また、支払いに関しては、お客様が探している DDoS 軽減の「天井」ベースのモデルを提供します。

つまり、必要な DDoS 保護の最大量を事前に決定し、その量に対してのみ支払うことができます。

占いの場合、私たちはあなたに連絡し、余分なトラフィックの料金を支払うか、「もう十分だ」と言って嵐が過ぎ去るのを待つかを決定します.

また、Google 関連のブラックリストについてのコメントに対処したいと思いました。

This is a valid concern but here at Incapsula we manually submit all our IP ranges for Google evaluation. This eliminates any fears of SE blacklisting. I'm actually very confident about this as I covered this topic in recent blog post about Cloud CDN related Myths, and with 6+ years of SEO experience (including Senior Adviser and Department Manager) I`m pretty certain that I have the right facts.

If nothing else, in our 2.5 years of experience, we never had any incident of client blacklisting.

From what I`ve read CF also does the same for all their IPs.

于 2012-07-24T15:39:29.857 に答える
1

まず、ダイナミック DNS はあなたが説明するものではありません。各 DNS サーバーは、そのレコードのタイムアウトを任意に設定できます。タイムアウトを短くすると、変更の反映が速くなりますが、ユーザーの負荷と待ち時間が長くなります。動的 DNS は、動的 IP (たとえば、消費者のインターネット接続など) を持つユーザーが安定した DNS 名を持つことを可能にする一連のサービスです。動的 DNS は、Heroku や App Engine などの専門的にホストされている Web アプリケーションとはほとんど関係がありません。

App Engine は、あなたが尋ねたことの両方を処理します。1 日あたりの請求上限を指定できます。アプリがそれを超えた場合、アプリはシャットダウンされ、追加料金を請求する代わりに割り当て超過エラーが発生します。Google インフラストラクチャは、明らかに不正なリクエストを拒否する場合がありますが、約束はしません。ただし、App Engine は DoS/Blacklist API を提供します。これにより、悪用のソースである特定の IP 範囲をブラックリストに登録して、それらのトラフィックがアプリに到達するのを防ぐことができます。

Cloudflareは、CDNとして機能し、アプリの一部をキャッシュすることにより、説明した方法でこれを支援すると主張しています. ただし、それには独自の注意事項があります。すべてのトラフィックが Cloudflare 経由で移動するようになったため、余分なホップのためにすべての動的リクエストに追加のレイテンシーが発生します。また、アプリにはすべてのリクエストが Cloudflare サーバーから送信されたように見えるため、リクエストの真の発信元に関する貴重な情報も失われます。最後に、Google のインフラストラクチャが Cloudflare を誤って不正なトラフィックを転送する状況で不正なサービスとして識別する可能性さえあります。その場合、すべてのユーザーがサービスを受けられなくなる可能性があります。

Cloudflare は App Engine にはあまり役に立たず、有害でさえあるというのが私の個人的な意見です。それらが提供するものはほとんどすべて App Engine によって既に提供されているか、適切に作成された App Engine アプリに組み込むことができます。

于 2012-07-24T05:30:56.377 に答える