ఈ కథనం “మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి” సిరీస్‌లో నాల్గవది. సిరీస్‌లోని అన్ని కథనాల కంటెంట్‌లు మరియు లింక్‌లను కనుగొనవచ్చు ఇక్కడ.

В మొదటి భాగం ఈ అధ్యాయంలో, మేము డేటా సెంటర్ విభాగంలో నెట్‌వర్క్ భద్రతకు సంబంధించిన కొన్ని అంశాలను పరిశీలించాము. ఈ భాగం "ఇంటర్నెట్ యాక్సెస్" విభాగానికి అంకితం చేయబడుతుంది.

ఇంటర్నెట్ సదుపాయం

డేటా నెట్‌వర్క్‌ల ప్రపంచంలో భద్రత అంశం నిస్సందేహంగా అత్యంత సంక్లిష్టమైన అంశాలలో ఒకటి. మునుపటి సందర్భాలలో వలె, లోతు మరియు పరిపూర్ణతను క్లెయిమ్ చేయకుండా, నేను ఇక్కడ చాలా సరళంగా పరిగణిస్తాను, కానీ, నా అభిప్రాయం ప్రకారం, ముఖ్యమైన ప్రశ్నలు, సమాధానాలు మీ నెట్‌వర్క్ యొక్క భద్రతా స్థాయిని పెంచడంలో సహాయపడతాయని నేను ఆశిస్తున్నాను.

ఈ విభాగాన్ని ఆడిట్ చేస్తున్నప్పుడు, ఈ క్రింది అంశాలకు శ్రద్ధ వహించండి:

• డిజైన్
• BGP సెట్టింగ్‌లు
• DOS/DDOS రక్షణ
• ఫైర్‌వాల్‌పై ట్రాఫిక్ ఫిల్టరింగ్

డిజైన్

ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ కోసం ఈ సెగ్మెంట్ రూపకల్పనకు ఉదాహరణగా, నేను సిఫార్సు చేస్తాను గైడ్ లోపల సిస్కో నుండి సురక్షిత నమూనాలు.

వాస్తవానికి, బహుశా ఇతర విక్రేతల పరిష్కారం మీకు మరింత ఆకర్షణీయంగా కనిపిస్తుంది (చూడండి. గార్ట్‌నర్ క్వాడ్రంట్ 2018), కానీ ఈ డిజైన్‌ను వివరంగా అనుసరించమని మిమ్మల్ని ప్రోత్సహించకుండా, దాని వెనుక ఉన్న సూత్రాలు మరియు ఆలోచనలను అర్థం చేసుకోవడం నాకు ఇప్పటికీ ఉపయోగకరంగా ఉంది.

వ్యాఖ్య

SAFEలో, "రిమోట్ యాక్సెస్" సెగ్మెంట్ "ఇంటర్నెట్ యాక్సెస్" విభాగంలో భాగం. కానీ ఈ కథనాల శ్రేణిలో మేము దానిని విడిగా పరిశీలిస్తాము.

ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ కోసం ఈ విభాగంలోని ప్రామాణిక పరికరాల సెట్

• సరిహద్దు రౌటర్లు
• ఫైర్‌వాల్‌లు

వ్యాఖ్య 1

ఈ కథనాల శ్రేణిలో, నేను ఫైర్‌వాల్‌ల గురించి మాట్లాడేటప్పుడు, నా ఉద్దేశ్యం NGFW.

వ్యాఖ్య 2

నేను L2/L1 కనెక్టివిటీని నిర్ధారించడానికి అవసరమైన వివిధ రకాల L2/L3 లేదా L1 పరిష్కారాలపై అతివ్యాప్తి L2 యొక్క పరిగణనను విస్మరిస్తాను మరియు L3 స్థాయి మరియు అంతకంటే ఎక్కువ ఉన్న సమస్యలకు మాత్రమే పరిమితం అవుతాను. పాక్షికంగా, L1/L2 సమస్యలు "అధ్యాయంలో చర్చించబడ్డాయి.క్లీనింగ్ మరియు డాక్యుమెంటేషన్".

మీరు ఈ విభాగంలో ఫైర్‌వాల్‌ను కనుగొనలేకపోతే, మీరు ముగింపులకు వెళ్లకూడదు.

లో ఉన్నట్లే చేద్దాం మునుపటి భాగంప్రశ్నతో ప్రారంభిద్దాం: మీ విషయంలో ఈ విభాగంలో ఫైర్‌వాల్‌ని ఉపయోగించడం అవసరమా?

