ProHoster > Blog > Rêveberî > Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Part du

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Part du

Ev gotara çaremîn e di rêza "Çawa Di Binesaziya Tora Xwe de Kontrol Bikin." Naveroka hemî gotarên rêzefîlmê û girêdan têne dîtin vir.

В beşa yekem Di vê beşê de, me di beşa Navenda Daneyê de li hin aliyên ewlehiya torê nihêrî. Ev beş dê ji beşa "Gihandina Înternetê" re were veqetandin.

Meriv çawa binesaziya tora xwe kontrol dike. Beşa sêyem. Ewlekariya torê. Part du

Înternetê

Mijara ewlehiyê bê guman di cîhana torên daneyê de yek ji mijarên herî tevlihev e. Wekî ku di rewşên berê de, bêyî îdîaya kûrahî û bêkêmasî, ez ê li vir pir hêsan bihesibînim, lê, bi dîtina min, pirsên girîng, bersivên ku, ez hêvî dikim, dê alîkariya bilindkirina asta ewlehiya tora we bike.

Dema ku hûn vê beşê kontrol bikin, bala xwe bidin xalên jêrîn:

  • design
  • Mîhengên BGP
  • Parastina DOS / DDOS
  • Parzûnkirina trafîkê li ser dîwarê agir

design

Wekî mînakek sêwirana vê beşê ji bo tora pargîdanî, ez ê pêşniyar bikim birêvebirî ji Cisco hundir modelên SAFE.

Bê guman, dibe ku çareseriya firoşkarên din ji we re balkêştir xuya bike (binêre. Gartner Quadrant 2018), lê bêyî ku hûn teşwîq bikin ku hûn vê sêwiranê bi hûrgulî bişopînin, ez hîn jî kêrhatî dibînim ku prensîb û ramanên li pişt wê fam bikim.

Têbînî:

Di SAFE de, beşa "Gihîştina Dûr" beşek ji beşa "Gihandina Înternetê" ye. Lê di vê rêze gotaran de em ê wê ji hev cuda binirxînin.

Koma standard a alavên di vê beşê de ji bo tora pargîdanî ye

  • routerên sînor
  • dîwarên agir

Nîşe 1

Di vê rêze gotaran de, dema ku ez qala dîwarên agir dikim, mebesta min e NGFW.

Nîşe 2

Ez nihêrandina cûrbecûr L2/L1 an jî L2-ê li ser L3-ya çareseriyên ku ji bo peydakirina girêdana L1/L2 hewce ne ji bîr nakim û xwe tenê bi pirsgirêkên di asta L3 û jorîn de sînordar dikim. Bi qismî, pirsgirêkên L1/L2 di beşê de hatin nîqaş kirin.Paqijkirin û Belgekirin".

Ger we di vê beşê de dîwarek agir nedît, wê hingê divê hûn di encaman de lez nekin.

Werin em heman tiştî bikin beşa berêWerin em bi pirsê dest pê bikin: gelo di doza we de pêdivî ye ku meriv di vê beşê de dîwarê agir bikar bîne?

Ez dikarim bibêjim ku ev cîhê herî maqûl e ku meriv dîwaran bikar bîne û algorîtmayên fîlterkirina seyrûsefera tevlihev bicîh bîne. LI beş 1 Me behsa 4 faktorên ku dibe ku di beşa navenda daneyê de di karanîna dîwarên agir de asteng bikin. Lê li vir êdî ew qas giring in.

1 Derengxistin

Heya ku ji Înternetê ve girêdayî ye, ne tiştek e ku meriv behsa derengiya bi qasî 1 millisecond jî bike. Ji ber vê yekê, derengiya vê beşê nikare bibe faktorek ku karanîna dîwarê dîwarê sînordar dike.

2 Berhemdariyê

Di hin rewşan de ev faktor hîn jî girîng e. Ji ber vê yekê, dibe ku hûn destûr bidin ku hin seyrûsefer (mînak, seyrûsefera ji hevsengkerên barkirinê) ku dîwarê agir derbas bike.

