บทความนี้เป็นบทความที่สี่ในชุด “วิธีควบคุมโครงสร้างพื้นฐานเครือข่ายของคุณ” เนื้อหาบทความทั้งหมดในซีรีส์และลิงก์ต่างๆ สามารถพบได้ .
В ในบทนี้ เราได้ดูบางแง่มุมของการรักษาความปลอดภัยเครือข่ายในส่วนศูนย์ข้อมูล ส่วนนี้จะกล่าวถึงส่วน "การเข้าถึงอินเทอร์เน็ต"
การเข้าถึงอินเทอร์เน็ต
หัวข้อเรื่องความปลอดภัยถือเป็นหัวข้อที่ซับซ้อนที่สุดในโลกของเครือข่ายข้อมูลอย่างไม่ต้องสงสัย เช่นเดียวกับในกรณีก่อนหน้านี้ โดยไม่ต้องอ้างสิทธิ์ในเชิงลึกและครบถ้วน ฉันจะพิจารณาที่นี่ค่อนข้างง่าย แต่ในความคิดของฉัน คำถามสำคัญ คำตอบที่ฉันหวังว่าจะช่วยยกระดับความปลอดภัยของเครือข่ายของคุณ
เมื่อตรวจสอบส่วนนี้ ให้คำนึงถึงประเด็นต่อไปนี้:
- ออกแบบ
- การตั้งค่าบีจีพี
- การป้องกันดอส/DDOS
- การกรองการรับส่งข้อมูลบนไฟร์วอลล์
ออกแบบ
ฉันอยากจะแนะนำตัวอย่างการออกแบบเซ็กเมนต์นี้สำหรับเครือข่ายองค์กร จากซิสโก้ภายใน .
แน่นอนว่าบางทีวิธีแก้ปัญหาของผู้จำหน่ายรายอื่นอาจดูน่าสนใจสำหรับคุณมากกว่า (ดู ) แต่หากไม่สนับสนุนให้คุณติดตามการออกแบบนี้โดยละเอียด ฉันยังคงพบว่าการทำความเข้าใจหลักการและแนวคิดเบื้องหลังการออกแบบนี้มีประโยชน์
คำพูด
ใน SAFE ส่วน "การเข้าถึงระยะไกล" เป็นส่วนหนึ่งของส่วน "การเข้าถึงอินเทอร์เน็ต" แต่ในบทความชุดนี้เราจะพิจารณาแยกกัน
ชุดอุปกรณ์มาตรฐานในส่วนนี้สำหรับเครือข่ายองค์กรคือ
- เราเตอร์ชายแดน
- ไฟร์วอลล์
หมายเหตุ 1
ในบทความชุดนี้ ฉันหมายถึงเมื่อฉันพูดถึงไฟร์วอลล์ .
หมายเหตุ 2
ฉันละเว้นการพิจารณาโซลูชัน L2/L1 หรือโอเวอร์เลย์ L2 บน L3 ประเภทต่างๆ ที่จำเป็นเพื่อให้แน่ใจว่ามีการเชื่อมต่อ L1/L2 และจำกัดตัวเองเฉพาะปัญหาในระดับ L3 ขึ้นไปเท่านั้น ประเด็น L1/L2 บางส่วนถูกกล่าวถึงในบท “"
หากคุณไม่พบไฟร์วอลล์ในส่วนนี้ คุณไม่ควรรีบด่วนสรุป
ลองทำแบบเดียวกับใน เริ่มจากคำถาม: ในกรณีของคุณจำเป็นต้องใช้ไฟร์วอลล์ในส่วนนี้หรือไม่?
