ይህ መጣጥፍ “የኔትወርክ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ” ከሚለው ተከታታይ አራተኛው ነው። በተከታታይ እና አገናኞች ውስጥ የሁሉም መጣጥፎች ይዘቶች ሊገኙ ይችላሉ። እዚህ.

В የመጀመሪያው ክፍል። በዚህ ምእራፍ አንዳንድ የአውታረ መረብ ደህንነትን በመረጃ ማእከል ክፍል ውስጥ ተመልክተናል። ይህ ክፍል ለ "የበይነመረብ መዳረሻ" ክፍል ይወሰናል.

የበይነመረብ መዳረሻ

የደህንነት ርእሰ ጉዳይ ምንም ጥርጥር የለውም በአለም የውሂብ አውታረ መረቦች ውስጥ በጣም ውስብስብ ከሆኑ ርዕሰ ጉዳዮች አንዱ ነው። እንደ ቀድሞዎቹ ጉዳዮች ፣ ጥልቀት እና ሙሉነት ሳይጠይቁ ፣ እዚህ በጣም ቀላል እንደሆነ እቆጥረዋለሁ ፣ ግን በእኔ አስተያየት ፣ አስፈላጊ ጥያቄዎች ፣ መልሶች የአውታረ መረብዎን ደህንነት ደረጃ ከፍ ለማድረግ እንደሚረዱ ተስፋ አደርጋለሁ ።

ይህንን ክፍል በሚመረምሩበት ጊዜ ለሚከተሉት ገጽታዎች ትኩረት ይስጡ ።

• ንድፍ
• BGP ቅንብሮች
• DOS/DDOS ጥበቃ
• በፋየርዎል ላይ የትራፊክ ማጣሪያ

ዕቅድ

ለድርጅት አውታረመረብ የዚህ ክፍል ዲዛይን እንደ ምሳሌ ፣ እኔ እመክራለሁ መመሪያ ከውስጥ Cisco አስተማማኝ ሞዴሎች.

በእርግጥ፣ ምናልባት የሌሎች አቅራቢዎች መፍትሔ ለእርስዎ ይበልጥ ማራኪ መስሎ ይታይዎት ይሆናል (ተመልከት. ጋርትነር ኳድራንት 2018), ነገር ግን ይህንን ንድፍ በዝርዝር እንድትከተሉ ሳያበረታታዎት, ከጀርባው ያሉትን መርሆዎች እና ሀሳቦች ለመረዳት አሁንም ጠቃሚ ሆኖ አግኝቼዋለሁ.

ማስታወሻ

በ SAFE ውስጥ "የርቀት መዳረሻ" ክፍል "የበይነመረብ መዳረሻ" ክፍል ነው. ግን በዚህ ተከታታይ ጽሁፎች ውስጥ ለየብቻ እንመለከታለን.

ለድርጅት አውታረመረብ በዚህ ክፍል ውስጥ ያለው መደበኛ የመሳሪያዎች ስብስብ ነው።

• ድንበር ራውተሮች
• ፋየርዎል

አስተያየት 1

በዚህ ተከታታይ መጣጥፎች ውስጥ ስለ ፋየርዎል ስናገር ማለቴ ነው። NGFW.

አስተያየት 2

የL2/L1 ግንኙነትን ለማረጋገጥ እና ራሴን በL2 ደረጃ እና ከዚያ በላይ በሆኑ ጉዳዮች ላይ ብቻ ለመገደብ የሚያስፈልጉትን የተለያዩ አይነት L3/L1 ወይም ተደራቢ L2ን ከ L3 መፍትሄዎች እተወዋለሁ። በከፊል፣ የL1/L2 ጉዳዮች በምዕራፉ “ ላይ ተብራርተዋልጽዳት እና ሰነዶች".

በዚህ ክፍል ውስጥ ፋየርዎል ካላገኙ ወደ መደምደሚያዎች መቸኮል የለብዎትም።

ልክ እንደ ውስጥ እናድርግ ያለፈው ክፍልበጥያቄው እንጀምር-በእርስዎ ጉዳይ ላይ በዚህ ክፍል ውስጥ ፋየርዎልን መጠቀም አስፈላጊ ነው?