3 Ewlehiyê

Ev faktor hîn jî pêdivî ye ku were hesibandin, lê dîsa jî, ji ber bêbaweriya Înternetê bixwe, girîngiya wê ji bo vê beşê ne bi qasî navenda daneyê girîng e.

Ji ber vê yekê, em bifikirin ku karûbarê we li ser http/https (bi danişînên kurt) dijî. Di vê rewşê de, hûn dikarin du qutiyên serbixwe (bêyî HA) bikar bînin û heke pirsgirêkek rêvekirinê bi yek ji wan re hebe, hemî seyrûseferê veguhezînin ya duyemîn.

An jî hûn dikarin dîwarên dîwaran di moda zelal de bikar bînin û, heke ew bisernekevin, dema ku pirsgirêkê çareser dikin rê bidin ku seyrûsefera dîwarê dîwaran derbas bike.

Ji ber vê yekê, bi îhtîmaleke mezin tenê bihayê dibe ku bibe faktora ku dê we neçar bike ku dev ji karanîna dîwarên agir di vê beşê de berde.

Girîng!

Ceribandinek heye ku hûn vê dîwarê agir bi dîwarê navenda daneyê re bikin yek (ji bo van beşan yek dîwar bikar bînin). Çareserî, di prensîbê de, mimkun e, lê hûn hewce ne ku ji ber vê yekê fêm bikin Firewallek Têkiliya Înternetê bi rastî li pêşiya berevaniya we ye û bi kêmî ve hin seyrûsefera xerab "digire" xwe, wê hingê, bê guman, hûn hewce ne ku rîska zêde ya ku ev dîwarê agir were neçalak kirin bigire ber çavan. Ango, bi karanîna heman cîhazên di van her du beşan de, hûn ê hebûna beşa navenda daneya xwe bi girîngî kêm bikin.

Mîna her gav, hûn hewce ne ku fêm bikin ku li gorî karûbarê ku pargîdanî peyda dike, sêwirana vê beşê dikare pir cûda bibe. Mîna her gav, hûn dikarin li gorî daxwazên xwe nêzîkatiyên cûda hilbijêrin.

Nimûne:

Ger hûn dabînkerek naverokê ne, bi tora CDN re (binihêrin, mînakî, rêze gotaran), wê hingê dibe ku hûn nexwazin binesaziyê bi dehan an jî bi sedan xalên hebûnê bi karanîna amûrên cihêreng ji bo rêkirin û fîlterkirina seyrûseferê biafirînin. Ew ê buha be, û dibe ku ew tenê nepêwist be.

Ji bo BGP-ê ne hewce ye ku hûn rêwerên xwerû hebin, hûn dikarin amûrên çavkaniya vekirî wekî Quagga. Ji ber vê yekê belkî ya ku hûn hewce ne serverek an çend serverek, veguhezek û BGP ye.

Di vê rewşê de, servera we an çend servers dikarin rola ne tenê serverek CDN, lê di heman demê de rêwerek jî bilîzin. Bê guman, hîn jî gelek hûrgulî hene (wek mînak meriv çawa hevsengiyê misoger dike), lê ew pêkan e, û ew nêzîkatiyek e ku me ji bo yek ji hevkarên xwe bi serfirazî bikar aniye.

Hûn dikarin çend navendên daneyê bi parastina tam (dîwarên agir, karûbarên parastina DDOS-ê yên ku ji hêla pêşkêşkerên weyên Înternetê ve têne peyda kirin) û bi dehan an bi sedan xalên hebûna "hêsandî" bi tenê bi guheztin û pêşkêşkerên L2 hebin.

Lê di vê rewşê de li ser parastinê çi ye?

Werin em, mînakî, ya herî populer a vê dawiyê binêrin Êrîşa DDOS-a Amplification DNS. Xetereya wê di rastiyê de ye ku rêjeyek mezin a seyrûseferê çêdibe, ku bi tenê 100% ji hemî girêdanên we "xitimîne".