ఫైర్‌వాల్‌లను ఉపయోగించడానికి మరియు సంక్లిష్టమైన ట్రాఫిక్ ఫిల్టరింగ్ అల్గారిథమ్‌లను వర్తింపజేయడానికి ఇది అత్యంత సమర్థనీయమైన స్థలం అని నేను చెప్పగలను. IN భాగం 1 డేటా సెంటర్ విభాగంలో ఫైర్‌వాల్‌ల వినియోగానికి ఆటంకం కలిగించే 4 అంశాలను మేము ప్రస్తావించాము. కానీ ఇక్కడ అవి అంత ముఖ్యమైనవి కావు.

ఉదాహరణకు 1. ఆలస్యం

ఇంటర్నెట్ విషయానికొస్తే, దాదాపు 1 మిల్లీసెకన్ల ఆలస్యం గురించి మాట్లాడటంలో అర్థం లేదు. అందువల్ల, ఈ విభాగంలో ఆలస్యం ఫైర్‌వాల్ వినియోగాన్ని పరిమితం చేసే అంశం కాదు.

ఉదాహరణకు 2. ఉత్పాదకత

కొన్ని సందర్భాల్లో ఈ అంశం ఇప్పటికీ ముఖ్యమైనది కావచ్చు. అందువల్ల, ఫైర్‌వాల్‌ను దాటవేయడానికి మీరు కొంత ట్రాఫిక్‌ను (ఉదాహరణకు, లోడ్ బ్యాలెన్సర్‌ల నుండి వచ్చే ట్రాఫిక్) అనుమతించవలసి ఉంటుంది.

ఉదాహరణకు 3. విశ్వసనీయత

ఈ అంశం ఇప్పటికీ పరిగణనలోకి తీసుకోవలసిన అవసరం ఉంది, అయితే ఇప్పటికీ, ఇంటర్నెట్ యొక్క అవిశ్వసనీయత కారణంగా, ఈ విభాగానికి దాని ప్రాముఖ్యత డేటా సెంటర్‌కు అంత ముఖ్యమైనది కాదు.

కాబట్టి, మీ సేవ http/https పైన (చిన్న సెషన్‌లతో) నివసిస్తుందని అనుకుందాం. ఈ సందర్భంలో, మీరు రెండు స్వతంత్ర పెట్టెలను (HA లేకుండా) ఉపయోగించవచ్చు మరియు వాటిలో ఒకదానితో రౌటింగ్ సమస్య ఉంటే, మొత్తం ట్రాఫిక్‌ను రెండవదానికి బదిలీ చేయండి.

లేదా మీరు ఫైర్‌వాల్‌లను పారదర్శక మోడ్‌లో ఉపయోగించవచ్చు మరియు అవి విఫలమైతే, సమస్యను పరిష్కరించేటప్పుడు ఫైర్‌వాల్‌ను దాటవేయడానికి ట్రాఫిక్‌ను అనుమతించండి.

అందువలన, చాలా మటుకు కేవలం ధర ఈ విభాగంలో ఫైర్‌వాల్‌ల వినియోగాన్ని వదిలివేయడానికి మిమ్మల్ని బలవంతం చేసే అంశం కావచ్చు.

ముఖ్యం!

ఈ ఫైర్‌వాల్‌ను డేటా సెంటర్ ఫైర్‌వాల్‌తో కలపడానికి టెంప్టేషన్ ఉంది (ఈ విభాగాల కోసం ఒక ఫైర్‌వాల్‌ని ఉపయోగించండి). పరిష్కారం, సూత్రప్రాయంగా, సాధ్యమే, కానీ మీరు అర్థం చేసుకోవాలి ఎందుకంటే ఇంటర్నెట్ యాక్సెస్ ఫైర్‌వాల్ వాస్తవానికి మీ రక్షణలో ముందంజలో ఉంది మరియు కనీసం కొన్ని హానికరమైన ట్రాఫిక్‌ను "తీసుకుంటుంది", అయితే, ఈ ఫైర్‌వాల్ నిలిపివేయబడే ప్రమాదాన్ని మీరు పరిగణనలోకి తీసుకోవాలి. అంటే, ఈ రెండు విభాగాలలో ఒకే పరికరాలను ఉపయోగించడం ద్వారా, మీరు మీ డేటా సెంటర్ సెగ్మెంట్ లభ్యతను గణనీయంగా తగ్గిస్తారు.

