Cuando me hice cargo por primera vez de la operación y el mantenimiento del sitio web oficial de la empresa, ser despertado en mitad de la noche por mensajes de alarma era algo habitual. Una alerta de inactividad de color rojo sangre en la pantalla, no se puede iniciar sesión en el fondo, el negocio está completamente paralizado... no hace falta adivinarlo, es SYN Flood otra vez. Esta cosa es como un ejército de zombies en el mundo de la red, con la mitad de conexión apilar su servidor, pero también no dejan pruebas completas. Lo más lamentable es que los cortafuegos tradicionales a menudo por error matar a los usuarios reales, este lado del ataque no se detuvo, el otro lado del teléfono de quejas de los clientes ha sido reventado.
Más tarde, puse la corriente principal del mercado de alta defensa CDN se prueban una vez, encontró que puede prevenir SYN Flood clave para ver dos puntos: la precisión de detección de conexión TCP y el mecanismo de verificación de IP de origen. Algunos proveedores de soplar por las nubes, el encuentro real con los ataques de tráfico pesado directamente acostado, no tan bueno como su propio iptables difícil de llevar.
¿Dónde están las náuseas de SYN Flood? Se aprovecha de la falla de TCP tres veces handshake para enviar frenéticamente solicitudes de media conexión. El handshake normal requiere que el cliente envíe SYN, el servidor SYN-ACK, el cliente ACK, pero el atacante siempre se queda atascado en el segundo paso y no responde. Los recursos del servidor están ocupados por estas ”conexiones zombie”, los nuevos usuarios simplemente no pueden entrar. Lo que es aún mejor es que la IP de origen del ataque es todo falsificado, por lo que ni siquiera se puede encontrar dónde está el verdadero enemigo.
En los primeros años, apenas podíamos hacer frente a esto con el ajuste de parámetros del núcleo de Linux:
Pero esto sólo puede soportar el volumen de ataque de decenas de miles de paquetes por segundo, se encontró con más de 300Gbps DDoS simplemente para nada. Una vez después de ser penetrado me puse en cuclillas en la sala de servidores mientras se reinicia el servidor mientras maldiciendo, completamente entender que debe estar en el programa profesional.
La detección de conexiones TCP es el verdadero negocio para las CDN de alta defensaLa brecha algoritmo es celestial y terrenal. No mires a todos los llamados ”limpieza inteligente”, brecha algoritmo entre el cielo y la tierra. He probado el sistema de CDN07, que puede identificar las características anormales de paquetes SYN en 3 segundos:
Pero la más despiadada es la tecnología de simulación de pila de protocolos de 08Host: utilizan algoritmos adaptativos para ajustar dinámicamente el tamaño de la ventana TCP, el usuario real seguirá la especificación del protocolo para completar el apretón de manos, y la herramienta de ataque para enviar un paquete malformado directamente expuesto.
La verificación de la IP de origen es un poco arriesgada.El enfoque de CDN5 es más inteligente. Algunos proveedores bloquean de forma simple y brusca segmentos IP, a menudo también se mata por error la dirección de la puerta de enlace del operador. El enfoque de CDN5 es más inteligente: no inmediatamente después del descubrimiento de la interceptación IP sospechosa, sino que primero se desvía al entorno sandbox para completar la verificación del desafío:
La prueba real encontró que este conjunto de combinación puede filtrar 99% IP falsificada, el 1% restante a través de la biblioteca de huellas dactilares TCP cribado secundario. El año pasado, llevamos un SYN Flood de 5,8 millones de QPS en doble once, y la latencia de negocio sólo aumentó en 3 milisegundos.
La esencia de la protección SYN Flood es el juego de costes entre atacantes y defensores. El atacante alquila una red de bots para decenas de dólares por hora, y la CDN de alta defensa tiene que utilizar una enorme cantidad de ancho de banda y aritmética para llevarlo duro.08Host recientemente comprometido en la colaboración nodo blockchain, los nodos de borde globales juntos para verificar la autenticidad de la IP de origen, el costo del ataque a miles de dólares por hora, disuadir directamente a la gran mayoría de los hackers.
Por supuesto, no existe una solución perfecta. Una vez bloqueamos el segmento IP de una gran empresa porque los ordenadores de sus empleados estaban infectados con troyanos y se convertían en nodos zombis. Más tarde, añadimos un módulo de aprendizaje inteligente y adoptamos una política indulgente para los segmentos de IP de empresas multinacionales con el fin de reducir la tasa de falsos positivos mediante el análisis del comportamiento en lugar de limitarse al filtrado de IP.
Consejos sinceros para sus compañerosLo mejor es elegir una CDN de alta defensa y no fijarse sólo en las cifras de ancho de banda, sino centrarse en probar la compatibilidad de su pila TCP y la precisión de la verificación de la IP de origen. Lo mejor es que simules tú mismo el escenario de ataque: utiliza hping3 para enviar paquetes SYN con IPs de origen aleatorias y comprueba con qué frecuencia se activan las reglas de protección. No olvides comprobar si los servicios HTTPS se ven afectados, las páginas de desafío de algunos proveedores romperán el handshake SSL.
En estos días, incluso el CDN tiene que ”evitar que los compañeros de equipo” - una gran fábrica se jacta de ”protección AI” es en realidad líneas de conmutación manual de fondo, el ataque llegó a tientas para ajustar la ruta. Todavía tienen que preparar algunos proveedores de servicios más, utilizamos CDN5 para hacer la aceleración diaria, 08Host especializada en la realización de ataques de tráfico pesado, momentos críticos realmente puede salvar vidas.
Al fin y al cabo, la protección contra inundaciones SYN es un proceso de juego continuo. Los algoritmos que funcionan hoy pueden ser descifrados por los hackers el mes que viene, así que debemos mantener la tecnología iterativa. Recientemente hemos estado probando una arquitectura de confianza cero combinada con la aleatorización de puertos TCP, que convierte los puertos de escucha del servidor en objetivos móviles para que los atacantes ni siquiera puedan encontrar un apretón de manos. No es posible entrar en detalles sobre algunas de estas cosas, pero recuerde una cosa: piense siempre dos pasos por delante del atacante.