ฉันสามารถพูดได้ว่านี่ดูเหมือนจะเป็นสถานที่ที่เหมาะสมที่สุดในการใช้ไฟร์วอลล์และใช้อัลกอริธึมการกรองการรับส่งข้อมูลที่ซับซ้อน ใน เราได้กล่าวถึงปัจจัย 4 ประการที่อาจรบกวนการใช้ไฟร์วอลล์ในส่วนของศูนย์ข้อมูล แต่ที่นี่มันไม่มีความสำคัญอีกต่อไป
1 ตัวอย่าง ความล่าช้า
เท่าที่เกี่ยวกับอินเทอร์เน็ต ไม่มีประโยชน์ที่จะพูดถึงความล่าช้าแม้แต่ประมาณ 1 มิลลิวินาที ดังนั้นความล่าช้าในส่วนนี้จึงไม่สามารถเป็นปัจจัยจำกัดการใช้ไฟร์วอลล์ได้
2 ตัวอย่าง การปฏิบัติ
ในบางกรณีปัจจัยนี้อาจยังมีนัยสำคัญ ดังนั้น คุณอาจต้องอนุญาตการรับส่งข้อมูลบางอย่าง (เช่น การรับส่งข้อมูลจากโหลดบาลานเซอร์) เพื่อเลี่ยงผ่านไฟร์วอลล์
3 ตัวอย่าง ความเชื่อถือได้
ปัจจัยนี้ยังต้องนำมาพิจารณาด้วย แต่ถึงกระนั้น เนื่องจากอินเทอร์เน็ตไม่น่าเชื่อถือ ความสำคัญของส่วนนี้ไม่สำคัญเท่ากับศูนย์ข้อมูล
สมมติว่าบริการของคุณทำงานบน http/https (ด้วยเซสชันสั้นๆ) ในกรณีนี้ คุณสามารถใช้สองกล่องแยกกัน (ไม่มี HA) และหากมีปัญหาการกำหนดเส้นทางกับกล่องใดกล่องหนึ่ง ให้โอนการรับส่งข้อมูลทั้งหมดไปยังกล่องที่สอง
หรือคุณสามารถใช้ไฟร์วอลล์ในโหมดโปร่งใส และหากล้มเหลว อนุญาตให้รับส่งข้อมูลข้ามไฟร์วอลล์ในขณะที่แก้ไขปัญหาได้
ดังนั้นน่าจะเพียง ราคา อาจเป็นปัจจัยที่จะบังคับให้คุณละทิ้งการใช้ไฟร์วอลล์ในส่วนนี้
ที่สำคัญ!
มีสิ่งล่อใจให้รวมไฟร์วอลล์นี้เข้ากับไฟร์วอลล์ศูนย์ข้อมูล (ใช้ไฟร์วอลล์เดียวสำหรับเซ็กเมนต์เหล่านี้) โดยหลักการแล้ววิธีแก้ปัญหาคือเป็นไปได้ แต่คุณต้องเข้าใจว่าเพราะว่า ไฟร์วอลล์การเข้าถึงอินเทอร์เน็ตเป็นแนวหน้าในการป้องกันของคุณและ "เข้าโจมตี" การรับส่งข้อมูลที่เป็นอันตรายอย่างน้อยบางส่วน ดังนั้นแน่นอนว่าคุณต้องคำนึงถึงความเสี่ยงที่เพิ่มขึ้นที่ไฟร์วอลล์นี้จะถูกปิดใช้งาน กล่าวคือ การใช้อุปกรณ์เดียวกันในสองส่วนนี้ คุณจะลดความพร้อมใช้งานของกลุ่มศูนย์ข้อมูลของคุณได้อย่างมาก
และเช่นเคย คุณต้องเข้าใจว่าการออกแบบของกลุ่มนี้อาจมีความแตกต่างกันอย่างมากทั้งนี้ขึ้นอยู่กับบริการที่บริษัทมอบให้ และเช่นเคย คุณสามารถเลือกแนวทางที่แตกต่างกันได้ตามความต้องการของคุณ
ตัวอย่าง
หากคุณเป็นผู้ให้บริการเนื้อหาที่มีเครือข่าย CDN (ดูตัวอย่าง ) จากนั้น คุณอาจไม่ต้องการสร้างโครงสร้างพื้นฐานข้ามจุดแสดงตนหลายสิบหรือหลายร้อยจุดโดยใช้อุปกรณ์แยกกันสำหรับการกำหนดเส้นทางและกรองการรับส่งข้อมูล มันจะมีราคาแพงและอาจไม่จำเป็นเลย
สำหรับ BGP คุณไม่จำเป็นต้องมีเราเตอร์เฉพาะ คุณสามารถใช้เครื่องมือโอเพ่นซอร์สได้ เช่น . ดังนั้นบางทีสิ่งที่คุณต้องการคือเซิร์ฟเวอร์หรือเซิร์ฟเวอร์หลายตัว สวิตช์และ BGP
ในกรณีนี้ เซิร์ฟเวอร์ของคุณหรือเซิร์ฟเวอร์หลายตัวสามารถไม่เพียงแต่เป็นเซิร์ฟเวอร์ CDN เท่านั้น แต่ยังเป็นเราเตอร์ด้วย แน่นอนว่ายังมีรายละเอียดอีกมาก (เช่น วิธีการสร้างความสมดุล) แต่ก็สามารถทำได้ และเป็นแนวทางที่เราใช้กับพันธมิตรรายหนึ่งของเราได้สำเร็จ
คุณสามารถมีศูนย์ข้อมูลหลายแห่งที่มีการป้องกันเต็มรูปแบบ (ไฟร์วอลล์ บริการป้องกัน DDOS จากผู้ให้บริการอินเทอร์เน็ตของคุณ) และมีจุดแสดงตนที่ “เรียบง่าย” นับสิบหรือหลายร้อยจุดด้วยสวิตช์และเซิร์ฟเวอร์ L2 เท่านั้น
แต่ความคุ้มครองในกรณีนี้ล่ะ?