ይህ ፋየርዎል ለመጠቀም እና ውስብስብ የትራፊክ ማጣሪያ ስልተ ቀመሮችን ለመጠቀም በጣም ትክክለኛ ቦታ ይመስላል ማለት እችላለሁ። ውስጥ ክፍል 1 በመረጃ ማእከል ክፍል ውስጥ የፋየርዎል አጠቃቀም ላይ ጣልቃ ሊገቡ የሚችሉ 4 ነገሮችን ጠቅሰናል። እዚህ ግን ያን ያህል ጉልህ አይደሉም።

ምሳሌ 1. መዘግየት

በይነመረብን በተመለከተ, ስለ 1 ሚሊሰከንድ መዘግየት እንኳን ማውራት ምንም ፋይዳ የለውም. ስለዚህ, በዚህ ክፍል ውስጥ ያለው መዘግየት የፋየርዎልን አጠቃቀም የሚገድብ ምክንያት ሊሆን አይችልም.

ምሳሌ 2. ምርታማነት

በአንዳንድ ሁኔታዎች ይህ ሁኔታ አሁንም ጠቃሚ ሊሆን ይችላል. ስለዚህ፣ አንዳንድ ትራፊክ (ለምሳሌ፣ ከሎድ ሚዛኖች የሚመጡ ትራፊክ) ፋየርዎልን እንዲያልፉ መፍቀድ ሊኖርብዎ ይችላል።

ምሳሌ 3. አስተማማኝነት

ይህ ሁኔታ አሁንም ግምት ውስጥ መግባት ይኖርበታል, ነገር ግን አሁንም, በይነመረብ በራሱ አስተማማኝነት, ለዚህ ክፍል ያለው ጠቀሜታ እንደ የመረጃ ማእከል አስፈላጊ አይደለም.

እንግዲያው፣ አግልግሎትህ በ http/https አናት ላይ እንደሚኖር እናስብ (ከአጭር ክፍለ ጊዜዎች ጋር)። በዚህ ሁኔታ, ሁለት ገለልተኛ ሳጥኖችን (ያለ HA) መጠቀም ይችላሉ እና ከአንደኛው ጋር የማዛወር ችግር ካለ, ሁሉንም ትራፊክ ወደ ሁለተኛው ያስተላልፉ.

ወይም ፋየርዎሎችን በግልፅ ሁነታ መጠቀም እና ካልተሳካላቸው ችግሩን በሚፈታበት ጊዜ ትራፊክ ፋየርዎልን እንዲያልፉ ማድረግ ይችላሉ።

ስለዚህ, በጣም አይቀርም ልክ ዋጋ በዚህ ክፍል ውስጥ የፋየርዎል አጠቃቀምን እንድትተው የሚያስገድድህ ምክንያት ሊሆን ይችላል።

አስፈላጊ!

ይህንን ፋየርዎል ከመረጃ ማእከል ፋየርዎል ጋር ለማጣመር ፈተና አለ (ለእነዚህ ክፍሎች አንድ ፋየርዎል ይጠቀሙ)። መፍትሄው በመርህ ደረጃ, ይቻላል, ግን ያንን መረዳት ያስፈልግዎታል ምክንያቱም የበይነመረብ መዳረሻ ፋየርዎል በመከላከያዎ ግንባር ቀደም ነው እና ቢያንስ የተወሰኑትን ተንኮል-አዘል ትራፊክ "ይወስዳል" ፣ በእርግጥ ፣ ይህ ፋየርዎል የመሰናከል አደጋን ከግምት ውስጥ ማስገባት አለብዎት። ይኸውም በእነዚህ ሁለት ክፍሎች ውስጥ ያሉትን ተመሳሳይ መሳሪያዎችን በመጠቀም የውሂብ ማዕከል ክፍልዎን ተገኝነት በእጅጉ ይቀንሳሉ.

