ProHoster > Blog > fitantanan-draharaha > Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao. Toko fahatelo. Fiarovana amin'ny tambajotra. Fizarana faharoa

Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao. Toko fahatelo. Fiarovana amin'ny tambajotra. Fizarana faharoa

Ity lahatsoratra ity dia ny fahefatra amin'ny andian-dahatsoratra "Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao." Ny votoatin'ny lahatsoratra rehetra ao amin'ny andian-dahatsoratra sy ny rohy dia azo jerena eto.

В tapany voalohany Amin'ity toko ity dia nijery ny lafiny sasany amin'ny fiarovana ny tambajotra ao amin'ny fizarana Data Center izahay. Ity ampahany ity dia natokana ho an'ny fizarana "Access Internet".

Ahoana ny fomba hifehezana ny fotodrafitrasa tambajotrao. Toko fahatelo. Fiarovana amin'ny tambajotra. Fizarana faharoa

Internet access

Ny lohahevitra momba ny fiarovana dia tsy isalasalana fa iray amin'ireo lohahevitra sarotra indrindra amin'ny tontolon'ny tambajotra data. Toy ny tamin'ny tranga teo aloha, tsy misy fitakiana lalina sy fahafenoana, dia hodinihiko eto ho tsotra, fa, raha ny hevitro, fanontaniana manan-danja, ny valiny izay antenaiko, dia hanampy amin'ny fampiakarana ny haavon'ny fiarovana ny tambajotranao.

Rehefa manara-maso ity fizarana ity dia tandremo ireto lafiny manaraka ireto:

  • famolavolana
  • Fanovana BGP
  • Fiarovana DOS/DDOS
  • fanivanana ny fifamoivoizana amin'ny firewall

famolavolana

Ho ohatra amin'ny famolavolana ity fizarana ity ho an'ny tambajotran'ny orinasa dia manoro hevitra aho mpitarika avy amin'ny Cisco ao anatiny SAFE modely.

Mazava ho azy, angamba ny vahaolana amin'ny mpivarotra hafa dia toa manintona anao kokoa (jereo. Gartner Quadrant 2018), nefa tsy mamporisika anao hanaraka an'io endrika io amin'ny an-tsipiriany aho, dia mbola hitako fa ilaina ny mahatakatra ny foto-kevitra sy hevitra ao ambadik'izany.

fanamarihana

Ao amin'ny SAFE, ny fizarana "Access Remote" dia ampahany amin'ny fizarana "Access Internet". Hodinihintsika misaraka anefa izany ato amin’ity andian-dahatsoratra ity.

Ny fitaovana mahazatra amin'ity fizarana ity ho an'ny tambajotra orinasa dia

  • sisintany routers
  • firewalls

Fanamarihana 1

Ao amin'ity andian-dahatsoratra ity, rehefa miresaka momba ny firewalls aho, ny tiako holazaina NGFW.

Fanamarihana 2

Tsy jereko ny karazana L2/L1 na overlay L2 amin'ny vahaolana L3 ilaina mba hiantohana ny fifandraisana L1/L2 ary mametra ny tenako amin'ny olana amin'ny ambaratonga L3 sy ambony kokoa. Amin'ny ampahany, ny olana L1/L2 dia nodinihina tao amin'ny toko "Fanadiovana sy fandraketana".

Raha tsy nahita firewall amin'ity fizarana ity ianao, dia tsy tokony ho maika hanatsoaka hevitra ianao.

Andeha isika hanao toy ny ao amin'ny ampahany teo alohaAndeha isika hanomboka amin'ny fanontaniana: ilaina ve ny mampiasa firewall amin'ity fizarana ity amin'ny raharahanao?

Azoko lazaina fa toa io no toerana tena ara-drariny indrindra hampiasana ny firewall sy hampiharana algorithm fanivanana fifamoivoizana sarotra. IN 1 ampahany Nanonona lafin-javatra 4 izahay izay mety hanelingelina ny fampiasana ny firewall ao amin'ny fizarana data center. Saingy eto dia tsy dia manan-danja intsony izy ireo.

Ohatra 1. fahatarana

Raha ny momba ny Internet dia tsy misy dikany ny miresaka momba ny fahatarana na dia eo amin'ny 1 milisegondra aza. Noho izany, ny fahatarana amin'ity fizarana ity dia tsy mety ho antony mametra ny fampiasana ny firewall.