ลองดูตัวอย่างที่ได้รับความนิยมเมื่อเร็ว ๆ นี้ . อันตรายอยู่ที่ความจริงที่ว่ามีการสร้างทราฟฟิกจำนวนมาก ซึ่งเพียงแค่ "อุดตัน" 100% ของอัปลิงก์ทั้งหมดของคุณ
เรามีอะไรในกรณีของการออกแบบของเรา
- หากคุณใช้ AnyCast การรับส่งข้อมูลจะถูกกระจายระหว่างจุดแสดงตนของคุณ หากแบนด์วิดท์ทั้งหมดของคุณเป็นเทราบิต สิ่งนี้ในตัวมันเอง (อย่างไรก็ตาม มีการโจมตีหลายครั้งที่มีการรับส่งข้อมูลที่เป็นอันตรายตามลำดับเทราบิต) จะปกป้องคุณจากการอัปลิงค์ที่ "ล้น"
- อย่างไรก็ตาม หากอัปลิงค์บางส่วนเกิดการอุดตัน คุณเพียงแค่ลบไซต์นี้ออกจากบริการ (หยุดโฆษณาคำนำหน้า)
- คุณยังสามารถเพิ่มส่วนแบ่งการรับส่งข้อมูลที่ส่งจากศูนย์ข้อมูล "เต็มรูปแบบ" ของคุณ (และได้รับการป้องกันตามนั้น) ได้ด้วย ซึ่งจะช่วยลบส่วนสำคัญของการรับส่งข้อมูลที่เป็นอันตรายออกจากจุดแสดงตนที่ไม่ได้รับการป้องกัน
และอีกข้อสังเกตเล็กๆ น้อยๆ อีกประการหนึ่งสำหรับตัวอย่างนี้ หากคุณส่งการรับส่งข้อมูลผ่าน IX เพียงพอ สิ่งนี้จะลดความเสี่ยงต่อการโจมตีดังกล่าวด้วย
การตั้งค่า BGP
มีสองหัวข้อที่นี่
- การเชื่อมต่อ
- การตั้งค่า BGP
เราได้พูดคุยกันเล็กน้อยเกี่ยวกับการเชื่อมต่อแล้ว . ประเด็นก็คือเพื่อให้แน่ใจว่าการรับส่งข้อมูลไปยังลูกค้าของคุณเป็นไปตามเส้นทางที่เหมาะสมที่สุด แม้ว่าการปรับให้เหมาะสมที่สุดไม่ได้เป็นเพียงเกี่ยวกับเวลาแฝงเสมอไป แต่เวลาแฝงที่ต่ำมักเป็นตัวบ่งชี้หลักของการปรับให้เหมาะสมที่สุด สำหรับบางบริษัท สิ่งนี้สำคัญกว่า สำหรับบางบริษัทก็มีความสำคัญน้อยกว่า ทุกอย่างขึ้นอยู่กับบริการที่คุณให้
1 ตัวอย่าง
หากคุณเป็นตลาดแลกเปลี่ยน และช่วงเวลาน้อยกว่ามิลลิวินาทีมีความสำคัญต่อลูกค้าของคุณ แน่นอนว่าจะไม่มีการพูดถึงอินเทอร์เน็ตใดๆ เลย
2 ตัวอย่าง
หากคุณเป็นบริษัทเกมและเวลาหลายสิบมิลลิวินาทีมีความสำคัญต่อคุณ แน่นอนว่าการเชื่อมต่อมีความสำคัญต่อคุณมาก
3 ตัวอย่าง
คุณต้องเข้าใจด้วยว่า เนื่องจากคุณสมบัติของโปรโตคอล TCP อัตราการถ่ายโอนข้อมูลภายในเซสชัน TCP หนึ่งเซสชันจึงขึ้นอยู่กับ RTT (Round Trip Time) ด้วย เครือข่าย CDN ยังถูกสร้างขึ้นเพื่อแก้ไขปัญหานี้ด้วยการย้ายเซิร์ฟเวอร์กระจายเนื้อหาให้ใกล้กับผู้บริโภคเนื้อหานี้มากขึ้น