እንደ ሁልጊዜው, ኩባንያው በሚሰጠው አገልግሎት ላይ በመመስረት, የዚህ ክፍል ዲዛይን በጣም ሊለያይ እንደሚችል መረዳት አለብዎት. እንደ ሁልጊዜው, እንደ ፍላጎቶችዎ የተለያዩ አቀራረቦችን መምረጥ ይችላሉ.

ለምሳሌ:

የይዘት አቅራቢ ከሆኑ ከCDN አውታረ መረብ ጋር (ለምሳሌ ይመልከቱ፡- ተከታታይ መጣጥፎች), ከዚያ ለመዘዋወር እና ለትራፊክ ማጣሪያ የተለያዩ መሳሪያዎችን በመጠቀም በደርዘን የሚቆጠሩ ወይም በመቶዎች የሚቆጠሩ የመገኛ ቦታ መሠረተ ልማት መፍጠር ላይፈልጉ ይችላሉ። ውድ ይሆናል, እና በቀላሉ አላስፈላጊ ሊሆን ይችላል.

ለBGP የግድ የተለየ ራውተሮች ሊኖሩዎት አይገባም፣እንደ ክፍት ምንጭ መሳሪያዎችን መጠቀም ይችላሉ። ዜብራ. ስለዚህ ምናልባት የሚያስፈልግህ አገልጋይ ወይም ብዙ አገልጋዮች፣ ማብሪያና ማጥፊያ እና BGP ብቻ ነው።

በዚህ አጋጣሚ የእርስዎ አገልጋይ ወይም በርካታ አገልጋዮች የሲዲኤን አገልጋይ ብቻ ሳይሆን ራውተርም ሚና ሊጫወቱ ይችላሉ። እርግጥ ነው፣ አሁንም ብዙ ዝርዝሮች አሉ (እንደ ሚዛኑን እንዴት ማረጋገጥ እንደሚቻል)፣ ነገር ግን ሊሠራ የሚችል ነው፣ እና ለአንዱ አጋሮቻችን በተሳካ ሁኔታ የተጠቀምንበት አካሄድ ነው።

ብዙ የመረጃ ማዕከሎች ከሙሉ ጥበቃ (ፋየርዎል፣ በበይነ መረብ አቅራቢዎችዎ የሚቀርቡ የ DDOS ጥበቃ አገልግሎቶች) እና በደርዘን የሚቆጠሩ ወይም በመቶዎች የሚቆጠሩ “ቀላል” የመገኛ ቦታዎች በL2 ማብሪያና ማጥፊያዎች ብቻ ሊኖሩዎት ይችላሉ።

ግን በዚህ ጉዳይ ላይ ስላለው ጥበቃስ?

ለምሳሌ በቅርቡ ተወዳጅ የሆነውን እንይ የዲ ኤን ኤስ ማጉላት DDOS ጥቃት. አደጋው ከፍተኛ መጠን ያለው ትራፊክ በመፈጠሩ ላይ ነው ፣ ይህም በቀላሉ 100% ሁሉንም አገናኞችዎን "የሚዘጋው" ነው።

በዲዛይናችን ጉዳይ ላይ ምን አለን.

• AnyCastን ከተጠቀሙ፣ትራፊኩ በተገኙበት ቦታ መካከል ይሰራጫል። አጠቃላይ የመተላለፊያ ይዘትዎ ቴራቢት ከሆነ፣ ይህ በራሱ በእውነቱ (ነገር ግን፣ በቅርብ ጊዜ በቴራቢት ቅደም ተከተል ላይ በተንኮል-አዘል ትራፊክ ብዙ ጥቃቶች ተደርገዋል) “ከመጠን በላይ ከሚፈስ” አገናኞች ይጠብቅዎታል።
• ሆኖም፣ አንዳንድ አገናኞች ከተዘጉ፣ በቀላሉ ይህን ጣቢያ ከአገልግሎት ያስወግዳሉ (ቅድመ ቅጥያውን ማስተዋወቅ ያቁሙ)
• እንዲሁም ከእርስዎ “ሙሉ” (እና በዚህ መሠረት ፣የተጠበቁ) የውሂብ ማዕከሎች የተላከውን የትራፊክ ድርሻ ከፍ ማድረግ ይችላሉ ፣ ስለሆነም ተንኮል-አዘል ትራፊክን ጉልህ የሆነ ክፍል ካልተጠበቁ የመገኛ ቦታዎች ያስወግዳል።