Di mijara sêwirana me de çi heye.

  • heke hûn AnyCast bikar bînin, wê hingê seyrûsefer di navbera xalên hebûna we de tê belav kirin. Ger firehiya weya tevayî terabît be, wê hingê ev bi xwe bi rastî (lêbelê, di van demên dawî de li ser fermana terabitan çend êrişên bi seyrûsefera xerab pêk hatine) we ji lînkên "zêde" diparêze.
  • Lêbelê, heke hin girêdan xitimî bibin, wê hingê hûn tenê vê malperê ji karûbarê derxînin (reklama pêşgiriyê rawestînin)
  • her weha hûn dikarin para seyrûsefera ku ji navendên daneya xweyên "temam" (û, li gorî, parastî) hatine şandin zêde bikin, bi vî rengî beşek girîng ji seyrûsefera xerab ji nuqteyên hebûna neparastî derxînin.

Û notek piçûktir ji vê nimûneyê re. Ger hûn bi têra xwe seyrûseferê bi navgîniya IX-an bişînin, wê hingê ev jî qelsiya we li hember êrişên weha kêm dike

Sazkirina BGP

Li vir du mijar hene.

  • Têkilî
  • Sazkirina BGP

Me berê jî hinekî li ser pêwendiyê di nav de axivî beş 1. Xal ev e ku hûn pê ewle bibin ku seyrûsefera xerîdarên we riya çêtirîn dişopîne. Her çend xweşbînî her gav ne tenê li ser derengiyê ye, derengiya kêm bi gelemperî nîşana sereke ya xweşbîniyê ye. Ji bo hin pargîdaniyan ev girîngtir e, ji bo yên din kêmtir e. Ew hemî bi karûbarê ku hûn pêşkêş dikin ve girêdayî ye.

nimûne 1

Ger hûn danûstendinek in, û navberên dema kêmtir ji milî çirkeyan ji xerîdarên we re girîng in, wê hingê, bê guman, qet qala her cûre Internetnternetê nayê kirin.

nimûne 2

Ger hûn pargîdaniyek lîstikê ne û bi deh millisecond ji we re girîng in, wê hingê, bê guman, girêdan ji we re pir girîng e.

nimûne 3

Her weha hûn hewce ne ku fêm bikin ku, ji ber taybetmendiyên protokola TCP-ê, rêjeya veguheztina daneyê di yek danişîna TCP-ê de jî bi RTT (Dema Rêwîtiya Dor) ve girêdayî ye. Tora CDN jî têne çêkirin ku ji bo çareserkirina vê pirsgirêkê bi veguhestina pêşkêşkerên belavkirina naverokê nêzîkê xerîdarê vê naverokê.

Lêkolîna girêdanê bi serê xwe mijarek balkêş e, hêjayî gotara xwe an rêze gotaran e, û pêdivî bi têgihiştinek baş a ku Înternet çawa "xebite" ye.

Çavkaniyên kêrhatî:

ripe.net
bgp.he.net

Nimûne:

Ez ê tenê mînakek piçûk bidim.

Ka em texmîn bikin ku navenda daneya we li Moskowê ye, û we girêdanek yekane heye - Rostelecom (AS12389). Di vê rewşê de (xaniyek yekane) hûn ne hewce ne BGP, û bi îhtîmalek mezin hûn hewza navnîşan ji Rostelecom wekî navnîşanên gelemperî bikar tînin.

Ka em bihesibînin ku hûn karûbarek diyar peyda dikin, û hejmareke têra we xerîdarên ji Ukraynayê hene, û ew ji derengiyên dirêj gilî dikin. Di dema lêkolîna xwe de, we fêr bû ku navnîşanên IP-yê hin ji wan di tora 37.52.0.0/21 de ne.

Bi xebitandina traceroute, we dît ku seyrûsefer di AS1299 (Telia) re derbas dibe, û bi meşandina ping-ê re, we RTT-ya navînî 70 - 80 milîçirkeyan stend. Hûn dikarin vê jî li ser bibînin cam digere Rostelecom.

