Wann funktioniert es wirklich / Sudo Null IT News

Wir sind daran gewöhnt, CDN oder Content Delivery Network als Technologie zur Beschleunigung von Websites zu betrachten. Gleichzeitig hat CDN einen weniger bekannten Vorteil – der Dienst erhöht die Sicherheit der Infrastruktur, insbesondere durch den Schutz vor DDoS-Angriffen. Unter dem Strich verraten wir, ob das Content Delivery Network Angriffen wirklich standhält und welche Nuancen es gibt.


Methoden zur Bekämpfung von DDoS-Angriffen

DDoS-Angriffe sind eines der häufigsten Tools, um einen Zieldienst herunterzufahren. Vor allem wegen der einfachen und kostengünstigen Durchführung. Die Mechanik des Angriffs besteht darin, eine große Anzahl von Anfragen an die Server des Unternehmens zu senden, um deren Leistung zu reduzieren oder vollständig „niederzulegen“.

Technisch gesehen kann dies ohne Beteiligung von Angreifern geschehen. Ein aktuelles Beispiel ist der Endverkauf von Waren bei IKEA. Der Webserver konnte den Zustrom von Anfragen einfach nicht verarbeiten. Zwar wandten sich nicht einmal Bots an ihn, sondern Live-User, die den neusten Plüschhai kaufen wollten.

Da DDoS-Angriffe auf der üblichen Mechanik des Sendens von Anfragen basieren, können sie davor nicht vollständig geschützt werden. Sie werden TCP- oder UDP-Anfragen nicht massiv blockieren, oder? Daher basieren alle Methoden zum Schutz vor DDoS auf der Erkennung und Filterung von verdächtigem Datenverkehr. Oder – und so funktioniert CDN – auf die Verteilung des Traffics.

Der erste Ansatz besteht darin, den Server selbst zu schützen

Hier bauen wir mittels verschiedener Software eine Art „Power Shield“ für unsere Infrastruktur auf. Wir schützen Server, indem wir Netzwerkknoten scannen, Firewalls einrichten und Schwachstellen überwachen.

Aber das Ziel ist immer noch Ihr Server. Das bedeutet, wenn Sie den falschen Schutz gewählt oder die Ressourcen von Angreifern unterschätzt haben, wird schädlicher Datenverkehr die Verteidigung durchbrechen. Die Website beginnt einzufrieren, Ihre Kunden können nicht auf den Dienst zugreifen.

Der zweite Ansatz ist die Verkehrsverteilung

CDN ist zumindest aufgrund seiner Architektur in der Lage, DDoS-Angriffen standzuhalten. Da es sich bei der Technologie um ein ganzes Netzwerk von Servern handelt, ist dies möglich

nutzen Sie die Leistungsfähigkeit und Skalierbarkeit von „Points of Presence“

oder PoPs (Points of Presence).

Ein weiterer Vorteil eines CDN besteht darin, dass Sie die ursprüngliche IP-Adresse Ihrer Website dahinter verbergen können. Wenn Sie es noch nirgendwo kompromittiert haben, wissen die Angreifer einfach nicht, wohin sie das „Geschenk“ in Form einer Reihe von Anfragen senden sollen. Übrigens, auch wenn die IP-Adresse bekannt geworden ist, lässt sich das beheben. Eine Reihe von Anbietern, einschließlich Selectel, kann eine neue IP-Adresse bereitstellen.

Wie gut diese grundlegenden CDN-Funktionen für die Sicherheit funktionieren, hängt von der Stufe des Anbieters ab. Große CDN-Anbieter wie Akamai können selbst einen massiven DDoS-Angriff gut verkraften. Auf der anderen Seite können CDN-Anbieter, die nur durch ihre Billigkeit angezogen werden, bei Angriffen selbst zusammenbrechen oder Sie vorübergehend vom CDN trennen, um andere Kunden nicht zu gefährden.

Häufig haben Nutzer weniger Angst vor DDoS-Angriffen als vielmehr vor „Geld-Angriffen“, wenn Angreifer Firmen-Website-Daten mehrfach von CDN-Servern herunterladen und den Check für den Dienst künstlich aufblähen. In diesem Fall haben Anbieter, einschließlich Selectel, Funktion zum Laden von Daten per Token.

Wenn ein CDN mehr Schutz benötigt

Wir haben herausgefunden, dass ein gutes CDN eine Website durchaus vor DDoS-Angriffen schützen kann. Aber hier gibt es eine Nuance, dass es eher für GET-Anfragen und statische Inhalte funktioniert. Wenn Sie eine Online-Bildungsplattform oder eine Online-Publikation haben, bei der Benutzer nur mit Statik interagieren, ist dies Ihre Geschichte. Mit CDN können Sie zusätzlichen Schutz vor DDoS sparen – es wird mit “ungeschickten” TCP- und UDP-Angriffen fertig.

