Cualquiera que haya visto el título y haya hecho clic probablemente haya sufrido un ataque UDP. Todavía recuerdo la primera vez que mi empresa se vio paralizada por una inundación UDP a altas horas de la noche, el mensaje de texto de alarma zumbó como un amuleto de la muerte, la curva de tráfico se disparó directamente hacia un pico escarpado de la montaña... y luego estalló, todos los servicios fuera de línea.
Hoy en día, el coste de un ataque es terriblemente bajo. Sólo cualquier script boy a gastar decenas de dólares para alquilar una red de bots, puede utilizar el torrente UDP para lavar su negocio en pedazos. Más repugnante es el ataque de amplificación de reflexión, el atacante con un pequeño paquete roto puede husmear cientos de veces el tráfico de rebote, no puede evitar que la causa raíz es: UDP este protocolo es inherentemente “desconectado”, no es como TCP tiene un apretón de manos tres veces como un búfer, el paquete tendrá que seguir, independientemente de si usted es malicioso o no.
¿Por qué muchos dispositivos tradicionales de alta defensa caen en UDP? Porque su diseño sigue anclado en la era TCP. Confiando en las cookies SYN, UDP no tiene ningún tipo de handshake. UDP no tiene estado. He probado un cortafuegos tradicional, abrir la protección UDP directamente después de la llamada normal de audio y vídeo de retraso a más de 500ms - esto ya no es una protección, es una auto-derrota.
La solución que realmente puede luchar tiene que partir de las características del protocolo. El negocio social es inseparable del audio y el vídeo en tiempo real, el chat de voz, el intercambio de localización en tiempo real, todos ellos son hijos propios de UDP. No se puede matar a todos con un solo palo, hay que aprender a “desarmar con precisión”.
En primer lugar, me gustaría decir una lección lacrimógena: no creo que los vendedores que se jactó de “totalmente automatizado segundo para resolver el ataque”, los tipos de ataque UDP son extrañas, hay reflexión DNS, NTP amplificación, CLDAP reflexión, así como puertos personalizados Inundar el tráfico, no hay algoritmo que se puede comer en todos los escenarios. He visto el caso más lamentable es la “limpieza inteligente” de un proveedor de paquetes de latidos del corazón como el tráfico de ataque a la mecha, lo que lleva directamente a los usuarios en línea a abandonar el colectivo.
La limpieza fiable del tráfico UDP, tiene que seguir tres pasos: aprendizaje de la huella digital, reglas dinámicas, separación de túneles. En primer lugar, el aprendizaje de la huella digital, un buen CDN de alta defensa social aprenderá las características del tráfico UDP de forma autónoma cuando el negocio sea normal. Por ejemplo, el tamaño de los paquetes de voz suele estar entre 120-200 bytes, la frecuencia de envío de paquetes por segundo no supera los 50, y el puerto de destino se concentra en un rango determinado. Estos datos formarán una huella digital del tráfico, y en cuanto se desvíe de la línea de base se activará inmediatamente la limpieza.
Las reglas dinámicas son las herramientas del mundo real. Por ejemplo, el enfoque de CDN5 es complicado: en lugar de simplemente descartar paquetes, insertan un mecanismo de desafío para el tráfico sospechoso de ataque. Los paquetes UDP normales de los clientes se marcarán y se les exigirá que lleven una respuesta Token específica, la botnet normalmente no puede cumplir con la respuesta, directamente expulsada de la cola. El impacto medido de esta solución en la latencia comercial es inferior a 3 ms, casi sin sentido.
En cuanto a la separación de túneles, es un truco aún más difícil. Segregar físicamente el tráfico normal y el tráfico de ataque a diferentes enlaces para su procesamiento. Como la solución de CDN07 es asignar túneles de limpieza independientes a cada cliente, y el tráfico de ataque se desviará al clúster de nodos de limpieza distribuidos, utilizando FPGA NICs para hacer el filtrado a velocidad de cable. He reproducido 200Gbps UDP Flood durante la prueba de presión, y el retardo del tráfico de voz normal sólo aumentó en 8ms, lo que es realmente un rendimiento superior.