ఎప్పటిలాగే, కంపెనీ అందించే సేవపై ఆధారపడి, ఈ విభాగం రూపకల్పన చాలా తేడా ఉండవచ్చని మీరు అర్థం చేసుకోవాలి. ఎప్పటిలాగే, మీరు మీ అవసరాలను బట్టి విభిన్న విధానాలను ఎంచుకోవచ్చు.

ఉదాహరణకు

మీరు CDN నెట్‌వర్క్‌తో కంటెంట్ ప్రొవైడర్ అయితే (ఉదాహరణకు చూడండి, వ్యాసాల శ్రేణి), అప్పుడు మీరు ట్రాఫిక్‌ని రూటింగ్ మరియు ఫిల్టర్ చేయడం కోసం ప్రత్యేక పరికరాలను ఉపయోగించి డజన్ల కొద్దీ లేదా వందల సంఖ్యలో ఉనికిని కలిగి ఉన్న అంతటా మౌలిక సదుపాయాలను సృష్టించకూడదు. ఇది ఖరీదైనది, మరియు ఇది కేవలం అనవసరం కావచ్చు.

BGP కోసం మీరు తప్పనిసరిగా ప్రత్యేక రౌటర్లను కలిగి ఉండవలసిన అవసరం లేదు, మీరు వంటి ఓపెన్ సోర్స్ సాధనాలను ఉపయోగించవచ్చు క్వాగ్గా. కాబట్టి మీకు కావలసిందల్లా సర్వర్ లేదా అనేక సర్వర్లు, స్విచ్ మరియు BGP.

ఈ సందర్భంలో, మీ సర్వర్ లేదా అనేక సర్వర్లు CDN సర్వర్ మాత్రమే కాకుండా, రౌటర్ పాత్రను కూడా పోషిస్తాయి. వాస్తవానికి, ఇంకా చాలా వివరాలు ఉన్నాయి (బ్యాలెన్సింగ్‌ను ఎలా నిర్ధారించాలి వంటివి), కానీ ఇది చేయదగినది మరియు ఇది మేము మా భాగస్వాములలో ఒకరి కోసం విజయవంతంగా ఉపయోగించిన విధానం.

మీరు పూర్తి రక్షణతో (ఫైర్‌వాల్‌లు, మీ ఇంటర్నెట్ ప్రొవైడర్‌లు అందించే DDOS రక్షణ సేవలు) మరియు డజన్ల కొద్దీ లేదా వందల కొద్దీ "సరళీకృత" పాయింట్‌లతో L2 స్విచ్‌లు మరియు సర్వర్‌లతో అనేక డేటా సెంటర్‌లను కలిగి ఉండవచ్చు.

కానీ ఈ సందర్భంలో రక్షణ గురించి ఏమిటి?

ఉదాహరణకు, ఇటీవల జనాదరణ పొందిన వాటిని చూద్దాం DNS యాంప్లిఫికేషన్ DDOS దాడి. దీని ప్రమాదం ఏమిటంటే పెద్ద మొత్తంలో ట్రాఫిక్ ఏర్పడుతుంది, ఇది మీ అన్ని అప్‌లింక్‌లలో 100% "అడ్డుపడుతుంది".

మా డిజైన్ విషయంలో మనకు ఏమి ఉంది.

• మీరు AnyCastని ఉపయోగిస్తే, ట్రాఫిక్ మీ ప్రెజెన్స్ పాయింట్ల మధ్య పంపిణీ చేయబడుతుంది. మీ మొత్తం బ్యాండ్‌విడ్త్ టెరాబిట్‌లు అయితే, ఇది వాస్తవంగా (అయితే, ఇటీవల టెరాబిట్‌ల క్రమంలో హానికరమైన ట్రాఫిక్‌తో అనేక దాడులు జరిగాయి) మిమ్మల్ని "ఓవర్‌ఫ్లోయింగ్" అప్‌లింక్‌ల నుండి రక్షిస్తుంది
• అయితే, కొన్ని అప్‌లింక్‌లు మూసుకుపోయినట్లయితే, మీరు ఈ సైట్‌ను సేవ నుండి తీసివేయండి (ఉపసర్గ ప్రకటనలను ఆపండి)
• మీరు మీ "పూర్తి" (మరియు, తదనుగుణంగా, రక్షిత) డేటా సెంటర్ల నుండి పంపబడిన ట్రాఫిక్ వాటాను కూడా పెంచుకోవచ్చు, తద్వారా అసురక్షిత ప్రదేశాల నుండి హానికరమైన ట్రాఫిక్‌లో గణనీయమైన భాగాన్ని తొలగిస్తుంది

మరియు ఈ ఉదాహరణకి మరో చిన్న గమనిక. మీరు IXల ద్వారా తగినంత ట్రాఫిక్‌ను పంపినట్లయితే, ఇది మీ అటువంటి దాడులకు హానిని కూడా తగ్గిస్తుంది

BGPని సెటప్ చేస్తోంది

ఇక్కడ రెండు అంశాలున్నాయి.