การศึกษาเรื่องการเชื่อมต่อเป็นหัวข้อที่น่าสนใจในตัวเอง คุ้มค่ากับบทความหรือบทความชุดของตัวเอง และต้องอาศัยความเข้าใจที่ดีว่าอินเทอร์เน็ต “ทำงานอย่างไร”
แหล่งข้อมูลที่เป็นประโยชน์:
ตัวอย่าง
ผมจะยกตัวอย่างเล็กๆ น้อยๆ เพียงตัวอย่างเดียว
สมมติว่าศูนย์ข้อมูลของคุณตั้งอยู่ในมอสโก และคุณมีอัปลิงก์เดียว - Rostelecom (AS12389) ในกรณีนี้ (บ้านเดียว) คุณไม่จำเป็นต้องใช้ BGP และคุณมักจะใช้กลุ่มที่อยู่จาก Rostelecom เป็นที่อยู่สาธารณะ
สมมติว่าคุณให้บริการบางอย่าง และคุณมีลูกค้าจากยูเครนในจำนวนเพียงพอ และพวกเขาบ่นว่าเกิดความล่าช้าเป็นเวลานาน ในระหว่างการวิจัย คุณพบว่าที่อยู่ IP ของบางส่วนอยู่ในตาราง 37.52.0.0/21
เมื่อเรียกใช้ Traceroute คุณจะเห็นว่าการรับส่งข้อมูลกำลังผ่าน AS1299 (Telia) และเมื่อเรียกใช้ Ping คุณจะได้ RTT เฉลี่ย 70 - 80 มิลลิวินาที คุณสามารถดูสิ่งนี้ได้ที่ .
การใช้ยูทิลิตี้ whois (บน Rip.net หรือยูทิลิตี้ท้องถิ่น) คุณสามารถระบุได้อย่างง่ายดายว่าบล็อก 37.52.0.0/21 เป็นของ AS6849 (Ukrtelecom)
ต่อไปโดยไปที่ คุณจะเห็นว่า AS6849 ไม่มีความสัมพันธ์กับ AS12389 (ไม่ใช่ไคลเอ็นต์หรืออัปลิงก์ถึงกัน และไม่มีการเพียร์) แต่หากมองดู. สำหรับ AS6849 คุณจะเห็น AS29226 (Mastertel) และ AS31133 (Megafon)
เมื่อคุณพบตัวเลือกของผู้ให้บริการเหล่านี้แล้ว คุณก็สามารถเปรียบเทียบเส้นทางและ RTT ได้ ตัวอย่างเช่น สำหรับ Mastertel RTT จะอยู่ที่ประมาณ 30 มิลลิวินาที
ดังนั้น หากความแตกต่างระหว่าง 80 ถึง 30 มิลลิวินาทีมีความสำคัญต่อบริการของคุณ คุณอาจจำเป็นต้องคิดถึงการเชื่อมต่อ รับหมายเลข AS พูลที่อยู่ของคุณจาก RIPE และเชื่อมต่ออัปลิงก์เพิ่มเติม และ/หรือสร้างจุดแสดงตนบน IX
เมื่อคุณใช้ BGP คุณไม่เพียงแต่มีโอกาสปรับปรุงการเชื่อมต่อเท่านั้น แต่คุณยังรักษาการเชื่อมต่ออินเทอร์เน็ตของคุณซ้ำซ้อนอีกด้วย
มีคำแนะนำสำหรับการกำหนดค่า BGP แม้ว่าคำแนะนำเหล่านี้จะได้รับการพัฒนาตาม "แนวปฏิบัติที่ดีที่สุด" ของผู้ให้บริการ แต่อย่างไรก็ตาม (หากการตั้งค่า BGP ของคุณไม่ใช่ขั้นพื้นฐาน) คำแนะนำเหล่านี้ก็มีประโยชน์อย่างไม่ต้องสงสัย และในความเป็นจริงควรเป็นส่วนหนึ่งของการทำให้แข็งแกร่งขึ้นที่เราได้พูดคุยกันใน .