እና ለዚህ ምሳሌ አንድ ተጨማሪ ትንሽ ማስታወሻ. በ IX በኩል በቂ ትራፊክ ከላከ ይህ ደግሞ ለእንደዚህ አይነት ጥቃቶች ያለዎትን ተጋላጭነት ይቀንሳል

BGP በማዋቀር ላይ

እዚህ ሁለት ርዕሰ ጉዳዮች አሉ.

• ግንኙነት
• BGP በማዋቀር ላይ

ስለ ግኑኝነት ግንኙነት አስቀድመን ተናግረናል። ክፍል 1. ነጥቡ ወደ ደንበኞችዎ የሚደርሰው ትራፊክ ትክክለኛውን መንገድ መከተሉን ማረጋገጥ ነው። ምንም እንኳን ጥሩነት ሁልጊዜ በመዘግየቱ ላይ ብቻ ባይሆንም, ዝቅተኛ መዘግየት አብዛኛውን ጊዜ የጥሩነት ዋና አመልካች ነው. ለአንዳንድ ኩባንያዎች ይህ የበለጠ አስፈላጊ ነው, ለሌሎች ደግሞ ያነሰ ነው. ሁሉም እርስዎ በሚሰጡት አገልግሎት ላይ የተመሰረተ ነው.

ለምሳሌ 1

እርስዎ ልውውጥ ከሆኑ እና ከ ሚሊሰከንዶች ያነሰ የጊዜ ክፍተቶች ለደንበኞችዎ አስፈላጊ ከሆኑ, በእርግጥ, ስለማንኛውም የበይነመረብ አይነት ምንም ማውራት አይቻልም.

ለምሳሌ 2

የጨዋታ ኩባንያ ከሆኑ እና በአስር ሚሊሰከንዶች ውስጥ ለእርስዎ አስፈላጊ ከሆኑ, በእርግጥ, ግንኙነት ለእርስዎ በጣም አስፈላጊ ነው.

ለምሳሌ 3

እንዲሁም በTCP ፕሮቶኮል ባህሪያት ምክንያት በአንድ የTCP ክፍለ ጊዜ ውስጥ ያለው የውሂብ ማስተላለፍ ፍጥነት በ RTT (የዙር ጉዞ ጊዜ) ላይ የተመሰረተ መሆኑን መረዳት አለቦት። የይዘት ማከፋፈያ ሰርቨሮችን ወደዚህ ይዘት ተጠቃሚ በማስጠጋት ይህንን ችግር ለመፍታት የሲዲኤን ኔትወርኮች እየተገነቡ ነው።

የግንኙነት ጥናት በራሱ በራሱ አስደሳች ርዕስ ነው, ለራሱ ጽሁፍ ወይም ተከታታይ መጣጥፎች ብቁ እና በይነመረብ "እንዴት እንደሚሰራ" ጥሩ ግንዛቤን ይጠይቃል.

ጠቃሚ ሀብቶች፡-

የበሰለ.net
bgp.he.net

ለምሳሌ:

አንድ ትንሽ ምሳሌ ብቻ እሰጣለሁ.

የውሂብ ማእከልዎ በሞስኮ ውስጥ እንደሚገኝ እናስብ እና አንድ ነጠላ አፕሊኬሽን - Rostelecom (AS12389) አለዎት። በዚህ ሁኔታ (ነጠላ ቤት) BGP አያስፈልገዎትም እና ምናልባትም ከ Rostelecom የሚገኘውን የአድራሻ ገንዳ እንደ የህዝብ አድራሻ ይጠቀሙ።

የተወሰነ አገልግሎት እንደሰጡን እናስብ እና ከዩክሬን በቂ ቁጥር ያላቸው ደንበኞች አሉዎት እና ስለ ረጅም መዘግየቶች ቅሬታ ያሰማሉ። በምርምርዎ ወቅት የአንዳንዶቹ የአይ ፒ አድራሻዎች በ37.52.0.0/21 ፍርግርግ ውስጥ እንዳሉ አውቀዋል።

መከታተያ መንገድን በማሄድ ትራፊኩ በAS1299 (ቴሊያ) በኩል እያለፈ መሆኑን አይተዋል፣ እና ፒንግ በመሮጥ አማካይ RTT ከ70 - 80 ሚሊሰከንዶች አግኝተዋል። ይህንን በ ላይ ማየት ይችላሉ የሚመስል መስታወት Rostelecom.