• కనెక్టివిటీ
• BGPని సెటప్ చేస్తోంది

మేము ఇప్పటికే కనెక్టివిటీ గురించి కొంచెం మాట్లాడాము భాగం 1. మీ కస్టమర్‌లకు ట్రాఫిక్ సరైన మార్గాన్ని అనుసరిస్తుందని నిర్ధారించుకోవడం ప్రధాన విషయం. ఆప్టిమాలిటీ అనేది ఎల్లప్పుడూ జాప్యం గురించి మాత్రమే కాదు, తక్కువ జాప్యం సాధారణంగా ఆప్టిమాలిటీకి ప్రధాన సూచిక. కొన్ని కంపెనీలకు ఇది చాలా ముఖ్యమైనది, మరికొన్నింటికి ఇది తక్కువ. ఇది మీరు అందించే సేవపై ఆధారపడి ఉంటుంది.

ఉదాహరణకు 1

మీరు మార్పిడి మరియు మిల్లీసెకన్ల కంటే తక్కువ సమయ విరామాలు మీ క్లయింట్‌లకు ముఖ్యమైనవి అయితే, వాస్తవానికి, ఎలాంటి ఇంటర్నెట్ గురించి మాట్లాడకూడదు.

ఉదాహరణకు 2

మీరు గేమింగ్ కంపెనీ అయితే మరియు పదుల మిల్లీసెకన్లు మీకు ముఖ్యమైనవి అయితే, మీకు కనెక్టివిటీ చాలా ముఖ్యం.

ఉదాహరణకు 3

TCP ప్రోటోకాల్ యొక్క లక్షణాల కారణంగా, ఒక TCP సెషన్‌లోని డేటా బదిలీ రేటు కూడా RTT (రౌండ్ ట్రిప్ సమయం)పై ఆధారపడి ఉంటుందని మీరు అర్థం చేసుకోవాలి. కంటెంట్ పంపిణీ సర్వర్‌లను ఈ కంటెంట్ వినియోగదారునికి దగ్గరగా తరలించడం ద్వారా ఈ సమస్యను పరిష్కరించడానికి CDN నెట్‌వర్క్‌లు కూడా నిర్మించబడుతున్నాయి.

కనెక్టివిటీ అధ్యయనం అనేది దాని స్వంత కథనం లేదా కథనాల శ్రేణికి అర్హమైనది మరియు ఇంటర్నెట్ “పనిచేస్తుంది” అనేదానిపై మంచి అవగాహన అవసరం.

ఉపయోగకరమైన వనరులు:

పండిన.net
bgp.he.net

ఉదాహరణకు

ఒక్క చిన్న ఉదాహరణ ఇస్తాను.

మీ డేటా సెంటర్ మాస్కోలో ఉందని మరియు మీకు ఒకే అప్‌లింక్ ఉందని అనుకుందాం - Rostelecom (AS12389). ఈ సందర్భంలో (సింగిల్ హోమ్డ్) మీకు BGP అవసరం లేదు మరియు మీరు ఎక్కువగా Rostelecom నుండి అడ్రస్ పూల్‌ని పబ్లిక్ అడ్రస్‌లుగా ఉపయోగిస్తారు.

మీరు ఒక నిర్దిష్ట సేవను అందిస్తారని అనుకుందాం మరియు మీకు యుక్రెయిన్ నుండి తగినంత సంఖ్యలో క్లయింట్లు ఉన్నారు మరియు వారు సుదీర్ఘ జాప్యం గురించి ఫిర్యాదు చేస్తారు. మీ పరిశోధన సమయంలో, వాటిలో కొన్నింటి IP చిరునామాలు 37.52.0.0/21 గ్రిడ్‌లో ఉన్నాయని మీరు కనుగొన్నారు.