Bi karanîna karanîna whois (li ser ripe.net an karûbarek herêmî), hûn dikarin bi hêsanî diyar bikin ku bloka 37.52.0.0/21 aîdî AS6849 (Ukrtelecom) e.

Piştre, bi çûyîna bgp.he.net hûn dibînin ku AS6849 bi AS12389 re têkiliyek tune (ew ne xerîdar ne ne jî girêdanên hevûdu ne, ne jî peeringa wan heye). Lê eger hûn lê binêrin lîsteya hevalên ji bo AS6849, hûn ê, mînakî, AS29226 (Mastertel) û AS31133 (Megafon) bibînin.

Gava ku hûn cama lêgerînê ya van pêşkêşkeran bibînin, hûn dikarin rê û RTT bidin ber hev. Mînakî, ji bo Mastertel RTT dê bi qasî 30 milî çirkeyan be.

Ji ber vê yekê, heke cûdahiya di navbera 80 û 30 mîlîçirkeyan de ji bo karûbarê we girîng e, wê hingê dibe ku hûn hewce ne ku li ser pêwendiyê bifikirin, hejmara AS-a xwe, hewza navnîşana xwe ji RIPE bistînin û pêvekên zêde ve girêbidin û/an xalên hebûna li ser IX-an biafirînin.

Dema ku hûn BGP bikar tînin, hûn ne tenê fersendek e ku hûn pêwendiyê baştir bikin, lê hûn di heman demê de pêwendiya xweya Înternetê jî bi zêdeyî diparêzin.

Ev belge pêşniyarên ji bo veavakirina BGP-ê vedihewîne. Tevî vê rastiyê ku ev pêşniyar li ser bingeha "pratîka çêtirîn" pêşkêşvanan hatine pêşve xistin, dîsa jî (heke mîhengên weya BGP ne pir bingehîn bin) ew bê guman bikêr in û di rastiyê de divê bibin beşek ji hişkbûna ku me li ser nîqaş kir. beşa yekem.

Parastina DOS / DDOS

Naha êrîşên DOS/DDOS ji bo gelek pargîdaniyan bûye rastiyek rojane. Di rastiyê de, hûn pir caran bi rengek an rengek din têne êrîş kirin. Rastiya ku we hîna vê yekê ferq nekiriye tenê tê vê wateyê ku hê êrîşek armanckirî li dijî we nehatiye organîze kirin, û ku tedbîrên parastinê yên ku hûn bikar tînin, belkî bêyî ku hûn wiya bikar tînin jî (parastên cûrbecûr ên çêkirî yên pergalên xebitandinê), têra xwe dikin. piştrast bikin ku xirabkirina karûbarê peydakirî ji bo we û xerîdarên we kêm dibe.

Çavkaniyên Înternetê hene ku, li ser bingeha têketinên alavan, nexşeyên êrişê yên xweşik di wextê rast de xêz dikin.

Ev e hûn dikarin girêdanên wan bibînin.

Yara min karta ji CheckPoint.

Parastina li dijî DDOS / DOS bi gelemperî qat e. Ji bo ku hûn fêm bikin çima, hûn hewce ne ku hûn fêm bikin ka çi celeb êrîşên DOS/DDOS hene (binihêrin, mînakî, vir an vir)

Yanî sê cure êrîşên me hene:

  • êrîşên volumetric
  • êrîşên protokolê
  • êrîşên sepanê

Heke hûn dikarin xwe ji her du celebên dawîn ên êrişan bi karanîna dîwarên agir biparêzin, wê hingê hûn nikanin xwe ji êrişên ku bi mebesta "tevlihevkirina" girêdanên we têne parastin biparêzin (bê guman, heke kapasîteya weya kanalên Înternetê bi terabitan neyê hesibandin. an hîn çêtir, bi dehan terabit).

Ji ber vê yekê, xeta yekem a parastinê parastina li dijî êrîşên "volometrîk" e, û pêşkêşker an pêşkêşkerên we divê vê parastinê ji we re peyda bikin. Ger we hîna vê yekê fêm nekiribe, wê hingê hûn ji bo nuha tenê bi şens in.