የዊይስ መገልገያውን በመጠቀም (በ ripe.net ወይም የአካባቢ መገልገያ) 37.52.0.0/21 ብሎክ የ AS6849 (Ukrtelecom) መሆኑን በቀላሉ መወሰን ይችላሉ።

በመቀጠል ወደ በመሄድ bgp.he.net AS6849 ከ AS12389 ጋር ምንም ግንኙነት እንደሌለው ታያለህ (ደንበኛ አይደሉም ወይም አንዳቸው ለሌላው አገናኞች አይደሉም ወይም አቻ የላቸውም)። ነገር ግን ከተመለከቱ የእኩዮች ዝርዝር ለ AS6849, ለምሳሌ AS29226 (Mastertel) እና AS31133 (ሜጋፎን) ያያሉ.

አንዴ የእነዚህን አቅራቢዎች የሚመስለውን መስታወት ካገኙ በኋላ መንገዱን እና RTT ማወዳደር ይችላሉ። ለምሳሌ፣ ለ Mastertel RTT 30 ሚሊሰከንድ ያህል ይሆናል።

ስለዚህ፣ በ80 እና 30 ሚሊሰከንዶች መካከል ያለው ልዩነት ለአገልግሎቶ ጠቃሚ ከሆነ፣ስለግንኙነት ማሰብ፣የእርስዎን AS ቁጥር፣የአድራሻ ገንዳዎን ከRIPE ማግኘት እና ተጨማሪ አገናኞችን ማገናኘት እና/ወይም የመገኛ ነጥቦችን በIXs ላይ መፍጠር ያስፈልግዎታል።

BGPን ሲጠቀሙ ግንኙነትን ለማሻሻል እድል ብቻ ሳይሆን የበይነመረብ ግንኙነትዎን ያለማቋረጥ ይጠብቃሉ።

ይህ ሰነድ BGPን ለማዋቀር ምክሮችን ይዟል። ምንም እንኳን እነዚህ ምክሮች የተዘጋጁት በአቅራቢዎች “ምርጥ ልምምድ” ላይ በመመርኮዝ ቢሆንም (የእርስዎ BGP መቼቶች በጣም መሠረታዊ ካልሆኑ) ምንም ጥርጥር የለውም ጠቃሚ ናቸው እና በእውነቱ እኛ የተነጋገርነው የማጠናከሪያ አካል መሆን አለባቸው ። የመጀመሪያው ክፍል።.

DOS/DDOS ጥበቃ

አሁን የDOS/DDOS ጥቃቶች ለብዙ ኩባንያዎች የዕለት ተዕለት እውነታ ሆነዋል። እንዲያውም በአንድም ሆነ በሌላ መልኩ ብዙ ጊዜ ጥቃት ይደርስብሃል። ይህንን እስካሁን ያላስተዋሉ መሆኑ በአንተ ላይ ያነጣጠረ ጥቃት እስካሁን አልተደራጀም ማለት ነው፣ እና የምትጠቀመው የጥበቃ እርምጃ ምናልባት ሳታውቀው (የተለያዩ የስርዓተ ክወናዎች አብሮገነብ ጥበቃዎች) በቂ ነው ማለት ነው። ለእርስዎ እና ለደንበኞችዎ የሚሰጠውን አገልግሎት ዝቅጠት መያዙን ያረጋግጡ።

በመሳሪያዎች ምዝግብ ማስታወሻዎች ላይ በመመስረት የሚያምሩ የጥቃት ካርታዎችን በእውነተኛ ጊዜ የሚሳሉ የበይነመረብ ሀብቶች አሉ።

ይህ ነው ለእነሱ አገናኞችን ማግኘት ይችላሉ.

