Je suis en train de concevoir une application Web Java que je finirai probablement par déployer sur Google App Engine (GAE). La bonne chose à propos de GAE est que je n'ai vraiment pas à me soucier de fortifier mon application contre l'attaque DDoS redoutée - je spécifie juste un "plafond de facturation", et si mon trafic atteint ce plafond (DDoS ou autre), GAE va simplement fermer mon application. En d'autres termes, GAE évoluera essentiellement à n'importe quel montant jusqu'à ce que vous ne puissiez tout simplement plus vous permettre de faire fonctionner l'application plus longtemps.
J'essaie donc de planifier une éventualité selon laquelle, si je frappe ce plafond de facturation et que GAE ferme mon application, mes paramètres DNS de domaine d'application Web "basculent" vers une autre adresse IP non GAE. Certaines recherches initiales ont montré que certains CDN comme CloudFlare offrent des services pour cette situation exacte. Fondamentalement, je garde juste mes paramètres DNS avec eux, et ils fournissent une API que je peux utiliser pour automatiser une procédure de basculement. Ainsi, si je détecte que je suis à 99% de mon plafond de facturation pour mon application GAE, je peux atteindre cette API CloudFlare, et CloudFlare modifiera dynamiquement mes paramètres DNS pour pointer loin des serveurs GAE vers une autre adresse IP.
Ma contingence initiale serait de basculer vers une version "en lecture seule" (contenu statique uniquement) de mon application Web hébergée ailleurs, peut-être par GoDaddy ou Rackspace.
Mais cela m'est soudainement apparu: si les attaques DDoS ciblent le nom de domaine, quelle différence cela fait-il si je passe de mon adresse IP GAE à mon (disons) adresse IP GoDaddy? En substance, le basculement ne ferait rien d'autre que de permettre aux attaquants DDoS de faire tomber mon site de sauvegarde / GoDaddy!
En d'autres termes, les attaquants DDoS coordonnent une attaque sur mon application web, hébergée par GAE, sur www.blah-whatever.com
, qui est en réalité une adresse IP de 100.2.3.4 . Ils font grimper mon trafic à 98% de mon plafond de facturation, et mon moniteur personnalisé déclenche un basculement CloudFlare de 100.2.3.4 à 105.2.3.4 . Les attaquants DDoS s'en moquent! Ils lancent toujours une attaque contre www.blah-whatever.com
! L'attaque DDoS continue!
Je demande donc: quelle protection les CDN comme CloudFlare offrent-ils pour que - lorsque vous devez basculer vers un autre DNS - vous ne soyez pas à risque de subir la même attaque DDoS continue? Si une telle protection existe, existe-t-il des restrictions techniques (par exemple en lecture seule, etc.) qui sont placées sur le site de basculement? Sinon, à quoi servent-ils?! Merci d'avance!