ట్రేసర్‌రూట్‌ను అమలు చేయడం ద్వారా, ట్రాఫిక్ AS1299 (టెలియా) గుండా వెళుతున్నట్లు మీరు చూశారు మరియు పింగ్‌ను అమలు చేయడం ద్వారా మీరు సగటున 70 - 80 మిల్లీసెకన్ల RTTని పొందారు. మీరు దీన్ని ఇక్కడ కూడా చూడవచ్చు గాజు Rostelecom చూస్తున్నారు.

whois యుటిలిటీని (ripe.net లేదా లోకల్ యుటిలిటీలో) ఉపయోగించి, బ్లాక్ 37.52.0.0/21 AS6849 (Ukrtelecom)కి చెందినదని మీరు సులభంగా గుర్తించవచ్చు.

తదుపరి, వెళ్లడం ద్వారా bgp.he.net AS6849కి AS12389తో ఎలాంటి సంబంధం లేదని మీరు చూస్తారు (వారు క్లయింట్లు కాదు లేదా ఒకరికొకరు అప్‌లింక్‌లు కాదు లేదా వారికి పీరింగ్ కూడా లేదు). కానీ చూస్తే సహచరుల జాబితా AS6849 కోసం, మీరు చూస్తారు, ఉదాహరణకు, AS29226 (Mastertel) మరియు AS31133 (Megafon).

మీరు ఈ ప్రొవైడర్ల లుకింగ్ గ్లాస్‌ని కనుగొన్న తర్వాత, మీరు మార్గం మరియు RTTని సరిపోల్చవచ్చు. ఉదాహరణకు, Mastertel RTT కోసం సుమారు 30 మిల్లీసెకన్లు ఉంటుంది.

కాబట్టి, మీ సేవకు 80 మరియు 30 మిల్లీసెకన్ల మధ్య వ్యత్యాసం ముఖ్యమైనది అయితే, బహుశా మీరు కనెక్టివిటీ గురించి ఆలోచించి, మీ AS నంబర్‌ని, RIPE నుండి మీ అడ్రస్ పూల్‌ను పొందండి మరియు అదనపు అప్‌లింక్‌లను కనెక్ట్ చేయండి మరియు/లేదా IXలలో ఉనికిని పాయింట్లను సృష్టించండి.

మీరు BGPని ఉపయోగించినప్పుడు, మీకు కనెక్టివిటీని మెరుగుపరచడానికి మాత్రమే అవకాశం ఉంటుంది, కానీ మీరు మీ ఇంటర్నెట్ కనెక్షన్‌ని అనవసరంగా నిర్వహించవచ్చు.

ఈ పత్రం BGPని కాన్ఫిగర్ చేయడానికి సిఫార్సులను కలిగి ఉంది. ఈ సిఫార్సులు ప్రొవైడర్ల "ఉత్తమ అభ్యాసం" ఆధారంగా అభివృద్ధి చేయబడినప్పటికీ, (మీ BGP సెట్టింగ్‌లు చాలా ప్రాథమికంగా లేకుంటే) అవి నిస్సందేహంగా ఉపయోగకరంగా ఉంటాయి మరియు వాస్తవానికి మేము చర్చించిన గట్టిపడటంలో భాగంగా ఉండాలి. మొదటి భాగం.

DOS/DDOS రక్షణ

ఇప్పుడు DOS/DDOS దాడులు చాలా కంపెనీలకు రోజువారీ వాస్తవంగా మారాయి. నిజానికి, మీరు ఒక రూపంలో లేదా మరొక రూపంలో చాలా తరచుగా దాడి చేయబడతారు. మీరు దీన్ని ఇంకా గమనించలేదంటే, మీపై లక్షిత దాడి ఇంకా నిర్వహించబడలేదని మరియు మీకు తెలియకుండానే మీరు ఉపయోగించే రక్షణ చర్యలు (ఆపరేటింగ్ సిస్టమ్‌ల యొక్క వివిధ అంతర్నిర్మిత రక్షణలు) సరిపోతాయని మాత్రమే అర్థం. మీకు మరియు మీ క్లయింట్‌లకు అందించబడిన సేవ యొక్క క్షీణత తగ్గించబడిందని నిర్ధారించుకోండి.

పరికరాల లాగ్‌ల ఆధారంగా నిజ సమయంలో అందమైన దాడి మ్యాప్‌లను గీసే ఇంటర్నెట్ వనరులు ఉన్నాయి.

ఇది మీరు వాటికి లింక్‌లను కనుగొనవచ్చు.

నా ప్రియమైన карта చెక్‌పాయింట్ నుండి.