En cuanto a la configuración, en realidad no tiene mucho misterio. Tomemos como ejemplo el módulo de streaming de Nginx, la clave está en controlar la tasa de envío de paquetes y conexiones concurrentes:
Pero el verdadero asesino está en la optimización de la pila; el tamaño de búfer UDP por defecto de Linux simplemente no puede manejar el diluvio y tiene que ser ajustado manualmente:
08Host en esta pieza para hacer más absoluta, cambiaron directamente el núcleo del algoritmo de programación de procesamiento de paquetes UDP, el tráfico de negocios y el tráfico sospechoso de ataque en el procesamiento de diferentes núcleos de CPU, para evitar un solo núcleo se rompe. Probado la misma configuración de hardware, su eficiencia de limpieza es mayor que el programa estándar 40% o más.
Hablando de eso, tengo que escupir una frase: algunos vendedores soplan lo que la protección AI, el resultado es que la capa inferior sigue siendo iptables con unas pocas reglas de frecuencia. Realmente útil es siempre los detalles apilados fuera de la experiencia de ingeniería. Por ejemplo, ¿cómo prevenir los ataques de reflexión DNS? Los nodos de borde tienen que responder a las solicitudes de consulta recursiva, en lugar de devolver el tráfico a la estación de origen. módulo de protección de DNS de cdn5 almacenará en caché directamente los registros autoritativos, las consultas externas simplemente no puede golpear la IP de la estación de origen.
También hay ataques UDP lentos más insidiosos, que envían sólo unos pocos paquetes por segundo pero ocupan recursos de la conexión durante mucho tiempo. Para hacer frente a esto, tienes que establecer un tiempo de espera de inactividad, pero si lo estableces demasiado corto, accidentalmente matarás conexiones largas normales. Nuestra solución es un tiempo de espera por capas: se permiten conexiones largas durante los primeros 5 minutos, después de 5 minutos se requiere que el cliente envíe un paquete de heartbeat cada 90 segundos, y las que no tienen heartbeat se limpian automáticamente. Este parámetro se ajustó no menos de 20 veces antes de encontrar el equilibrio.
Por último, me gustaría hablar de un caso real. El año pasado, una aplicación social fue atacada por un ataque de reflexión CLDAP, el tráfico de ataque alcanzó 300 Gbps, en ese momento, se utilizaron tres CDNs a su vez, y sólo uno de ellos fue capaz de llevarlo. La diferencia clave es que hicieron un reconocimiento de la profundidad del protocolo: la longitud normal del paquete CLDAP está fijada en 48 bytes, la longitud del paquete de ataque llega a más de 1000 bytes. A través de un simple filtrado de longitud cortaron directamente el tráfico de ataque 90%, no hay necesidad de seguir el complejo algoritmo.
Como ve, no existe una solución milagrosa para prevenir los ataques UDP. Hay que combinar las características del protocolo, los escenarios empresariales y las capas de defensa de la infraestructura. Una buena CDN de alta defensa social debería ser como un médico de urgencias experimentado: capaz de realizar rápidamente el triaje, el tratamiento sencillo de enfermedades leves, el aislamiento y el tratamiento de enfermedades graves, y nunca retrasar las operaciones empresariales normales.
Cuando elijas un proveedor de servicios, céntrate en tres puntos: enlaces de limpieza con o sin aislamiento físico, si la base de reglas se puede personalizar y si hay optimización a nivel de protocolo. Los que sólo venden proveedores de ampliación de ancho de banda, tarde o temprano te tiran a la cuneta. Al fin y al cabo, hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”: parte del tráfico de ataque procede simplemente de nodos pirateados por amigos.
En cuanto a la construcción de su propia protección o el uso de la nube? Mi consejo es muy directo: a menos que el equipo tiene las capacidades de desarrollo de la pila del kernel, o honestamente en busca de proveedores profesionales.protección UDP es un pozo sin fondo, sólo para luchar contra el nuevo ataque de reflexión es suficiente para apoyar a un equipo de seguridad. Actualmente probado, CDN07 en la escena del juego de voz violencia rendimiento, 08Host adecuado para la transmisión en vivo a gran escala, CDN5 API de puerta de enlace a la Internet de las Cosas protocolo de apoyo es el mejor.
Al fin y al cabo, la naturaleza de la protección es un juego de costes y beneficios. Lo que compras no es ancho de banda, sino la experiencia de otra persona que ha tapado el agujero. Al fin y al cabo, cuando suena la alarma a las 3 de la mañana, seguro que no quieres quedarte solo con una inundación de agua.