Ohatra 2. vokatra

Amin'ny toe-javatra sasany dia mety mbola manan-danja ihany io lafin-javatra io. Noho izany, mety tsy maintsy mamela ny fifamoivoizana sasany ianao (ohatra, ny fifamoivoizana avy amin'ny mpandrindra entana) handalo ny firewall.

Ohatra 3. azo itokisana

Mbola mila raisina an-tsaina io lafin-javatra io, saingy na izany aza, noho ny tsy fahatokisana ny Internet, ny maha-zava-dehibe azy amin'ity fizarana ity dia tsy dia manan-danja loatra amin'ny foibe data.

Noho izany, andao atao hoe mipetraka eo ambonin'ny http/https ny serivisinao (miaraka amin'ny fotoam-pivoriana fohy). Amin'ity tranga ity, azonao atao ny mampiasa boaty tsy miankina roa (tsy misy HA) ary raha misy olana amin'ny fandalovana amin'ny iray amin'izy ireo dia afindrao amin'ny faharoa ny fifamoivoizana rehetra.

Na azonao atao ny mampiasa firewall amin'ny fomba mangarahara ary, raha tsy mahomby izy ireo, avelao ny fifamoivoizana handalo ny firewall rehefa mamaha ny olana.

Noho izany, azo inoana fa fotsiny ny vidiny mety ho antony hanery anao hiala amin'ny fampiasana firewall amin'ity fizarana ity.

Zava-dehibe!

Misy fakam-panahy hanambatra an'io firewall io amin'ny firewall foibe data (ampiasao ny firewall iray ho an'ireo fizarana ireo). Ny vahaolana dia, amin'ny ankapobeny, azo atao, saingy mila mahatakatra izany ianao satria Ny firewall fidirana amin'ny Aterineto dia tena lohalaharana amin'ny fiarovana anao ary "mandray" farafaharatsiny ny sasany amin'ireo fifamoivoizana maloto, ary mazava ho azy, mila raisina an-tsaina ny fitomboan'ny risika mety ho tapaka ity firewall ity. Izany hoe, amin'ny fampiasana ireo fitaovana mitovy amin'ireo fizarana roa ireo, dia hampihena be ny fisian'ny ampahany amin'ny foibe data ianao.

Toy ny mahazatra, mila mahatakatra ianao fa miankina amin'ny serivisy omen'ny orinasa, ny famolavolana ity fizarana ity dia mety miovaova be. Toy ny mahazatra, afaka misafidy fomba fiasa samihafa arakaraka ny zavatra takinao ianao.

ohatra

Raha mpamatsy votoaty ianao, manana tambajotra CDN (jereo, ohatra, andian-dahatsoratra), dia mety tsy te hamorona fotodrafitrasa amin'ny toerana am-polony na an-jatony mihitsy aza ianao amin'ny fampiasana fitaovana misaraka ho an'ny fandalovana sy fanivanana ny fifamoivoizana. Ho lafo izany, ary mety ho tsy ilaina fotsiny.

Ho an'ny BGP dia tsy voatery manana router voatokana ianao, azonao atao ny mampiasa fitaovana open-source toy ny Quagga. Ka angamba ny hany ilainao dia mpizara na mpizara maromaro, switch ary BGP.

Amin'ity tranga ity, ny mpizara anao na ny mpizara maromaro dia afaka mitana ny andraikitry ny mpizara CDN, fa ny router ihany koa. Mazava ho azy fa mbola be dia be ny antsipiriany (toy ny fomba hiantohana ny fifandanjana), saingy azo atao izany, ary fomba iray nahomby tamin'ny iray amin'ireo mpiara-miasa amintsika izany.

Azonao atao ny manana foibe angona maromaro miaraka amin'ny fiarovana feno (firewall, tolotra fiarovana DDOS omen'ny mpanome Internet anao) ary toerana misy "tsotsotra" am-polony na an-jatony tsy misy afa-tsy switch sy server L2.

Ahoana anefa ny amin’ny fiarovana amin’ity raharaha ity?