Nimûne:

Ka em bibêjin çend girêdanên we hene, lê tenê yek ji pêşkêşvanan dikare vê parastinê ji we re peyda bike. Lê heke hemî seyrûsefer bi yek pêşkêşker re derbas dibe, wê hingê li ser pêwendiya ku me hinekî berê bi kurtî nîqaş kir çi ye?

Di vê rewşê de, hûn neçar in ku di dema êrîşê de qismî girêdanê bikin qurban. Lebê

  • ev tenê ji bo dema êrîşê ye. Di bûyera êrîşekê de, hûn dikarin bi destan an bixweber BGP-ê ji nû ve saz bikin da ku seyrûsefer tenê bi pêşkêşkarê ku "sîwanê" peyda dike re derbas bibe. Piştî ku êrîş qediya, hûn dikarin rêgezê vegerînin rewşa wê ya berê
  • Ne hewce ye ku hemî trafîkê veguhezînin. Mînakî, heke hûn dibînin ku bi hin girêdan an peeringan ve êrîş tune ne (an seyrûsefer ne girîng e), hûn dikarin reklama pêşgiran bi taybetmendiyên pêşbaziyê li hember van cîranên BGP-ê bidomînin.

Her weha hûn dikarin parastina ji "êrîşên protokolê" û "êrîşên serîlêdanê" bidin hevkarên xwe.
vir vir hûn dikarin lêkolînek baş bixwînin (wergerandin). Rast e, gotar du salî ye, lê ew ê di derheqê nêzîkatiyên li ser ka hûn çawa dikarin xwe ji êrîşên DDOS-ê biparêzin ramanek bide we.

Di prensîbê de, hûn dikarin xwe bi vê yekê re sînordar bikin, bi tevahî parastina xwe ji derve bihêlin. Awantajên vê biryarê hene, lê kêmasiyek eşkere jî heye. Rastî ev e ku em dikarin (dîsa, li gorî ka pargîdaniya we çi dike) li ser saxbûna karsaziyê biaxivin. Û tiştên wiha bi aliyên sêyemîn bawer bikin...

Ji ber vê yekê, ka em binihêrin ka meriv xetên parastinê yên duyemîn û sêyemîn (wek pêvekek parastina ji pêşkêşkerê) çawa organîze dike.

Ji ber vê yekê, xeta duyemîn parastinê fîlterkirin û sînorkerên trafîkê (polîs) li ber deriyê tora we ye.

nimûne 1

Ka em bihesibînin ku we bi alîkariya yek ji pêşkêşkeran xwe li dijî DDOS-ê bi sîwanek vegirtiye. Ka em bihesibînin ku ev pêşkêşker Arbor bikar tîne da ku seyrûsefer û fîlteran li devê tora xwe fîltre bike.

Bandora ku Arbor dikare "pêvajoyê" bike tixûbdar e, û peydaker, bê guman, nikare bi domdarî seyrûsefera hemî hevkarên xwe yên ku vê karûbarê ferman dikin bi navgîniya fîlterkirinê re derbas bike. Ji ber vê yekê, di şert û mercên normal de, trafîkê nayê fîltrekirin.

Ka em texmîn bikin ku êrîşek lehiyê ya SYN heye. Tewra ku we karûbarek ferman da ku di bûyera êrîşê de seyrûseferê bixweber diguhezîne fîlterkirinê, ev tavilê çênabe. Ji bo deqîqeyek an bêtir hûn di bin êrîşê de bimînin. Û ev dikare bibe sedema têkçûna alavên we an xirabkirina karûbarê. Di vê rewşê de, bisînorkirina seyrûsefera li ser rêça beravê, her çend ew ê bibe sedema vê yekê ku dê di vê demê de hin danişînên TCP neyên damezrandin, dê binesaziya we ji pirsgirêkên mezin xilas bike.

nimûne 2

Dibe ku hejmareke ne normal a pakêtên SYN ne tenê encama êrişek lehiyê ya SYN be. Ka em bihesibînin ku hûn karûbarek peyda dikin ku tê de hûn dikarin di heman demê de nêzî 100 hezar girêdanên TCP (ji navendek daneyê) re hebin.

