web-dev-qa-db-fra.com

Comment puis-je protéger stratum + tcp contre les DDoS?

Il y avait une question demandant cela posté plus tôt (semble avoir été enlevé) et j'ai quelques recherches pour trouver la réponse.

Vous pouvez protéger http et https contre les attaques DDoS à l'aide de Cloudflare, mais des services non http tels que ftp sont configurés pour contourner Cloudflare.

Si mon domaine est example.com, comment puis-je configurer pool.example.com afin qu'il soit protégé pour strate + tcp? par exemple.:

stratum+tcp://pool.example.com:3747
1
Willtech

Il est vrai que Cloudflare ordinaire ne protège que les http et les https contre les DDoS. Pour cette raison, d'autres services sont configurés pour contourner Cloudflare et opérer directement sur votre serveur. Il semble anodin que si un attaquant peut trouver la véritable adresse IP de votre serveur Web, il ne peut que s'en prendre à cela, mais cela ne va pas du tout.

Cloudflare offre un service appelé Cloudflare Spectrum :

Spectrum étend la puissance de Cloudflare pour protéger non seulement votre trafic Web, mais également vos autres ports et protocoles TCP et les protocoles DDoS des couches 3 et 4. En activant le cryptage TLS, Spectrum réduit la capacité des attaquants d’observer et de voler des données sensibles.

Votre infrastructure Origin est exposée lors de la fourniture de TCP services tels que: protocoles de jeu personnalisés, accès au serveur distant (SSH), services de transfert de fichiers sécurisé (SFTP) et courrier électronique (SMTP).

Les attaquants peuvent directement envoyer du trafic volumétrique DDoS vers ces services, dégradant ainsi les performances Web ou les réduisant complètement. Les pirates peuvent également surveiller le trafic non chiffré sur ces ports pour voler des données confidentielles ou des informations d'identification.

Évidemment, nous ne sommes pas inquiets si quelqu'un fouille notre mot de passe d'employé à condition qu'il soit différent de notre identifiant de pool (personne ne s'est jamais plaint si quelqu'un commence à exploiter son ouvrier), mais la possibilité de protéger un service utilisant TCP autrement que http et https est de valeur.

Si vous êtes légitimement préoccupé par la possibilité d'une attaque, tout le service doit être masqué pour protéger l'identité de votre serveur actuel, rien ne doit être disponible directement et l'adresse IP de votre serveur ne doit jamais être exposée.

Maintenant pour les mauvaises nouvelles:

Pour commencer à utiliser Spectrum, vous devez être abonné à un plan Cloudflare Enterprise.

1
Willtech