የእኔ ተወዳጅ ካርድ ከ CheckPoint.

ከDDOS/DOS መከላከል አብዛኛውን ጊዜ ተደራራቢ ነው። ለምን እንደሆነ ለመረዳት ምን አይነት የDOS/DDOS ጥቃቶች እንዳሉ መረዳት አለቦት (ለምሳሌ ይመልከቱ፡ እዚህ ወይም እዚህ)

ማለትም ሦስት ዓይነት ጥቃቶች አሉን፡-

• ጥራዝ ጥቃቶች
• የፕሮቶኮል ጥቃቶች
• የመተግበሪያ ጥቃቶች

ለምሳሌ ፋየርዎል በመጠቀም እራስዎን ከአለፉት ሁለት አይነት ጥቃቶች መጠበቅ ከቻሉ አገናኞችዎን “ከመጠን በላይ” ከሚሉ ጥቃቶች እራስዎን መጠበቅ አይችሉም (በእርግጥ የበይነመረብ ቻናሎች አጠቃላይ አቅምዎ በቴራቢት ውስጥ ካልተሰላ) ወይም በተሻለ ሁኔታ በአስር ቴራቢት)።

ስለዚህ, የመጀመሪያው የመከላከያ መስመር ከ "ቮልሜትሪክ" ጥቃቶች ጥበቃ ነው, እና የእርስዎ አቅራቢ ወይም አቅራቢዎች ይህንን ጥበቃ ለእርስዎ መስጠት አለባቸው. ይህንን ገና ካልተገነዘቡት ለአሁኑ እድለኛ ነዎት።

ለምሳሌ:

ብዙ አገናኞች አሉህ እንበል፣ ነገር ግን ከአቅራቢዎቹ አንዱ ብቻ ይህንን ጥበቃ ሊሰጥህ ይችላል። ነገር ግን ሁሉም ትራፊክ በአንድ አቅራቢ በኩል የሚያልፍ ከሆነ፣ ከዚያ ትንሽ ቀደም ብለን ባጭሩ የተነጋገርነው ስለ ግንኙነቱስ?

በዚህ ሁኔታ, በጥቃቱ ጊዜ ግንኙነትን በከፊል መስዋዕት ማድረግ አለብዎት. ግን

• ይህ ለጥቃቱ ጊዜ ብቻ ነው. ጥቃት በሚደርስበት ጊዜ, ትራፊክ "ዣንጥላ" በሚሰጥዎ አቅራቢ በኩል ብቻ እንዲሄድ BGPን እራስዎ ወይም በራስ ሰር እንደገና ማዋቀር ይችላሉ. ጥቃቱ ካለቀ በኋላ ማዞሪያውን ወደ ቀድሞው ሁኔታ መመለስ ይችላሉ
• ሁሉንም ትራፊክ ማስተላለፍ አስፈላጊ አይደለም. ለምሳሌ በአንዳንድ አገናኞች ወይም አቻዎች ምንም አይነት ጥቃቶች አለመኖራቸውን ከተመለከቱ (ወይም ትራፊኩ ጠቃሚ ካልሆነ) ወደ እነዚህ BGP ጎረቤቶች ከሚወዳደሩ ባህሪያት ጋር ቅድመ ቅጥያዎችን ማስተዋወቅ ይችላሉ።

እንዲሁም ከ"ፕሮቶኮል ጥቃቶች" እና "የመተግበሪያ ጥቃቶች" ጥበቃን ለአጋሮችዎ በውክልና መስጠት ይችላሉ።
እዚህ እዚህ ጥሩ ጥናት ማንበብ ትችላለህ (ትርጉም). እውነት ነው, ጽሑፉ ሁለት አመት ነው, ግን እራስዎን ከ DDOS ጥቃቶች እንዴት እንደሚከላከሉ አቀራረቦችን ይሰጥዎታል.