Ka em bibêjin ku ji ber pirsgirêkek kurt-kurt bi yek ji pêşkêşkerên weyên sereke re, nîvê danişînên we têne avêtin. Ger serîlêdana we bi vî rengî hatî sêwirandin ku, bêyî ku du caran bifikire, ew tavilê (an piştî navberek demkî ya ku ji bo hemî danişînan yek e) hewl dide ku pêwendiyê ji nû ve saz bike, wê hingê hûn ê bi kêmî ve 50 hezar pakêtên SYN-ê wergirin. hevdemî.

Mînakî, heke hûn neçar in ku li ser van danişînan, ku tê de guheztina sertîfîkayan dihewîne, ssl/tls hejandina destan bimeşînin, wê hingê ji xala kêmkirina çavkaniyên ji bo balansa barkirina we, ev ê ji ya sade "DDOS"ek pir bihêztir be. SYN lehiyê. Wisa dixuye ku divê hevseng bi bûyerên wiha re mijûl bibin, lê... mixabin em bi pirsgirêkek wiha re rû bi rû ne.

Û, bê guman, polîsek li ser routerê keviya dê di vê rewşê de jî alavên we xilas bike.

Asta sêyemîn a parastina li dijî DDOS / DOS mîhengên dîwarê we ye.

Li vir hûn dikarin herdu êrîşên celebên duyemîn û sêyemîn rawestînin. Bi gelemperî, her tiştê ku digihîje dîwarê agir dikare li vir were fîlter kirin.

Tip

Biceribînin ku dîwarê agir bi qasî ku pêkan hindik bixebitin, li ser her du xetên yekem ên parastinê bi qasî ku pêkan fîlter bikin. Û ji ber vê yekê ye.

Ma carî bi we re bûye ku bi şansê, dema ku seyrûseferê diafirînin da ku kontrol bikin, mînakî, pergala xebitandina serverên we çiqasî li hember êrişên DDOS-ê berxwedêr e, we dîwarê agir "kuşt" û ew ji sedî 100 barkir, bi trafîka bi giraniya normal. ? Ger na, dibe ku ew tenê ji ber ku we ceribandî ye?

Bi gelemperî, dîwarek agir, wekî ku min got, tiştek tevlihev e, û ew bi qelsiyên naskirî û çareseriyên ceribandinê re baş dixebite, lê heke hûn tiştek neasayî bişînin, tenê hin zibil an pakêtên bi sernavên nerast, wê hingê hûn bi hinan re ne, ne bi îhtîmalek wusa piçûk (li ser bingeha ezmûna min), hûn dikarin alavên paşîn jî gêj bikin. Ji ber vê yekê, di qonaxa 2-an de, bi karanîna ACL-yên birêkûpêk (di asta L3/L4 de), tenê rê bidin seyrûsefera nav tora we ya ku divê têkevin wir.

Parzûnkirina trafîkê li ser dîwarê agir

Ka em sohbeta li ser dîwarê agir bidomînin. Pêdivî ye ku hûn fêm bikin ku êrîşên DOS / DDOS tenê celebek êrîşa sîber e.

Ji bilî parastina DOS / DDOS, em dikarin tiştek wekî navnîşa taybetmendiyên jêrîn jî hebin:

  • firewalling sepanê
  • pêşîlêgirtina tehdîdê (antîvîrûs, antî-spyware, û lawazbûn)
  • Parzûnkirina URL
  • Parzûnkirina daneyan (fîlterkirina naverokê)
  • astengkirina pelan (cureyên pelan asteng kirin)

Ji we re ye ku hûn biryar bidin ku hûn ji vê navnîşê çi hewce dikin.

Pêdivî ye

Source: www.habr.com

Add a comment