การป้องกันดอส/DDOS
ขณะนี้ การโจมตี DOS/DDOS ได้กลายเป็นความจริงในชีวิตประจำวันสำหรับหลายๆ บริษัท ในความเป็นจริง คุณถูกโจมตีค่อนข้างบ่อยในรูปแบบใดรูปแบบหนึ่ง ข้อเท็จจริงที่ว่าคุณยังไม่ได้สังเกตเห็นสิ่งนี้เพียงหมายความว่ายังไม่มีการจัดการการโจมตีแบบกำหนดเป้าหมายเพื่อต่อต้านคุณ และมาตรการป้องกันที่คุณใช้ แม้จะไม่รู้ตัวก็ตาม (การป้องกันระบบปฏิบัติการในตัวต่างๆ) เพียงพอที่จะ ตรวจสอบให้แน่ใจว่าความเสื่อมโทรมของบริการที่มอบให้นั้นลดลงสำหรับคุณและลูกค้าของคุณ
มีแหล่งข้อมูลทางอินเทอร์เน็ตที่วาดแผนที่การโจมตีที่สวยงามแบบเรียลไทม์ตามบันทึกอุปกรณ์
คุณสามารถค้นหาลิงก์ไปยังพวกเขาได้
ที่ฉันชอบ จากจุดตรวจ
การป้องกัน DDOS/DOS มักจะเป็นแบบหลายชั้น เพื่อทำความเข้าใจว่าทำไม คุณต้องเข้าใจว่ามีการโจมตี DOS/DDOS ประเภทใดบ้าง (ดูตัวอย่าง หรือ )
นั่นคือเรามีการโจมตีสามประเภท:
- การโจมตีเชิงปริมาตร
- การโจมตีโปรโตคอล
- การโจมตีแอปพลิเคชัน
หากคุณสามารถป้องกันตัวเองจากการโจมตีสองประเภทล่าสุดโดยใช้ไฟร์วอลล์ได้ คุณจะไม่สามารถป้องกันตัวเองจากการโจมตีที่มีเป้าหมาย "ครอบงำ" อัปลิงก์ของคุณ (แน่นอนว่า หากความจุรวมของช่องอินเทอร์เน็ตของคุณไม่ได้คำนวณเป็นเทราบิต หรือดีกว่านั้นอีกเป็นสิบเทราบิต)
ดังนั้น แนวป้องกันแรกคือการป้องกันการโจมตีแบบ “ปริมาตร” และผู้ให้บริการของคุณต้องให้การป้องกันนี้แก่คุณ หากคุณยังไม่ตระหนักถึงสิ่งนี้ แสดงว่าคุณโชคดีในตอนนี้
ตัวอย่าง
สมมติว่าคุณมีอัปลิงก์หลายรายการ แต่มีผู้ให้บริการเพียงรายเดียวเท่านั้นที่สามารถให้การป้องกันนี้ได้ แต่ถ้าการรับส่งข้อมูลทั้งหมดผ่านผู้ให้บริการรายเดียว แล้วการเชื่อมต่อที่เราพูดคุยสั้น ๆ ก่อนหน้านี้ล่ะ
ในกรณีนี้ คุณจะต้องเสียสละการเชื่อมต่อบางส่วนระหว่างการโจมตี แต่
- นี่เป็นเพียงช่วงระยะเวลาของการโจมตีเท่านั้น ในกรณีที่มีการโจมตี คุณสามารถกำหนดค่า BGP ใหม่ได้ด้วยตนเองหรือโดยอัตโนมัติ เพื่อให้การรับส่งข้อมูลผ่านผู้ให้บริการที่ให้ "ร่ม" แก่คุณเท่านั้น หลังจากการโจมตีสิ้นสุดลง คุณสามารถคืนเส้นทางกลับสู่สถานะก่อนหน้าได้
- ไม่จำเป็นต้องถ่ายโอนการรับส่งข้อมูลทั้งหมด ตัวอย่างเช่น หากคุณเห็นว่าไม่มีการโจมตีผ่านการอัปลิงก์หรือการเพียร์บางส่วน (หรือการรับส่งข้อมูลไม่มีนัยสำคัญ) คุณสามารถโฆษณาคำนำหน้าด้วยคุณลักษณะที่แข่งขันกับเพื่อนบ้าน BGP เหล่านี้ต่อไปได้
คุณยังสามารถมอบหมายการป้องกันจาก "การโจมตีโปรโตคอล" และ "การโจมตีแอปพลิเคชัน" ให้กับคู่ค้าของคุณได้
ที่นี่ คุณสามารถอ่านการศึกษาที่ดี (). จริงอยู่ บทความนี้มีอายุสองปี แต่จะทำให้คุณเข้าใจถึงแนวทางในการป้องกันตนเองจากการโจมตี DDOS
โดยหลักการแล้ว คุณสามารถจำกัดตัวเองอยู่เพียงเท่านี้ โดยจ้างบุคคลภายนอกมาปกป้องคุณโดยสมบูรณ์ การตัดสินใจครั้งนี้มีข้อดี แต่ก็มีข้อเสียที่ชัดเจนเช่นกัน ความจริงก็คือเราสามารถพูดคุยได้ (อีกครั้ง ขึ้นอยู่กับว่าบริษัทของคุณทำอะไร) เกี่ยวกับการอยู่รอดของธุรกิจ และไว้วางใจสิ่งดังกล่าวกับบุคคลที่สาม...
