¿El proxy inverso no es una solución para los ataques DDOS cuando se aloja en PaaS?

4

Ejecutamos nuestras aplicaciones en Heroku y usamos Cloudflare como CDN y para protegernos contra los ataques de DOS. Sin embargo, recientemente experimentamos un ataque (relativamente menor) que logró eludir fácilmente Cloudflare simplemente enviando solicitudes a uno de los servidores de enrutamiento que Heroku aloja en AWS al tiempo que configuramos el encabezado Host: de las solicitudes a nuestro nombre de host. Esto funcionó porque el enrutamiento interno de la aplicación de Heroku se basa completamente en ese encabezado.

Le pregunté a Heroku si podían hacer algo al respecto y sugirieron manejarlo en la capa de middleware (que estamos usando reglas nginx). Pero esto todavía permite que el tráfico de ataque llegue a nuestro dinamómetro y aunque este ataque se gestionó utilizando esa estrategia, creo que un ataque mayor ralentizaría nginx, incluso si el servidor estuviera haciendo las conexiones en masa.

A falta de que ejecutemos nuestro propio proxy inverso, ¿alguien tiene alguna sugerencia para una mejor estrategia? ¿No es una debilidad importante de la arquitectura de Heroku que se dirijan a las aplicaciones basadas en el encabezado de solicitud Host: en lugar de asignar direcciones IP a dynos? ¿Es eso típico de PaaS?

    
pregunta sumizome 10.09.2015 - 01:29
fuente

2 respuestas

2

Hay 2 formas de resolver tu problema:

  1. Coloque una distribución de AWS Cloudfront entre Cloudflare y Heroku. Puede usarlos together y Cloudfront es adecuado para contenido dinámico .
  2. Override the Host de cabecera en Cloudflare. A partir de principios de 2016, se requiere una suscripción Enterprise.

En ambos casos, eliminas el dominio frontal del panel de control de Heroku, lo que evita que las solicitudes directas lleguen a tu dinamo.

P.S. Para que quede claro, establece el encabezado Host (origen de Cloudfront) en ambos casos en algo así como evening-sands-32400.herokuapp.com .

    
respondido por el berezovskyi 24.03.2016 - 11:11
fuente
1

Me gustaría ver a Akamai, que también tiene un sistema de prevención DDoS basado en CDN. Sin embargo, también tienen un servidor de seguridad de aplicación web (WAF) que puede realizar un filtrado bastante sofisticado basado en los encabezados de solicitud o cualquier otro dato en las sesiones HTTP / HTTPS.

Incluso si no usa Akamai per se, creo que debería considerarse un WAF.

    
respondido por el user1325457 10.09.2015 - 07:50
fuente

Lea otras preguntas en las etiquetas