3

我的理解是 CloudFlare 是一个专门针对 Web 应用程序阻止 DDoS 攻击的 CDN;这基本上是为您的整个应用程序创建一个只读“缓存”,这样,如果您是 DDoSed,您的用户仍然可以访问您的应用程序的某些部分,而不会遇到完全拒绝服务。

我对动态 DNS 的理解是,它是一种技术,可以让您立即更改 Web 应用程序 URL 的 DNS 设置,而无需等待标准的 24 小时让 DNS 更改“影响”世界上所有的 DNS 服务器并生效。

因此,首先,如果到目前为止我所说的任何内容有误或不正确,请先纠正我!

假设我或多或少是正确的,我正在努力保护我的网络应用程序(尽我所能)免受 DDoS 攻击。

一方面,我决定使用 Google App Engine 或 Heroku 托管我的应用程序(尚未做出最终决定),并且我必须想象,如果我的应用程序是 DDoSed,他们的 IT 人员已经做好了扩大/处理的充分准备在部署到他们的服务器时。

对我来说不幸的是,这意味着他们将扩大规模并处理攻击(!),这意味着我的账单会飙升,我会倒闭(我猜这被称为“现金攻击”!)。

所以我需要一个可以处理以下两种情况的解决方案:

  • DDoS 是巨大的,甚至 Google/Heroku 都说“够了”,我们不支持这种负载!
  • 我指定了一个计费“上限”(Google 和 Heroku 都提供),达到上限后,我以某种方式将流量重定向到托管在其他地方的 CloudFlare/只读网络应用程序

我怀疑我将需要以某种方式使用动态 DNS 来处理第二种情况,但不知道大多数 Web 应用程序如何防御 DDoSes(即我听说过所谓的“堡垒主机”?!?)我什至不确定我是否走在正确的道路上。提前致谢!

4

3 回答 3

4

一些小的更正:Heroku 不会为您扩展您的应用程序,也不会提供指定计费上限的功能。您应该根据您对特定场景的反应方式实施适当的监控和警报策略。

防止 DDoS 攻击并不是大多数应用程序开发人员关心的事情 - 但也许您处于一个特别容易受到攻击的领域?如果是这样,像 CloudFlare 这样自动执行此操作的服务是一个不错的选择。您将 DNS 设置为使用他们的名称服务器,他们会代表您处理 IP 地址分配,以应对各种威胁和其他优化机会。

于 2012-07-23T16:01:44.720 回答
1

首先,动态 DNS 不是您所描述的那样。每个 DNS 服务器都可以将其记录的超时设置为它想要的任何值;更短的超时使更改传播得更快,但会导致用户的负载和延迟更高。动态 DNS 是一组服务,允许具有动态 IP(例如,在消费者互联网连接上)的用户拥有稳定的 DNS 名称。动态 DNS 与托管在 Heroku 或 App Engine 等专业地方的 Web 应用程序几乎没有关系。

App Engine 将处理您询问的两件事。您可以指定每日计费上限,如果您的应用超过该上限,它将被关闭并提供超出配额的错误,而不是向您收取更多费用。Google 基础架构可能会拒绝明显的滥用请求,但不提供任何承诺;但是,App Engine 确实提供了 DoS/Blacklist API,它允许您将作为滥用源的特定 IP 范围列入黑名单,以防止其流量到达您的应用程序。

Cloudflare 声称通过充当 CDN 并缓存应用程序的部分来以您描述的方式帮助解决此问题。但是,它有自己的警告。因为现在所有流量都通过 Cloudflare 传输,所以所有动态请求都会因为额外的跃点而产生额外的延迟。您还会丢失有关请求真实来源的宝贵信息,因为在您的应用程序看来,所有请求都来自 Cloudflare 服务器。最后,Google 基础架构甚至可能在最终转发滥用流量的情况下错误地将 Cloudflare 识别为滥用服务,在这种情况下,您的所有用户都可能最终没有服务。

我个人认为 Cloudflare 对 App Engine 没有多大用处,甚至可能有害。他们提供的几乎所有东西都已由 App Engine 提供,或者可以内置到编写良好的 App Engine 应用程序中。

于 2012-07-24T05:30:56.377 回答
1

我在 Incapsula 工作。与 CF 一样,我们还提供基于云的安全和加速服务,包括 DDoS 缓解。服务非常相似,都非常好,CF 更注重加速,而我们更注重安全。

(只需谷歌“ Incapsula 和 Cloudflare 评论”即可查看一些比较用户评论)

首先我想说的是,据我所知(如果我错了,请纠正我),就像 Incapsula 一样,CF 也通过通货紧缩提供 DDoS 缓解。这基本上意味着“吞噬”所有额外流量,同时让网站在整个攻击过程中 100% 正常运行。

这种类型的保护超越了 Web 应用程序层,并提供了一个 DDoS 安全网,可以处理任何类型的 DDoS 相关场景。(只要可用的“管道”可以处理额外的传入流量)

在我们的案例中,此 Anti-DDoS 解决方案与符合 PCI 的 WAF 搭配使用,因此您也可以确保应用程序级别的安全。

此外,在付款方面,我们将为您提供您正在寻找的基于 DDoS 缓解“天花板”的模型。

这意味着,您可以提前确定您想要拥有的 DDoS 保护的最大数量,并且只需为该数量付费。

在占卜的情况下,我们将与您联系,让您决定是支付额外的流量还是说“足够了”并等待暴风雨过去。

另外,我想解决有关 Google 相关黑名单的评论。

这是一个合理的担忧,但在 Incapsula,我们手动提交所有 IP 范围以供 Google 评估。这消除了对 SE 黑名单的任何恐惧。实际上,我对此非常有信心,因为我在最近关于 Cloud CDN 相关神话的博客文章中谈到了这个主题,并且拥有 6 年以上的 SEO 经验(包括高级顾问和部门经理),我很确定我有正确的事实.

如果不出意外,在我们 2.5 年的经验中,我们从未发生过任何客户黑名单事件。

从我读过的内容来看,CF 也对他们所有的 IP 做同样的事情。

于 2012-07-24T15:39:29.857 回答