ดังนั้นเรามาดูวิธีจัดระเบียบแนวป้องกันที่สองและสาม (นอกเหนือจากการป้องกันจากผู้ให้บริการ)
ดังนั้นแนวป้องกันที่สองคือการกรองและตัวจำกัดการรับส่งข้อมูล (ตำรวจ) ที่ทางเข้าเครือข่ายของคุณ
1 ตัวอย่าง
สมมติว่าคุณได้ปกปิดตัวเองด้วยการป้องกัน DDOS ด้วยความช่วยเหลือจากผู้ให้บริการรายใดรายหนึ่ง สมมติว่าผู้ให้บริการรายนี้ใช้ Arbor เพื่อกรองการรับส่งข้อมูลและกรองที่ขอบของเครือข่าย
แบนด์วิธที่ Arbor สามารถ "ประมวลผล" นั้นมีจำกัด และแน่นอนว่าผู้ให้บริการไม่สามารถส่งผ่านการรับส่งข้อมูลของพันธมิตรทั้งหมดที่สั่งซื้อบริการนี้ผ่านอุปกรณ์กรองได้อย่างต่อเนื่อง ดังนั้นภายใต้สภาวะปกติ การจราจรจะไม่ถูกกรอง
สมมติว่ามีการโจมตีแบบน้ำท่วมของ SYN แม้ว่าคุณจะสั่งบริการที่สลับการรับส่งข้อมูลเป็นการกรองโดยอัตโนมัติในกรณีที่มีการโจมตี สิ่งนี้จะไม่เกิดขึ้นในทันที คุณจะยังคงถูกโจมตีเป็นเวลาหนึ่งนาทีหรือมากกว่านั้น และอาจนำไปสู่ความล้มเหลวของอุปกรณ์ของคุณหรือความเสื่อมของบริการ ในกรณีนี้ การจำกัดการรับส่งข้อมูลที่การกำหนดเส้นทาง Edge แม้ว่าจะนำไปสู่ความจริงที่ว่าเซสชัน TCP บางรายการจะไม่ถูกสร้างขึ้นในช่วงเวลานี้ แต่ก็จะช่วยประหยัดโครงสร้างพื้นฐานของคุณจากปัญหาในวงกว้าง
2 ตัวอย่าง
แพ็กเก็ต SYN จำนวนมากผิดปกติอาจไม่เพียงเป็นผลมาจากการโจมตี SYN ฟลัดเท่านั้น สมมติว่าคุณให้บริการที่คุณสามารถมีการเชื่อมต่อ TCP ได้ประมาณ 100 รายการพร้อมกัน (ไปยังศูนย์ข้อมูลเดียว)
สมมติว่าผลลัพธ์ของปัญหาระยะสั้นกับผู้ให้บริการหลักรายใดรายหนึ่งของคุณ ทำให้เซสชันของคุณถูกเตะไปครึ่งหนึ่ง หากแอปพลิเคชันของคุณได้รับการออกแบบในลักษณะที่พยายามสร้างการเชื่อมต่อใหม่ทันที (หรือหลังจากช่วงเวลาหนึ่งซึ่งเหมือนกันสำหรับทุกเซสชัน) ทันที จากนั้นคุณจะได้รับแพ็กเก็ต SYN อย่างน้อย 50 โดยประมาณ พร้อมกัน
ตัวอย่างเช่น หากคุณต้องรันแฮนด์เชค ssl/tls ที่ด้านบนของเซสชันเหล่านี้ ซึ่งเกี่ยวข้องกับการแลกเปลี่ยนใบรับรอง ดังนั้น จากมุมมองของทรัพยากรที่หมดลงสำหรับโหลดบาลานเซอร์ของคุณ นี่จะเป็น “DDOS” ที่แข็งแกร่งกว่ามาก SYN น้ำท่วม ดูเหมือนว่าบาลานเซอร์ควรจะจัดการกับเหตุการณ์ดังกล่าว แต่... น่าเสียดายที่เรากำลังเผชิญกับปัญหาดังกล่าว