Aber die Situation kann anders sein. Es ist nicht nur notwendig, Daten zu empfangen, sondern auch von Benutzern an den Dienst zu übertragen – Sie müssen Client-Server-Anfragen über das CDN in beide Richtungen zulassen. Sie haben beispielsweise einen Online-Shop mit weltweiter Lieferung, und der Benutzer kann die Produktkarte nicht nur lesen, sondern auch in den Warenkorb legen. In diesem Fall wird eine HTTP-Anforderung generiert und über das CDN an Origin, den Ursprungsserver, zurückgesendet. CDN-Knoten verarbeiten solche HTTP-Anfragen in keiner Weise, sie lassen sie einfach ungehindert durch sich hindurch. Hier besteht ein Flaschenhals für einen Massenangriff mit HTTP-Anfragen.

Wenn Sie also über eine Webressource mit interaktiven Inhalten verfügen, empfehlen wir Ihnen, über einen zusätzlichen Anwendungsschutz nachzudenken. In Selectel können Sie den günstigen Webschutz von DDoS-GUARD oder Qrator wählen. Es wird zu einem zusätzlichen „Schutzschirm“ gegen böswillige Angriffe durch HTTP-Verkehr zwischen dem CDN-Host und dem Ursprungsserver.

Wenn Sie sich für das Thema CDN interessieren, könnten Ihnen diese Texte weiterhelfen:

→ Wie das Content Delivery Network funktioniert. Lesen Sie diesen Text, wenn Sie theoretisch „schwimmen“.
→ Wer braucht ein CDN und für wen ist es schädlich? Über die Vorteile der Technologie für Unternehmen.

So wählen Sie einen CDN-Anbieter aus

Die Funktionalität und Sicherheit des Dienstes hängt weitgehend von dieser Wahl ab. Stellen Sie sich oder einem potenziellen Anbieter die folgenden Fragen:

  1. Wie viele Präsenzpunkte? Untersuchen Sie die CDN-Serverkarte des Anbieters. Bewerten Sie, wie realistisch das Szenario der Umverteilung des Datenverkehrs auf die nächstgelegenen PoPs sein wird.
  2. Welche zusätzlichen Dienste gibt es, um die Sicherheit zu verbessern? Es ist gut, wenn Sie beim gleichen Anbieter einen Service erwerben können, der die Sicherheit Ihrer Infrastruktur erhöht, beispielsweise den Schutz vor DDoS-Angriffen auf Anwendungsebene (L7).
  3. Wie viele Jahre ist das Unternehmen am Markt? Es ist besser, einen Dienstleister mit einem guten Ruf und einem Pool von Kunden zu wählen.
  4. Werden SSL-Zertifikate für benutzerdefinierte Domänennamen unterstützt? Üblicherweise vergibt der CDN-Anbieter eine technische Domain (bei Selectel ist dies standardmäßig *.selcdn.net). Es ist oft unbequem mit der Standarddomäne – Sie müssen sicherstellen, dass die technische Domäne in einer Reihe von Anwendungspfaden registriert ist. Es ist bequemer, es durch ein benutzerdefiniertes zu ersetzen und die Domain Ihrer Website dort abzulegen. Einige Anbieter bieten dieses Feature nur in Premium-Abonnements an, in Selectel steht es jedoch jedem Benutzer zur Verfügung.

Lassen Sie uns das hinzufügen

СDN von Selectel

unterstützt nicht nur SSL-Client-Zertifikate, sondern auch kostenlose Let’s Encrypt-Zertifikate mit automatischer Verlängerung. Sie können sie sofort im Control Panel oder über die API aktivieren. Es ist kostenlos.


Lassen Sie uns die Hauptsache hervorheben

  1. Ein CDN kann die Verfügbarkeit und Sicherheit Ihrer Website durch seine verteilte Serverarchitektur wirklich erhöhen. Ein gutes CDN kann Angriffe auf L3-L4-Ebene bewältigen.
  2. Wenn Sie interaktive Inhalte über ein CDN bereitstellen, besteht die Gefahr von HTTP-Anforderungsangriffen.
  3. Um sich vollständig zu schützen, lohnt es sich, den Schutz von Webanwendungen zum CDN hinzuzufügen.
  4. Ebenso wichtig ist es, den richtigen Anbieter zu kontaktieren. Wählen Sie nach der Anzahl der Präsenzpunkte, dem Technologieportfolio und dem Ruf auf dem Markt.

Similar Posts

Leave a Reply

Your email address will not be published.