CDNはどのようにしてDDoS攻撃からフェイルオーバーサイトを保護しますか？

Question

Java WebアプリはおそらくGoogle App Engine（GAE）にデプロイされることになります）の設計プロセスにいます。GAEの良い点は、恐ろしいDDoS攻撃からアプリを強化することについて心配します-「請求上限」を指定するだけで、トラフィックがこの上限（DDoSまたはそれ以外）に達すると、GAEはアプリをシャットダウンします。つまり、GAEは基本的にアプリの実行を継続する余裕がなくなるまで、任意の量にスケーリングします。

そのため、私はこの請求の上限に達し、GAEがアプリをシャットダウンした場合に、WebアプリドメインのDNS設定が別の非GAE IPアドレスに「フェイルオーバー」するような不測の事態を計画しています。一部の初期の調査では、CloudFlareなどの特定のCDNがこの正確な状況に対応するサービスを提供していることが示されています。基本的に、私はDNS設定を保持するだけで、フェイルオーバー手順を自動化するために使用できるAPIを提供します。したがって、GAEアプリの請求上限が99％になっていることが検出された場合、このCloudFlare APIにアクセスできます。CloudFlareは、DNS設定を動的に変更して、GAEサーバーから他のIPアドレスを指すようにします。

私の最初の不測の事態は、おそらくGoDaddyまたはRackspaceによって他の場所でホストされているWebアプリの「読み取り専用」（静的コンテンツのみ）バージョンにフェイルオーバーすることです。

しかし、それから突然私に気づきました：DDoS攻撃がドメイン名をターゲットにしている場合、GAE IPアドレスから（たとえば）GoDaddy IPアドレスにロールオーバーすると、どのような違いがありますか？本質的に、フェイルオーバーDDoS攻撃者が私のバックアップ/ GoDaddyサイトをダウンさせること以外は何もしません！

言い換えると、DDoS攻撃者は、GAEがホストする私のWebアプリへの攻撃をwww.blah-whatever.comで調整します。これは、実際にはIPアドレス100.2.3.4です。これらにより、トラフィックが請求上限の98％に急上昇し、カスタムモニターが100.2.3.4から105.2.3.4へのCloudFlareフェイルオーバーをトリガーします。 DDoS攻撃者は気にしません！彼らはまだwww.blah-whatever.comに対して攻撃を仕掛けています！ DDoS攻撃が続いています！

だから私は尋ねます：CloudFlareのようなCDNはどのような保護を提供するので-別のDNSにフェールオーバーする必要があるときに-同じ、継続的なDDoS攻撃の危険にさらされませんか？そのような保護が存在する場合、フェイルオーバーサイトに課せられている技術的な制限（読み取り専用など）はありますか？そうでない場合、彼らは何が良いのですか？前もって感謝します！

Billy ONeal · Accepted Answer

この構成では、DDoS攻撃から保護されません。 CDNはDDoS攻撃から「保護」しません。問題に対応するために大量のハードウェアと帯域幅を用意することで、その影響を軽減します。 CDNがDNS設定をサーバーを直接指すように変更すると、CDNはWebサイトへのリクエストを処理しなくなります。クライアントはCDNのIPを見ることができないため、CDNは保護を提供できなくなります。

「何が良いのか」という限り-DDoS攻撃はCDNを使用する目的ではありません。 CDNを使用する目的は、サーバーとクライアントの間の地理的な距離を短くすることにより、誰かがWebサーバーの1つから大量のデータを要求してから、そのユーザーがデータを取得するまでの待ち時間を短縮することです。これは、実行可能なパフォーマンス最適化です。ただし、DDoSからのセキュリティを提供するようには設計されていません。

Igal Zeifman · Answer

CDNベースの高速化サービス（CFなど）も提供するクラウドセキュリティ企業 Incapsula で働いています。

（@Billy ONealによって正しく記述されているように）CDN自体はDDoS保護を提供しませんが、クラウドベースのプロキシネットワークは非常に効果的なDDoS緩和ツールであると言いたいです。

したがって、DDoS on Cloud CDNの場合、DDoSによって生成されたすべての余分なトラフィックを取り込みながら、世界中のさまざまなPOPからサイトへのアクセスを許可するのは、「CDN」ではなく「クラウド」です。

また、これはフロントゲートプロキシソリューションであるため、このテクノロジーを使用して、スプーフィングされたIPを使用してサーバーに多数のSYNリクエストを送信するレベル3〜4のネットワークDDoS攻撃（SYNフラッド）を緩和できます。

この場合、プロキシはACK応答を受信するまで接続を確立しないため、SYNフラッドが発生するのを防ぎます。

ウェブサイトのセキュリティにクラウドを使用できる他の方法もあります（つまり、悪いボットブロッキング、クラウドベースのWAF）。これらのいくつかは、DDoSの緩和または防止にも使用できます（スキャナーボットの停止は、後者の良い例です）。ここで理解しておくべき主なことは、これはすべてCDNではなくクラウドテクノロジーに基づいているということです。