በመርህ ደረጃ, እራስዎን በዚህ ላይ መገደብ ይችላሉ, ጥበቃዎን ሙሉ በሙሉ ከውጭ ማስወጣት ይችላሉ. የዚህ ውሳኔ ጥቅሞች አሉት, ግን ግልጽ የሆነ ኪሳራም አለ. እውነታው ግን ስለ ንግዱ ህልውና (እንደገና ኩባንያዎ በሚያደርገው ላይ በመመስረት) መነጋገር እንችላለን። እና እንደዚህ ያሉትን ነገሮች ለሶስተኛ ወገኖች እመኑ…

ስለዚህ, ሁለተኛውን እና ሶስተኛውን የመከላከያ መስመሮችን እንዴት ማደራጀት እንደሚቻል (ከአቅራቢው እንደ መከላከያ ተጨማሪ) እንይ.

ስለዚህ, ሁለተኛው የመከላከያ መስመር ወደ አውታረ መረብዎ መግቢያ ላይ ማጣሪያ እና የትራፊክ መገደብ (ፖሊሶች) ነው.

ለምሳሌ 1

እራስዎን በዲዲኦኤስ ላይ ጃንጥላ እንደሸፈኑ እናስብ ከአቅራቢዎች በአንዱ እገዛ። ይህ አቅራቢ ትራፊክን ለማጣራት እና በአውታረ መረቡ ጠርዝ ላይ ለማጣራት Arbor ይጠቀማል ብለን እናስብ።

አርቦር "ማስኬድ" የሚችለው የመተላለፊያ ይዘት ውስን ነው, እና አቅራቢው, በእርግጥ, ይህንን አገልግሎት በማጣሪያ መሳሪያዎች የሚያዙትን ሁሉንም አጋሮቹን ትራፊክ ማለፍ አይችልም. ስለዚህ, በመደበኛ ሁኔታዎች, ትራፊክ አይጣራም.

የSYN ጎርፍ ጥቃት እንዳለ እናስብ። ጥቃት በሚደርስበት ጊዜ ትራፊክን ወደ ማጣሪያ የሚቀይር አገልግሎት ቢያዝዙም ይህ ወዲያውኑ አይከሰትም። ለአንድ ደቂቃ ወይም ከዚያ በላይ በጥቃቱ ውስጥ ይቆያሉ። እና ይሄ ወደ መሳሪያዎ ውድቀት ወይም የአገልግሎቱ መበላሸት ሊያስከትል ይችላል. በዚህ ሁኔታ, በዳርቻው መስመር ላይ ያለውን ትራፊክ መገደብ, ምንም እንኳን በዚህ ጊዜ ውስጥ አንዳንድ የ TCP ክፍለ ጊዜዎች ወደማይመሠረቱበት እውነታ ቢመራም, መሠረተ ልማትዎን ከትላልቅ ችግሮች ያድናል.

ለምሳሌ 2

እጅግ በጣም ብዙ የሆነ የSYN ፓኬቶች የSYN የጎርፍ ጥቃት ውጤት ብቻ ላይሆን ይችላል። በአንድ ጊዜ ወደ 100 TCP ግንኙነቶች (ወደ አንድ የመረጃ ማእከል) ሊኖርዎት የሚችል አገልግሎት እንደሚሰጡ እናስብ።

ከዋና አቅራቢዎችዎ በአንዱ የአጭር ጊዜ ችግር ምክንያት፣ የክፍለ-ጊዜዎችዎ ግማሹ ተረገጠ። ማመልከቻዎ ሁለት ጊዜ ሳያስቡ ወዲያውኑ (ወይም ከተወሰነ ጊዜ በኋላ ለሁሉም ክፍለ ጊዜዎች ተመሳሳይ የሆነ) የተነደፈ ከሆነ ግንኙነቱን እንደገና ለመመስረት ሲሞክር ቢያንስ 50 ሺህ የ SYN ፓኬቶች ይቀበላሉ በአንድ ጊዜ.

