¡A las 3 de esa mañana, mi teléfono móvil de repente vibró como un loco - el jefe del departamento de negocios me llamó directamente, su voz cambió: "El sitio web oficial y los servicios básicos están todos atascados, y las quejas de los usuarios han explotado! Al instante me levanté de la cama, incluso las zapatillas no pueden usar para correr a la computadora, conexión SSH para ver, buen chico, la tarjeta de red del servidor está directamente lleno, el tráfico entrante UDP como un perro rabioso se disparó a 4Gbps. esto es claramente un típico ataque de inundación UDP, y no es una pequeña pelea.
UDP Flood esta cosa, en la familia de ataques DDoS es definitivamente un "trabajo sucio profesional. No es como SYN Flood, pero también un poco de "contenido técnico", puramente por fuerza bruta. El atacante utiliza la naturaleza sin conexión del protocolo UDP para falsificar un gran número de IPs de origen para enviar paquetes basura al servidor objetivo. Como el servidor intenta procesar estas peticiones inválidas, sus recursos se agotan rápidamente y las peticiones normales de los usuarios no pueden entrar. Lo que es aún más repugnante es que los ataques de amplificación de reflexión son ahora populares, como NTP, DNS, reflexión Memcached, el atacante puede husmear cientos de gigabytes de tráfico con una pequeña pipa de agua, lo que es muy rentable.
¿Por qué los cortafuegos tradicionales suelen dar un tirón de orejas ante este tipo de ataques? He descubierto que los cortafuegos de hardware en los que confían muchas organizaciones se bloquean casi instantáneamente cuando se enfrentan a inundaciones UDP de más de 1 Gbps. Su diseño se centra en la detección de estado, pero el propio UDP no tiene estado, por lo que el cortafuegos tiene que consumir mucha CPU y memoria para intentar establecer una "pseudo-sesión" y, en última instancia, se ve arrastrado a la muerte en primer lugar. Por eso la gente confía cada vez más en las CDN de alta definición para soportar la carga, dirigiendo el tráfico a centros de limpieza distribuidos por todo el mundo, lejos de sus propios sitios de origen.
Alta defensa CDN UDP Flood prevención, el núcleo de los dos golpes: la limpieza de tráfico y filtrado de puertos. Pero estas dos palabras suenan simples, detrás del agua es muy profunda. El nivel de aplicación de los diferentes proveedores, que es realmente diferente.
Empecemos por la limpieza del tráfico. No se trata simplemente de "venir todos los que puedas y perder todos los que puedas". Un centro de limpieza de calidad tiene una enorme capacidad de aprendizaje de la línea de base del tráfico justo en la entrada. Mediante el análisis en tiempo real, puede determinar con precisión en 3-5 segundos qué es tráfico empresarial normal (como voz de juegos, videoconferencias) y qué es inundación maliciosa. Por ejemplo, la red de limpieza global de CDN5, los he visto personalmente en un ataque de reflexión NTP de más de 300Gbps, puede completarse en 10 segundos de tracción y limpieza, y el tráfico final a la estación de origen es casi cero.
Su estrategia de limpieza es por capas. La primera capa es el cribado grueso: se basa directamente en el protocolo BGP para atraer dinámicamente el tráfico sospechoso de ataque al centro de limpieza distribuido. La segunda capa es el análisis de protocolos: análisis en profundidad del contenido de los paquetes UDP. Por ejemplo, en un paquete de consulta DNS, la longitud y el contenido del paquete normal tienen un patrón específico, mientras que el paquete de ataque suele ser confuso o estar lleno de cargas útiles sobredimensionadas. La tercera capa es la limitación de velocidad: el número de paquetes UDP por unidad de tiempo de una IP de origen o un puerto de destino específicos se controla mediante un umbral dinámico. Con esta combinación, se filtra la mayor parte del tráfico ruidoso.
