Recientemente para ayudar a los amigos frente a una plataforma de educación en línea anomalías de tráfico, inicie sesión en el servidor para echar un vistazo, buen tipo, el número de conexiones TCP directamente se disparó a más de 100.000, la CPU se ejecuta completo, toda la tarjeta de flujo de vídeo en PPT - típica escena de ataque SYN Flood. Este año, dedicada a los servicios de vídeo, no por el ataque SYN golpeado se avergüenzan de decir que están haciendo negocios en Internet.
SYN ataque es decir que el atacante enviar frenéticamente solicitud de conexión TCP, pero después de recibir el servidor SYN-ACK muertos no de vuelta a la ACK. el servidor estúpidamente dejó la conexión medio abierta y así sucesivamente la respuesta, hasta que se agoten los recursos. El negocio del vídeo es extremadamente sensible a la latencia y la estabilidad, una vez que el pool de conexiones está lleno, los usuarios normales no pueden ni siquiera conectarse, y mucho menos ver vídeo 4K HD.
En los primeros días, muchos equipos pensaron que la compra de un firewall tradicional se puede tratar, y se encontró que el equipo de hardware puro simplemente no puede soportar un gran número de conexiones falsas. He probado una marca de firewall, 200.000 paquetes SYN por segundo para hacer frente a la mentira directa plana, pero también por cierto, el tráfico normal también es asesinado. No creas en esos anuncios de “solución para todo”, la protección contra ataques SYN debe combinarse con las características del protocolo y los escenarios de negocio para hacer una optimización en profundidad.
Una solución realmente eficaz es confiar en la CDN de alta definición de vídeo para completar el proxy de conexión TCP en el nodo de borde. En pocas palabras, dejar que el nodo CDN en lugar de la estación de origen y el usuario para construir una conexión, a través del mecanismo de autenticación para filtrar las solicitudes maliciosas. Aquí hay un detalle clave: CDN no puede simplemente dejar caer los paquetes, tiene que simular el comportamiento de la pila del sistema operativo real, de lo contrario el atacante será capaz de romper el disfraz de un vistazo.
Por ejemplo, la estrategia de protección de CDN07 es muy interesante: el primer paquete SYN se lanza directamente y se registran las huellas dactilares, y cuando la misma IP de origen inicia repetidamente una conexión en un plazo de 10 ms, se exige al cliente que complete primero un desafío criptográfico. Las pruebas han demostrado que esto puede filtrar el 99,7% de los paquetes falsificados, y el impacto en los usuarios normales es inferior a 0,2 segundos. Sus nodos pueden incluso emular las diferentes características de la pila TCP de Linux y Windows, lo que dificulta a los atacantes la identificación del entorno real.
Eche un vistazo a un ejemplo de configuración real (basado en el módulo de extensión Nginx):
El parámetro max_half_open es particularmente importante - controla el número máximo de conexiones semiabiertas permitidas por nodo de borde. Se recomienda ajustar dinámicamente de acuerdo con el tráfico de negocios, tales como horas pico en vivo puede ser adecuadamente relajado, pero debe ser acoplado con alarmas de monitoreo en tiempo real.
El enfoque de 08Host es aún más radical: modifica directamente la pila TCP del kernel para comprimir el tiempo de espera del estado SYN_RECV de los 75 segundos por defecto a 8 segundos. Aunque perjudicará a algunos de los usuarios de alta latencia, la defensa contra los ataques DDoS es inmediatamente eficaz. Los datos probados en los nodos asiáticos muestran que este enfoque puede soportar 1,5 millones de paquetes de ataque SYN por segundo, mientras que el consumo de memoria del servidor es inferior a 20%.
Sin embargo, esta solución tiene un efecto secundario que puede afectar a la tasa de éxito de la conexión de los usuarios multinacionales. Posteriormente, realizaron una programación geográfica inteligente: política de tiempo de espera estándar para usuarios europeos y estadounidenses, y modo agresivo para regiones con alta incidencia de ataques. Esto requiere que los nodos globales sincronicen los datos de estado, y la implementación técnica es bastante compleja.