ለምሳሌ, በእነዚህ ክፍለ-ጊዜዎች ላይ ssl/tls የእጅ መጨባበጥን ማካሄድ ካለብዎት የምስክር ወረቀቶች መለዋወጥን ያካትታል, ከዚያም ለጭነት ሚዛንዎ ሀብቶችን ከማሟጠጥ አንጻር ይህ ከቀላል ይልቅ "DDOS" የበለጠ ጠንካራ ይሆናል. የሲኤን ጎርፍ ሚዛናኞች እንደዚህ አይነት ክስተቶችን ማስተናገድ ያለባቸው ይመስላል፣ ግን... በሚያሳዝን ሁኔታ፣ እንደዚህ አይነት ችግር አጋጥሞናል።

እና በእርግጥ ፣ በጠርዙ ራውተር ላይ ያለ ፖሊስ መሳሪያዎን በዚህ ጉዳይ ላይ ያድናል ።

ሦስተኛው ከDDOS/DOS ጥበቃ ደረጃ የፋየርዎል መቼቶችዎ ነው።

እዚህ የሁለተኛውን እና የሶስተኛውን አይነት ሁለቱንም ጥቃቶች ማቆም ይችላሉ. በአጠቃላይ, ፋየርዎል ላይ የሚደርሰው ነገር ሁሉ እዚህ ሊጣራ ይችላል.

ጠቃሚ ምክር

በመጀመሪያዎቹ ሁለት የመከላከያ መስመሮች ላይ በተቻለ መጠን በማጣራት ፋየርዎልን በተቻለ መጠን ትንሽ ስራ ለመስጠት ይሞክሩ. እና ለዚህ ነው.

በአጋጣሚ ትራፊክ በማመንጨት ላይ ሳሉ ለምሳሌ የአገልጋዮችዎ ኦፕሬቲንግ ሲስተም ለዲዲኦኤስ ጥቃት ምን ያህል እንደሚቋቋም ፋየርዎልን 100 ፐርሰንት ጭነው በመደበኛ ጥንካሬዎ "ገድላችሁት" አጋጥሞዎት ያውቃል። ? ካልሆነ፣ ምናልባት ስላልሞከርክ ብቻ ሊሆን ይችላል?

በአጠቃላይ ፋየርዎል እንዳልኩት ውስብስብ ነገር ነው፣ እና ከሚታወቁ ተጋላጭነቶች እና ከተፈተኑ መፍትሄዎች ጋር በጥሩ ሁኔታ ይሰራል፣ ነገር ግን ያልተለመደ ነገር ከላኩ አንዳንድ ቆሻሻዎች ወይም ፓኬቶች ትክክል ያልሆኑ ራስጌዎች ያሉት ከሆነ እርስዎ ከአንዳንዶች ጋር እንጂ ከ ጋር አይደሉም። እንደዚህ ያለ ትንሽ ዕድል (በእኔ ልምድ ላይ በመመስረት) ከፍተኛ-ደረጃ መሳሪያዎችን እንኳን ማደናቀፍ ይችላሉ። ስለዚህ፣ በደረጃ 2፣ መደበኛ ኤሲኤሎችን (በ L3/L4 ደረጃ) በመጠቀም፣ ወደ አውታረ መረብዎ መግባት ያለበትን የትራፊክ ፍሰት ብቻ ይፍቀዱ።

በፋየርዎል ላይ ትራፊክ ማጣራት።

ስለ ፋየርዎል ውይይቱን እንቀጥል። የDOS/DDOS ጥቃቶች አንድ የሳይበር ጥቃት አይነት መሆናቸውን መረዳት አለቦት።

ከDOS/DDOS ጥበቃ በተጨማሪ፣ እንደሚከተሉት የባህሪዎች ዝርዝር የሆነ ነገር ሊኖረን ይችላል።

• የመተግበሪያ ፋየርዎልንግ
• ስጋትን መከላከል (ፀረ-ቫይረስ፣ ፀረ ስፓይዌር እና ተጋላጭነት)
• URL ማጣራት።
• የውሂብ ማጣሪያ (የይዘት ማጣሪያ)
• የፋይል ማገድ (የፋይል ዓይነቶችን ማገድ)

ከዚህ ዝርዝር ምን እንደሚፈልጉ መወሰን የእርስዎ ምርጫ ነው።

እንዲቀጥል

ምንጭ: hab.com