Andeha hojerentsika, ohatra, ny malaza vao haingana Fanafihana DNS DDOS fanafihana. Ny loza aterak'izany dia ny fisian'ny fifamoivoizana be dia be, izay "manakantsakana" 100% amin'ny uplinks rehetra.

Inona no ananantsika amin'ny resaka famolavolana.

  • raha mampiasa AnyCast ianao, dia zaraina eo anelanelan'ny toerana misy anao ny fifamoivoizana. Raha terabits ny totalin'ny bandwidth-nao, dia izany mihitsy (na izany aza, tato ho ato dia nisy fanafihana marobe miaraka amin'ny fifamoivoizana maloto amin'ny filaharan'ny terabits) miaro anao amin'ny rohy "mihoatra"
  • Na izany aza, raha toa ka misy rohy mankany amin'ny rohy mankany amin'ny fidirana, dia esorinao amin'ny serivisy fotsiny ity tranokala ity (ajanony ny dokam-barotra ny prefix)
  • azonao atao koa ny mampitombo ny ampahany amin'ny fifamoivoizana alefa avy amin'ny foibe angon-drakitra "feno" (ary, araka izany, voaaro), ka manala ny ampahany lehibe amin'ny fifamoivoizana ratsy amin'ny toerana tsy voaaro

Ary fanamarihana kely iray hafa amin'ity ohatra ity. Raha mandefa fifamoivoizana ampy amin'ny alàlan'ny IXs ianao, dia mampihena ny vulnerability anao amin'ny fanafihana toy izany koa izany

Fametrahana BGP

Misy lohahevitra roa eto.

  • fifandraisana
  • Fametrahana BGP

Efa niresaka kely momba ny fifandraisana amin'ny 1 ampahany. Ny tanjona dia ny hahazoana antoka fa manaraka ny lalana tsara indrindra ny fifamoivoizana amin'ny mpanjifanao. Na dia tsy momba ny fahatarana fotsiny aza ny fahatsarana, ny fahatarana ambany dia matetika no famantarana lehibe indrindra amin'ny fahatsarana. Ho an'ny orinasa sasany dia zava-dehibe kokoa izany, ho an'ny hafa dia kely kokoa. Izany rehetra izany dia miankina amin'ny serivisy omenao.

ohatra 1

Raha fifanakalozana ianao, ary zava-dehibe amin'ny mpanjifanao ny elanelan'ny fotoana latsaky ny milliseconds, dia mazava ho azy fa tsy misy resaka momba ny Internet mihitsy.

ohatra 2

Raha orinasa filokana ianao ary milliseconds am-polony no zava-dehibe aminao, mazava ho azy fa zava-dehibe aminao ny fifandraisana.

ohatra 3

Tokony ho takatrao ihany koa fa, noho ny fananan'ny protocol TCP, dia miankina amin'ny RTT (Round Trip Time) ny tahan'ny famindrana angona ao anatin'ny session TCP iray. Ny tambajotra CDN dia amboarina ihany koa hamahana ity olana ity amin'ny alàlan'ny famindrana ireo lohamilina fizarana votoaty hanakaiky kokoa ny mpanjifa an'ity atiny ity.

Ny fandalinana ny fifandraisana dia lohahevitra mahaliana amin'ny zony manokana, mendrika ny lahatsoratra na andian-dahatsoratra manokana, ary mitaky fahatakarana tsara ny fomba "miasa" ny Internet.

Loharano mahasoa:

ripe.net
bgp.he.net

ohatra

Ohatra kely fotsiny no omeko.

Aoka hatao hoe ao Moskoa no misy ny foibe angon-drakitrao, ary manana rohy tokana ianao - Rostelecom (AS12389). Amin'ity tranga ity (tokan-trano tokana) dia tsy mila BGP ianao, ary azo inoana fa mampiasa ny dobo adiresy avy amin'ny Rostelecom ho adiresin'ny besinimaro.

Aoka hatao hoe manome serivisy iray ianao, ary manana mpanjifa ampy avy any Ukraine ianao, ary mitaraina momba ny fahatarana lava. Nandritra ny fikarohana nataonao dia hitanao fa ny adiresy IP an'ny sasany amin'izy ireo dia ao amin'ny 37.52.0.0/21.