DDOS/DOSకి వ్యతిరేకంగా రక్షణ సాధారణంగా పొరలుగా ఉంటుంది. ఎందుకు అని అర్థం చేసుకోవడానికి, మీరు ఏ రకమైన DOS/DDOS దాడులు ఉన్నాయో అర్థం చేసుకోవాలి (ఉదాహరణకు చూడండి, ఇక్కడ లేదా ఇక్కడ)

అంటే, మనకు మూడు రకాల దాడులు ఉన్నాయి:

• వాల్యూమెట్రిక్ దాడులు
• ప్రోటోకాల్ దాడులు
• అప్లికేషన్ దాడులు

ఉదాహరణకు, ఫైర్‌వాల్‌లను ఉపయోగించి మీరు చివరి రెండు రకాల దాడుల నుండి మిమ్మల్ని మీరు రక్షించుకోగలిగితే, మీరు మీ అప్‌లింక్‌లను "అధికంగా" లక్ష్యంగా చేసుకునే దాడుల నుండి మిమ్మల్ని మీరు రక్షించుకోలేరు (వాస్తవానికి, మీ ఇంటర్నెట్ ఛానెల్‌ల మొత్తం సామర్థ్యాన్ని టెరాబిట్‌లలో లెక్కించకపోతే, లేదా ఇంకా మంచిది, పదుల టెరాబిట్‌లలో).

అందువల్ల, రక్షణ యొక్క మొదటి వరుస "వాల్యూమెట్రిక్" దాడుల నుండి రక్షణ, మరియు మీ ప్రొవైడర్ లేదా ప్రొవైడర్లు మీకు ఈ రక్షణను అందించాలి. మీరు దీన్ని ఇంకా గ్రహించకపోతే, ప్రస్తుతానికి మీరు అదృష్టవంతులు.

ఉదాహరణకు

మీకు అనేక అప్‌లింక్‌లు ఉన్నాయని అనుకుందాం, కానీ ప్రొవైడర్‌లలో ఒకరు మాత్రమే మీకు ఈ రక్షణను అందించగలరు. అయితే అన్ని ట్రాఫిక్‌లు ఒకే ప్రొవైడర్ ద్వారా వెళితే, మేము కొంచెం ముందుగా చర్చించిన కనెక్టివిటీ గురించి ఏమిటి?

ఈ సందర్భంలో, మీరు దాడి సమయంలో పాక్షికంగా కనెక్టివిటీని త్యాగం చేయాల్సి ఉంటుంది. కానీ

• ఇది దాడి వ్యవధికి మాత్రమే. దాడి జరిగినప్పుడు, మీరు BGPని మాన్యువల్‌గా లేదా ఆటోమేటిక్‌గా రీకాన్ఫిగర్ చేయవచ్చు, తద్వారా ట్రాఫిక్ మీకు “గొడుగు”ని అందించే ప్రొవైడర్ ద్వారా మాత్రమే వెళ్తుంది. దాడి ముగిసిన తర్వాత, మీరు రూటింగ్‌ను దాని మునుపటి స్థితికి తిరిగి ఇవ్వవచ్చు
• అన్ని ట్రాఫిక్‌లను బదిలీ చేయవలసిన అవసరం లేదు. ఉదాహరణకు, మీరు కొన్ని అప్‌లింక్‌లు లేదా పీరింగ్‌ల ద్వారా ఎటువంటి దాడులు లేవని (లేదా ట్రాఫిక్ ముఖ్యమైనది కాదు) మీరు చూసినట్లయితే, మీరు ఈ BGP పొరుగువారి పట్ల పోటీ లక్షణాలతో ప్రిఫిక్స్‌లను ప్రచారం చేయడం కొనసాగించవచ్చు.

మీరు మీ భాగస్వాములకు "ప్రోటోకాల్ దాడులు" మరియు "అప్లికేషన్ దాడులు" నుండి రక్షణను కూడా అప్పగించవచ్చు.
ఇక్కడ ఇక్కడ మీరు మంచి అధ్యయనాన్ని చదవగలరు (అనువాదం) నిజమే, కథనం రెండు సంవత్సరాల వయస్సులో ఉంది, అయితే ఇది DDOS దాడుల నుండి మిమ్మల్ని మీరు ఎలా రక్షించుకోవాలనే దానిపై మీకు ఒక ఆలోచనను ఇస్తుంది.