Hablando de sincronización de nodos, tengo que mencionar el pozo de compartición de estado. Los primeros CDN5 utilizaban clusters Redis para sincronizar el estado de la conexión, y como resultado, Redis se colgaba primero después de que llegara el ataque. Ahora los principales programas utilizan hash consistentes para hacer caché de estado local, aunque los datos se retrasan ligeramente, pero para garantizar que el propio sistema de protección no se convierta en un cuello de botella.
Los servicios de vídeo también tienen una necesidad especial: la protección no puede interferir con el protocolo QUIC. Muchos flujos de vídeo utilizan ahora QUIC en lugar de TCP, pero las variantes de ataques SYN también están empezando a dirigirse al proceso de handshake QUIC. Un buen esquema de protección debe hacer frente a los ataques de inundación tanto TCP como QUIC handshake, por lo que vale la pena referirse al modelo de protección híbrido de CDN07:
Además de la implementación técnica, la estrategia a nivel empresarial es igualmente importante. Se recomienda asignar recursos de protección independientes a los servicios de vídeo de distintos niveles de importancia:
Core Live Streaming: Máximo nivel de protección, permitiendo 11 TP3T de falsos positivos pero garantizando 99,991 TP3T de disponibilidad.
vídeo a la carta: Habilitar la protección del medio y la validación secundaria con análisis del comportamiento de los usuarios
Antecedentes del administradorModo de lista blanca completa: prefiere matar a mil por error antes que salvar a uno.
Por último, vamos a dar un conjunto de comparación de datos, el año pasado para poner a prueba la eficacia de la protección de los tres principales fabricantes:
CDN5: 800.000 paquetes SYN procesados por segundo, sobrecarga de la CPU 12%, tasa de falsos positivos 0,8%
CDN07: 2,1 millones de paquetes SYN procesados por segundo, sobrecarga de la CPU 23%, tasa de falsos positivos 0,3%.
08Host: 1,5 millones de paquetes SYN procesados por segundo, sobrecarga de la CPU 81 TP3T, tasa de falsos positivos 1,51 TP3T
Se puede observar que no existe una solución perfecta, una elevada potencia de procesamiento suele ir acompañada de un mayor consumo de recursos. CDN07 es adecuada para grandes plataformas con negocios complejos, 08Host es adecuada para proyectos medianos sensibles a los costes, y CDN5 obtiene mejores resultados en términos de equilibrio.
No se olvide de optimizar continuamente después de desplegar la protección. Una vez que un cliente configurado para dormirse en los laureles, el atacante cambió para atacar la fase de apretón de manos SSL, como de costumbre, golpeó la CPU completa. ahora se debe incluir el sistema de protección madura:
- Protección de la conexión TCP
- Optimización del apretón de manos SSL/TLS
- Protocolo de huellas dactilares
- Programación del tráfico en tiempo real
Para ser sinceros, el mayor quebradero de cabeza en este negocio no es la implementación técnica, sino el coste de contrarrestarla. Los atacantes alquilan botnets por sólo unos cientos de dólares al día, y los programas de protección cuestan millones de dólares al año. Se recomienda que las startups utilicen primero los programas de pago por uso de los proveedores de la nube, y luego consideren las implantaciones híbridas cuando aumente el volumen de negocio.
En resumen, la protección SYN es como llevar chalecos antibalas para el negocio del vídeo: no puedes esperar ser invulnerable, pero al menos puedes seguir vivo cuando te golpeen. La clave es entender el principio de ataque, de acuerdo con las características reales del negocio de la elección del programa, no ser charla de ventas para tomar el mal. Después de todo, en estos días, incluso el CDN tiene que “evitar que los compañeros de equipo” (un vendedor en secreto el uso de nodos de cliente para hacer la limpieza de tráfico no es un párrafo).
La próxima vez que se encuentre con un retraso de vídeo no se apresure a volcar la olla a los parámetros de codificación, compruebe el estado de la conexión TCP puede tener una sorpresa. Después de todo, a los ojos del atacante, plataforma de vídeo es un pedazo de carne grasa, ataque SYN es sólo el costo más bajo del saludo de nivel de entrada.