Tamin'ny fampandehanana traceroute dia hitanao fa nandeha tamin'ny AS1299 (Telia) ny fifamoivoizana, ary tamin'ny fampandehanana ping dia nahazo RTT 70 - 80 milliseconds eo ho eo ianao. Azonao atao koa ny mahita izany ao amin'ny fitaratra Rostelecom.

Amin'ny fampiasana ny whois utility (ao amin'ny ripe.net na fitaovana eo an-toerana), azonao atao ny mamaritra mora foana fa ny sakana 37.52.0.0/21 dia an'ny AS6849 (Ukrtelecom).

Manaraka, amin'ny fandehanana any bgp.he.net hitanao fa tsy misy ifandraisany amin'ny AS6849 ny AS12389 (sady tsy mpanjifa izy ireo no tsy mifandray, ary tsy manana peering). Fa raha jerena lisitry ny namana ho an'ny AS6849, ho hitanao, ohatra, AS29226 (Mastertel) sy AS31133 (Megafon).

Rehefa hitanao ny fitaratra mijery an'ireo mpamatsy ireo dia azonao atao ny mampitaha ny lalana sy ny RTT. Ohatra, ho an'ny Mastertel RTT dia tokony ho 30 milisegondra.

Noho izany, raha manan-danja amin'ny serivisy ny fahasamihafana eo amin'ny 80 sy 30 milliseconds, dia mety mila mieritreritra ny fifandraisana ianao, alao ny laharana AS anao, ny dobo adiresinao avy amin'ny RIPE ary mampifandray rohy fanampiny sy/na mamorona teboka misy eo amin'ny IXs.

Rehefa mampiasa BGP ianao dia tsy vitan'ny hoe manatsara ny fifandraisana, fa mitazona ny fifandraisana Internet anao koa.

Ity antontan-taratasy ity misy tolo-kevitra amin'ny fanamboarana ny BGP. Na dia eo aza ny zava-misy fa ireo tolo-kevitra ireo dia novolavolaina mifototra amin'ny "fomba fanao tsara indrindra" an'ny mpanome tolotra, dia mbola (raha toa ka tsy tena fototra ny fikandrana BGP-nao) dia tsy isalasalana fa ilaina izy ireo ary raha ny marina dia tokony ho anisan'ny fanamafisana izay noresahintsika tao. tapany voalohany.

Fiarovana DOS/DDOS

Ankehitriny dia lasa zava-misy andavanandro ho an'ny orinasa maro ny fanafihana DOS/DDOS. Raha ny marina, ianao dia voatafika matetika amin'ny endrika iray na hafa. Ny hoe mbola tsy nahatsikaritra izany ianao dia midika fotsiny fa mbola tsy nisy fanafihana natao hanoherana anao, ary ny fepetra fiarovana ampiasainao, na dia tsy fantatrao aza izany (fiarovana isan-karazany amin'ny rafitra miasa), dia ampy miantoka fa mihena ny fahasimban'ny serivisy omena anao sy ny mpanjifanao.

Misy loharanon-karena amin'ny Internet izay, mifototra amin'ny diarin'ny fitaovana, manao sarintany fanafihana tsara tarehy amin'ny fotoana tena izy.

izany afaka mahita rohy mankany amin'izy ireo ianao.

Ry malalako sari-tany avy amin'ny CheckPoint.

Ny fiarovana amin'ny DDOS/DOS dia matetika misy sosona. Mba hahatakarana ny antony, mila mahatakatra ny karazana fanafihana DOS/DDOS misy ianao (jereo ohatra, eto na eto)

Izany hoe, manana karazana fanafihana telo isika:

  • fanafihana volumetric
  • fanafihana protocol
  • fanafihana fampiharana

Raha afaka miaro tena amin'ireo karazana fanafihana roa farany ianao amin'ny fampiasana, ohatra, ny firewall, dia tsy afaka miaro tena amin'ny fanafihana mikendry ny "hamorona" ny uplinks ianao (mazava ho azy, raha tsy kajy amin'ny terabits ny fahafahan'ny fantsona Internet anao, na tsara kokoa, amin'ny terabit folo).