సూత్రప్రాయంగా, మీరు మీ రక్షణను పూర్తిగా అవుట్సోర్సింగ్ చేస్తూ దీనికి మిమ్మల్ని పరిమితం చేసుకోవచ్చు. ఈ నిర్ణయానికి ప్రయోజనాలు ఉన్నాయి, కానీ స్పష్టమైన ప్రతికూలత కూడా ఉంది. వాస్తవం ఏమిటంటే, మేము వ్యాపారం యొక్క మనుగడ గురించి (మళ్ళీ, మీ కంపెనీ చేసే పనిని బట్టి) మాట్లాడవచ్చు. మరియు అలాంటి వాటిని మూడవ పక్షాలకు విశ్వసించండి...

అందువల్ల, రక్షణ యొక్క రెండవ మరియు మూడవ పంక్తులను ఎలా నిర్వహించాలో చూద్దాం (ప్రొవైడర్ నుండి రక్షణకు అదనంగా).

కాబట్టి, మీ నెట్‌వర్క్ ప్రవేశద్వారం వద్ద వడపోత మరియు ట్రాఫిక్ పరిమితులు (పోలీసులు) రక్షణ యొక్క రెండవ పంక్తి.

ఉదాహరణకు 1

ప్రొవైడర్లలో ఒకరి సహాయంతో మీరు DDOSకి వ్యతిరేకంగా గొడుగుతో కప్పుకున్నారని అనుకుందాం. ఈ ప్రొవైడర్ తన నెట్‌వర్క్ అంచున ట్రాఫిక్ మరియు ఫిల్టర్‌లను ఫిల్టర్ చేయడానికి అర్బర్‌ని ఉపయోగిస్తుందని అనుకుందాం.

Arbor "ప్రాసెస్" చేయగల బ్యాండ్‌విడ్త్ పరిమితం చేయబడింది మరియు ప్రొవైడర్, ఫిల్టరింగ్ పరికరాల ద్వారా ఈ సేవను ఆర్డర్ చేసే దాని భాగస్వాములందరి ట్రాఫిక్‌ను నిరంతరం పాస్ చేయలేరు. అందువల్ల, సాధారణ పరిస్థితుల్లో, ట్రాఫిక్ ఫిల్టర్ చేయబడదు.

SYN వరద దాడి ఉందని అనుకుందాం. దాడి జరిగినప్పుడు ట్రాఫిక్‌ను ఆటోమేటిక్‌గా ఫిల్టరింగ్‌కి మార్చే సేవను మీరు ఆర్డర్ చేసినప్పటికీ, ఇది తక్షణమే జరగదు. ఒక నిమిషం లేదా అంతకంటే ఎక్కువ కాలం మీరు దాడిలో ఉంటారు. మరియు ఇది మీ పరికరాల వైఫల్యానికి లేదా సేవ యొక్క క్షీణతకు దారితీస్తుంది. ఈ సందర్భంలో, ఎడ్జ్ రూటింగ్ వద్ద ట్రాఫిక్‌ను పరిమితం చేయడం, అయితే ఈ సమయంలో కొన్ని TCP సెషన్‌లు ఏర్పాటు చేయబడవు అనే వాస్తవానికి దారి తీస్తుంది, పెద్ద-స్థాయి సమస్యల నుండి మీ మౌలిక సదుపాయాలను సేవ్ చేస్తుంది.

ఉదాహరణకు 2

అసాధారణంగా పెద్ద సంఖ్యలో SYN ప్యాకెట్లు SYN వరద దాడి ఫలితంగా మాత్రమే ఉండకపోవచ్చు. మీరు ఏకకాలంలో సుమారు 100 వేల TCP కనెక్షన్‌లను (ఒక డేటా సెంటర్‌కు) కలిగి ఉండే సేవను అందిస్తున్నారని అనుకుందాం.

మీ ప్రధాన ప్రొవైడర్‌లలో ఒకరితో ఏర్పడిన స్వల్పకాలిక సమస్య ఫలితంగా, మీ సెషన్‌లలో సగం కిక్ చేయబడిందని చెప్పండి. మీ అప్లికేషన్ రెండుసార్లు ఆలోచించకుండా, వెంటనే (లేదా కొంత సమయం విరామం తర్వాత అన్ని సెషన్‌లకు ఒకే విధంగా ఉంటుంది) కనెక్షన్‌ని మళ్లీ స్థాపించడానికి ప్రయత్నించే విధంగా రూపొందించబడితే, మీరు కనీసం 50 వేల SYN ప్యాకెట్‌లను అందుకుంటారు. ఏకకాలంలో.