Otra empresa digna de mención es CDN07, cuya especialidad es el "modelo de aprendizaje inteligente". En lugar de limitarse a establecer umbrales estáticos, aprenden continuamente el modelo de tráfico empresarial de cada cliente mediante modelos de aprendizaje automático. Por ejemplo, si su negocio son los dispositivos IoT que envían datos, suele tratarse de paquetes pequeños, baja frecuencia y conexiones largas. En cuanto haya tráfico UDP de alta frecuencia y paquetes grandes, el modelo lo marcará inmediatamente como anomalía, lo que es mucho más sensible que establecer reglas manualmente. Tras la migración de uno de mis clientes a CDN07, la tasa de falsos positivos se redujo prácticamente a cero.
La limpieza del tráfico no es suficiente, el filtrado de puertos es otra línea clave de defensa. Su concepto es extremadamente simple: sólo liberar los puertos que son necesarios para el negocio, y matar a todos los demás. Sin embargo, en realidad, muchas operaciones y mantenimiento por miedo a los problemas, directamente en la alta defensa CDN UDP rango de puertos establecido en 0:65535 (todos abiertos), lo que equivale a la puerta está completamente abierta, la presión de limpieza es enorme.
Lo correcto es extremar la convergencia de puertos. Por ejemplo, si su negocio son sólo servicios DNS, entonces abra sólo el puerto UDP 53. Si se trata de videoconferencias, puede que sólo abra algunos rangos de puertos para convenciones RTP/RTCP. Una CDN de alta defensa debe ofrecer una configuración flexible de las reglas de filtrado de puertos, admitir segmentos de puertos masivos y puertos individuales, y poder establecer diferentes políticas de limpieza para distintos puertos.
He aquí un ejemplo de una configuración que utilizo habitualmente, basada en la API de CDN5 (simulación):
No crea a esos vendedores que le dicen que "está bien abrir todos los puertos, somos muy buenos limpiando". Hoy en día, incluso las CDN tienen que "prevenir a los compañeros de equipo", y reducir proactivamente la superficie de ataque es el camino a seguir. Una vez ayudé a un cliente a hacer la optimización, sólo de toda la gama de puertos UDP abiertos se redujo a la empresa realmente necesita 3 puertos, el costo de ancho de banda de ataque del mes siguiente se redujo en 60%.
En cuanto al emergente 08Host, su estrategia es un poco diferente. Se centran principalmente en la tecnología "port stealth". Para los puertos UDP que no están abiertos al tráfico, directamente no responden a nivel del centro de limpieza, en lugar de recibirlos y luego dejarlos caer. De este modo, los atacantes ni siquiera pueden detectar la accesibilidad del puerto, y mucho menos lanzar un ataque eficaz. Esto resulta especialmente eficaz para reducir el ruido de fondo del tráfico.
Por supuesto, ninguna técnica por sí sola es una bala de plata. En la práctica, tiene que ser una vinculación de políticas multicapa. Mi propio sistema de defensa suele ser: filtrado de puertos (capa 1) + comprobación del cumplimiento de protocolos (capa 2) + limitación de velocidad y huella digital dinámica (capa 3) + dilución global del tráfico Anycast (capa 4). Con esta capa de filtrado, lo que llega al origen ya es tráfico claro y normal.
Al final, no puedo evitar escupir una frase: muchas empresas siempre esperan a quedarse paralizadas antes de pensar en comprar alta defensa. De hecho, por lo general deben hacer un buen trabajo de base, como restricciones estrictas en los puertos UDP, elegir la fuerza de los grandes proveedores de limpieza (no ser codicioso de barato), y regularmente hacer ejercicios de ataque y defensa.UDP Flood no va a desaparecer, sólo se hará más y más feroz. Pero siempre que comprendas su mecanismo y utilices las capacidades de limpieza y filtrado de la CDN, podrás pasar de la "pasividad para luchar" a la "defensa activa".
La seguridad es esencialmente un juego de costes. Los atacantes no tienen recursos ilimitados. Cuando subes el coste del ataque lo suficiente, naturalmente irán a buscar un caqui más blando que pellizcar. Y tener un CDN de alta defensa correctamente configurado es una de las cartas más difíciles de su juego.