Noho izany, ny fiarovana voalohany dia fiarovana amin'ny fanafihana "volumetrika", ary ny mpamatsy na mpamatsy anao dia tsy maintsy manome izany fiarovana izany aminao. Raha mbola tsy tonga saina ianao dia tsara vintana ianao amin'izao fotoana izao.

ohatra

Aoka hatao hoe manana rohy ambony maromaro ianao, fa ny iray amin'ireo mpamatsy ihany no afaka manome anao an'io fiarovana io. Fa raha mandeha amin'ny mpamatsy iray ny fifamoivoizana rehetra, dia ahoana ny amin'ny fifandraisana izay noresahintsika fohifohy teo aloha?

Amin'ity tranga ity dia tsy maintsy manao sorona ny fifandraisana ianao mandritra ny fanafihana. SAINGY

  • izany dia mandritra ny faharetan'ny fanafihana ihany. Raha misy fanafihana dia azonao atao ny manitsy ny BGP amin'ny tanana na mandeha ho azy mba hahatonga ny fifamoivoizana amin'ny alàlan'ny mpamatsy manome anao ny "elo". Rehefa tapitra ny fanafihana dia azonao atao ny mamerina ny lalana mankany amin'ny toerany teo aloha
  • Tsy ilaina ny mamindra ny fifamoivoizana rehetra. Raha hitanao, ohatra, fa tsy misy fanafihana amin'ny alalan'ny uplinks na peerings sasany (na tsy misy dikany ny fifamoivoizana), azonao atao ny manohy manao dokam-barotra mialoha miaraka amin'ny toetra mifaninana amin'ireo mpifanolo-bodirindrina BGP ireo.

Azonao atao ihany koa ny manolotra fiarovana amin'ny "fanafihana protocole" sy "fanafihana fampiharana" amin'ny mpiara-miasa aminao.
eto eto afaka mamaky fianarana tsara ianao (fandikan-teny). Marina fa roa taona ilay lahatsoratra, fa hanome anao hevitra momba ny fomba ahafahanao miaro tena amin'ny fanafihana DDOS.

Amin'ny ankapobeny, azonao atao ny mametra ny tenanao amin'izany, manala tanteraka ny fiarovana anao. Misy tombony amin'ity fanapahan-kevitra ity, saingy misy ihany koa ny tsy fahampiana. Ny zava-misy dia afaka miresaka isika (indray, miankina amin'ny zavatra ataon'ny orinasanao) momba ny fahaveloman'ny orinasa. Ary matokia zavatra toy izany amin'ny antoko fahatelo ...

Noho izany, andeha hojerentsika ny fomba handaminana ny andalana fiarovana faharoa sy fahatelo (ho fanampin'ny fiarovana avy amin'ny mpamatsy).

Noho izany, ny tsipika fiarovana faharoa dia ny sivana sy ny famerana ny fifamoivoizana (polisy) eo amin'ny fidirana amin'ny tambajotranao.

ohatra 1

Aoka hatao hoe nanarona ny tenanao tamin'ny elo hanohitra ny DDOS ianao noho ny fanampian'ny iray amin'ireo mpamatsy. Andeha hatao hoe mampiasa Arbor io mpamatsy io hanivana ny fifamoivoizana sy ny sivana eo amin'ny sisin'ny tambajotrany.

Voafetra ny bandwidth azon'i Arbor "hodinkodina", ary ny mpamatsy, mazava ho azy, dia tsy afaka mandalo lalandava ny fifamoivoizan'ireo mpiara-miombon'antoka rehetra izay manafatra ity serivisy ity amin'ny alàlan'ny fitaovana fanivanana. Noho izany, ao anatin'ny toe-javatra mahazatra dia tsy voasivana ny fifamoivoizana.

Andeha hatao hoe misy fanafihana tondra-drano SYN. Na dia nanafatra serivisy iray izay mamadika ho azy ho amin'ny fanivanana aza ianao raha misy fanafihana, dia tsy mitranga eo no ho eo izany. Mandra-pahatongan'ny iray minitra na mihoatra dia mijanona eo ambanin'ny fanafihana ianao. Ary izany dia mety hitarika amin'ny tsy fahombiazan'ny fitaovanao na ny fahasimban'ny serivisy. Amin'ity tranga ity, ny famerana ny fifamoivoizana eo amin'ny sisin-dalana, na dia hitarika amin'ny hoe tsy hatsangana mandritra io fotoana io aza ny fivoriana TCP sasany, dia hamonjy ny fotodrafitrasao amin'ny olana lehibe kokoa.

ohatra 2

Ny fonosana SYN marobe tsy dia mahazatra dia mety tsy vokatry ny fanafihana tondra-drano SYN ihany. Aoka hatao hoe manome serivisy ahafahanao manana fifandraisana TCP 100 arivo eo ho eo (amin'ny foibe data iray).