และแน่นอนว่าเจ้าหน้าที่ตำรวจบนเราเตอร์เอดจ์จะบันทึกอุปกรณ์ของคุณในกรณีนี้ด้วย
ระดับที่สามของการป้องกัน DDOS/DOS คือการตั้งค่าไฟร์วอลล์ของคุณ
ที่นี่คุณสามารถหยุดการโจมตีทั้งประเภทที่สองและสามได้ โดยทั่วไป ทุกสิ่งที่เข้าถึงไฟร์วอลล์สามารถกรองได้ที่นี่
สภา
พยายามให้ไฟร์วอลล์ทำงานน้อยที่สุดเท่าที่จะเป็นไปได้ โดยกรองการป้องกันสองบรรทัดแรกให้ได้มากที่สุด และนั่นคือเหตุผล
เคยเกิดขึ้นกับคุณโดยบังเอิญหรือไม่ว่าในขณะที่สร้างการรับส่งข้อมูลเพื่อตรวจสอบ เช่น ระบบปฏิบัติการของเซิร์ฟเวอร์ของคุณมีความทนทานต่อการโจมตี DDOS เพียงใด คุณ "ทำลาย" ไฟร์วอลล์ของคุณ โดยโหลดไปที่ 100 เปอร์เซ็นต์ โดยมีการรับส่งข้อมูลในระดับปกติ ? ถ้าไม่อาจเป็นเพียงเพราะคุณยังไม่ได้ลอง?
โดยทั่วไปไฟร์วอลล์อย่างที่ฉันพูดไปนั้นเป็นสิ่งที่ซับซ้อนและทำงานได้ดีกับช่องโหว่ที่รู้จักและวิธีแก้ไขปัญหาที่ผ่านการทดสอบแล้ว แต่ถ้าคุณส่งสิ่งผิดปกติเพียงแค่ขยะหรือแพ็กเก็ตที่มีส่วนหัวไม่ถูกต้องแสดงว่าคุณทำได้บางส่วนไม่ใช่กับ ความน่าจะเป็นเพียงเล็กน้อย (จากประสบการณ์ของฉัน) คุณสามารถสร้างความสับสนให้กับอุปกรณ์ระดับบนได้ ดังนั้น ในขั้นตอนที่ 2 ให้ใช้ ACL ปกติ (ที่ระดับ L3/L4) อนุญาตเฉพาะการรับส่งข้อมูลเข้าสู่เครือข่ายของคุณที่ควรเข้าไปที่นั่นเท่านั้น
การกรองการรับส่งข้อมูลบนไฟร์วอลล์
เรามาสนทนาเกี่ยวกับไฟร์วอลล์ต่อ คุณต้องเข้าใจว่าการโจมตี DOS/DDOS เป็นเพียงการโจมตีทางไซเบอร์ประเภทหนึ่ง
นอกเหนือจากการป้องกัน DOS/DDOS แล้ว เรายังมีรายการคุณสมบัติดังต่อไปนี้:
- ไฟร์วอลล์แอปพลิเคชัน
- การป้องกันภัยคุกคาม (แอนตี้ไวรัส แอนตี้สปายแวร์ และช่องโหว่)
- การกรอง URL
- การกรองข้อมูล (การกรองเนื้อหา)
- การบล็อกไฟล์ (การบล็อกประเภทไฟล์)
ขึ้นอยู่กับคุณที่จะตัดสินใจว่าคุณต้องการอะไรจากรายการนี้
จะยังคง
ที่มา: will.com