ఉదాహరణకు, మీరు ఈ సెషన్‌ల పైన ssl/tls హ్యాండ్‌షేక్‌ని అమలు చేయాల్సి ఉంటే, ఇందులో సర్టిఫికేట్‌ల మార్పిడి ఉంటుంది, అప్పుడు మీ లోడ్ బ్యాలెన్సర్ కోసం వనరులను తగ్గించే కోణం నుండి, ఇది సాధారణ కంటే చాలా బలమైన “DDOS” అవుతుంది. SYN వరద. బ్యాలెన్సర్‌లు ఇలాంటి ఈవెంట్‌లను నిర్వహించాలని అనిపించవచ్చు, కానీ... దురదృష్టవశాత్తు, మేము అలాంటి సమస్యను ఎదుర్కొంటున్నాము.

మరియు, వాస్తవానికి, ఎడ్జ్ రౌటర్‌లోని పోలీసు ఈ సందర్భంలో కూడా మీ పరికరాలను సేవ్ చేస్తుంది.

DDOS/DOS నుండి రక్షణ యొక్క మూడవ స్థాయి మీ ఫైర్‌వాల్ సెట్టింగ్‌లు.

ఇక్కడ మీరు రెండవ మరియు మూడవ రకాల రెండు దాడులను ఆపవచ్చు. సాధారణంగా, ఫైర్‌వాల్‌కు చేరే ప్రతిదాన్ని ఇక్కడ ఫిల్టర్ చేయవచ్చు.

కౌన్సిల్

ఫైర్‌వాల్‌కు వీలైనంత తక్కువ పనిని ఇవ్వడానికి ప్రయత్నించండి, రక్షణ యొక్క మొదటి రెండు పంక్తులలో వీలైనంత ఎక్కువ ఫిల్టర్ చేయండి. మరియు అందుకే.

మీ సర్వర్‌ల ఆపరేటింగ్ సిస్టమ్ DDOS దాడులకు ఎంత నిరోధకతను కలిగి ఉందో తనిఖీ చేయడానికి ట్రాఫిక్‌ని ఉత్పత్తి చేస్తున్నప్పుడు అనుకోకుండా మీకు ఎప్పుడైనా జరిగిందా, మీరు మీ ఫైర్‌వాల్‌ను "చంపారు", సాధారణ తీవ్రతతో ట్రాఫిక్‌తో 100 శాతానికి లోడ్ చేసారు ? కాకపోతే, మీరు ప్రయత్నించకపోవడమే దీనికి కారణం కావచ్చు?

సాధారణంగా, ఫైర్‌వాల్, నేను చెప్పినట్లుగా, సంక్లిష్టమైన విషయం, మరియు ఇది తెలిసిన దుర్బలత్వాలు మరియు పరీక్షించిన పరిష్కారాలతో బాగా పని చేస్తుంది, కానీ మీరు అసాధారణమైన వాటిని పంపితే, కొన్ని చెత్త లేదా ప్యాకెట్‌లను తప్పు హెడర్‌లతో పంపితే, మీరు కొన్నింటితో కాదు, వాటితో కాదు. ఇంత చిన్న సంభావ్యత (నా అనుభవం ఆధారంగా), మీరు టాప్-ఎండ్ పరికరాలను కూడా మూర్ఖంగా చేయవచ్చు. కాబట్టి, దశ 2 వద్ద, సాధారణ ACLలను (L3/L4 స్థాయిలో) ఉపయోగించి, మీ నెట్‌వర్క్‌లోకి ప్రవేశించే ట్రాఫిక్‌ను మాత్రమే అనుమతించండి.

ఫైర్‌వాల్‌పై ట్రాఫిక్‌ను ఫిల్టర్ చేస్తోంది

ఫైర్‌వాల్ గురించి సంభాషణను కొనసాగిద్దాం. DOS/DDOS దాడులు కేవలం ఒక రకమైన సైబర్ దాడి అని మీరు అర్థం చేసుకోవాలి.

DOS/DDOS రక్షణతో పాటు, మేము క్రింది లక్షణాల జాబితా వంటి వాటిని కూడా కలిగి ఉండవచ్చు:

• అప్లికేషన్ ఫైర్‌వాల్లింగ్
• ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
• URL ఫిల్టరింగ్
• డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
• ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)

ఈ జాబితా నుండి మీకు ఏమి కావాలో నిర్ణయించుకోవడం మీ ఇష్టం.

కొనసాగించాలి

మూలం: www.habr.com