Andeha hatao hoe vokatry ny olana vetivety amin'ny iray amin'ireo mpamatsy lehibe anao dia voadaka ny antsasaky ny fotoam-pivorianao. Raha toa ny fampiharana anao dia natao tamin'ny fomba izay, tsy nieritreritra indroa, avy hatrany (na aorian'ny elanelam-potoana izay mitovy amin'ny fotoam-pivoriana rehetra) dia manandrana mamerina ny fifandraisana, dia hahazo fonosana SYN 50 arivo farafahakeliny ianao. miaraka.

Raha, ohatra, ianao dia tsy maintsy mihazakazaka ssl/tls handshake eo an-tampon'ireo sessions ireo, izay misy ny fifanakalozam-panamarinana, dia avy amin'ny fomba fijerin'ny fandaniam-bola ho an'ny mpandrindra entanao dia ho "DDOS" matanjaka kokoa noho ny tsotra izany. SYN tondradrano. Hoatran’ny hoe tokony hiandraikitra ny hetsika tahaka izao ny mpifandanja, saingy... indrisy, miatrika olana toy izany isika.

Ary, mazava ho azy, ny polisy eo amin'ny sisin'ny router dia hamonjy ny fitaovanao amin'ity tranga ity ihany koa.

Ny ambaratonga fahatelo amin'ny fiarovana amin'ny DDOS/DOS dia ny firafitry ny firewall-nao.

Eto ianao dia afaka manakana ny fanafihana roa amin'ny karazana faharoa sy fahatelo. Amin'ny ankapobeny dia azo voasivana eto daholo izay mahatratra ny firewall.

Filan-kevitra

Andramo ny manome ny firewall ho asa kely araka izay azo atao, manivana araka izay azo atao amin'ny andalana roa voalohany fiarovana. Ary izay no antony.

Moa ve efa nitranga taminao fa sendra, raha namorona fifamoivoizana mba hanamarinana, ohatra, ny mahatohitra ny rafitra fiasan'ny mpizara anao amin'ny fanafihan'ny DDOS, dia "namono" ny firewall-nao ianao, nampiditra azy ho 100 isan-jato, miaraka amin'ny fifamoivoizana amin'ny hamafin'ny mahazatra. ? Raha tsy izany, angamba noho ianao tsy nanandrana?

Amin'ny ankapobeny, ny firewall, araka ny nolazaiko, dia zavatra sarotra, ary miasa tsara amin'ny vulnerabilities fantatra sy ny vahaolana voasedra, fa raha mandefa zavatra tsy mahazatra ianao, fako na fonosana misy lohapejy diso, dia miaraka amin'ny sasany ianao, fa tsy miaraka mety kely toy izany (mifototra amin'ny traikefako), azonao atao ny manakorontana na dia ny fitaovana faran'izay ambony aza. Noho izany, amin'ny dingana 2, amin'ny fampiasana ACL mahazatra (amin'ny ambaratonga L3/L4), avelao ihany ny fifamoivoizana hiditra ao amin'ny tambajotrao izay tokony hiditra ao.

Fanivanana ny fifamoivoizana amin'ny firewall

Andeha isika hanohy ny resaka momba ny firewall. Mila takatrao fa karazana fanafihana an-tserasera iray fotsiny ny fanafihana DOS/DDOS.

Ho fanampin'ny fiarovana DOS/DDOS, dia afaka manana zavatra toy ireto lisitra manaraka ireto ihany koa isika:

  • fampiharana firewall
  • fisorohana ny fandrahonana (antivirus, anti-spyware, ary vulnerability)
  • Sivana URL
  • fanivanana angona (fanasivana votoaty)
  • fanakanana fisie (fanakanana karazana rakitra)

Anjaranao ny manapa-kevitra izay ilainao amin'ity lisitra ity.

To continue

Source: www.habr.com

Add a comment