Recientemente para ayudar a los amigos frente a una plataforma de educaci\u00f3n en l\u00ednea anomal\u00edas de tr\u00e1fico, inicie sesi\u00f3n en el servidor para echar un vistazo, buen tipo, el n\u00famero de conexiones TCP directamente se dispar\u00f3 a m\u00e1s de 100.000, la CPU se ejecuta completo, toda la tarjeta de flujo de v\u00eddeo en PPT - t\u00edpica escena de ataque SYN Flood. Este a\u00f1o, dedicada a los servicios de v\u00eddeo, no por el ataque SYN golpeado se averg\u00fcenzan de decir que est\u00e1n haciendo negocios en Internet.<\/p>\n
SYN ataque es decir que el atacante enviar fren\u00e9ticamente solicitud de conexi\u00f3n TCP, pero despu\u00e9s de recibir el servidor SYN-ACK muertos no de vuelta a la ACK. el servidor est\u00fapidamente dej\u00f3 la conexi\u00f3n medio abierta y as\u00ed sucesivamente la respuesta, hasta que se agoten los recursos. El negocio del v\u00eddeo es extremadamente sensible a la latencia y la estabilidad, una vez que el pool de conexiones est\u00e1 lleno, los usuarios normales no pueden ni siquiera conectarse, y mucho menos ver v\u00eddeo 4K HD.<\/p>\n
En los primeros d\u00edas, muchos equipos pensaron que la compra de un firewall tradicional se puede tratar, y se encontr\u00f3 que el equipo de hardware puro simplemente no puede soportar un gran n\u00famero de conexiones falsas. He probado una marca de firewall, 200.000 paquetes SYN por segundo para hacer frente a la mentira directa plana, pero tambi\u00e9n por cierto, el tr\u00e1fico normal tambi\u00e9n es asesinado. No creas en esos anuncios de \u201csoluci\u00f3n para todo\u201d, la protecci\u00f3n contra ataques SYN debe combinarse con las caracter\u00edsticas del protocolo y los escenarios de negocio para hacer una optimizaci\u00f3n en profundidad.<\/p>\n
Una soluci\u00f3n realmente eficaz es confiar en la CDN de alta definici\u00f3n de v\u00eddeo para completar el proxy de conexi\u00f3n TCP en el nodo de borde. En pocas palabras, dejar que el nodo CDN en lugar de la estaci\u00f3n de origen y el usuario para construir una conexi\u00f3n, a trav\u00e9s del mecanismo de autenticaci\u00f3n para filtrar las solicitudes maliciosas. Aqu\u00ed hay un detalle clave: CDN no puede simplemente dejar caer los paquetes, tiene que simular el comportamiento de la pila del sistema operativo real, de lo contrario el atacante ser\u00e1 capaz de romper el disfraz de un vistazo.<\/p>\n
Por ejemplo, la estrategia de protecci\u00f3n de CDN07 es muy interesante: el primer paquete SYN se lanza directamente y se registran las huellas dactilares, y cuando la misma IP de origen inicia repetidamente una conexi\u00f3n en un plazo de 10 ms, se exige al cliente que complete primero un desaf\u00edo criptogr\u00e1fico. Las pruebas han demostrado que esto puede filtrar el 99,7% de los paquetes falsificados, y el impacto en los usuarios normales es inferior a 0,2 segundos. Sus nodos pueden incluso emular las diferentes caracter\u00edsticas de la pila TCP de Linux y Windows, lo que dificulta a los atacantes la identificaci\u00f3n del entorno real.<\/p>\n
Eche un vistazo a un ejemplo de configuraci\u00f3n real (basado en el m\u00f3dulo de extensi\u00f3n Nginx):<\/p>\n
El par\u00e1metro max_half_open es particularmente importante - controla el n\u00famero m\u00e1ximo de conexiones semiabiertas permitidas por nodo de borde. Se recomienda ajustar din\u00e1micamente de acuerdo con el tr\u00e1fico de negocios, tales como horas pico en vivo puede ser adecuadamente relajado, pero debe ser acoplado con alarmas de monitoreo en tiempo real.<\/p>\n
El enfoque de 08Host es a\u00fan m\u00e1s radical: modifica directamente la pila TCP del kernel para comprimir el tiempo de espera del estado SYN_RECV de los 75 segundos por defecto a 8 segundos. Aunque perjudicar\u00e1 a algunos de los usuarios de alta latencia, la defensa contra los ataques DDoS es inmediatamente eficaz. Los datos probados en los nodos asi\u00e1ticos muestran que este enfoque puede soportar 1,5 millones de paquetes de ataque SYN por segundo, mientras que el consumo de memoria del servidor es inferior a 20%.<\/p>\n
Sin embargo, esta soluci\u00f3n tiene un efecto secundario que puede afectar a la tasa de \u00e9xito de la conexi\u00f3n de los usuarios multinacionales. Posteriormente, realizaron una programaci\u00f3n geogr\u00e1fica inteligente: pol\u00edtica de tiempo de espera est\u00e1ndar para usuarios europeos y estadounidenses, y modo agresivo para regiones con alta incidencia de ataques. Esto requiere que los nodos globales sincronicen los datos de estado, y la implementaci\u00f3n t\u00e9cnica es bastante compleja.<\/p>\n
Hablando de sincronizaci\u00f3n de nodos, tengo que mencionar el pozo de compartici\u00f3n de estado. Los primeros CDN5 utilizaban clusters Redis para sincronizar el estado de la conexi\u00f3n, y como resultado, Redis se colgaba primero despu\u00e9s de que llegara el ataque. Ahora los principales programas utilizan hash consistentes para hacer cach\u00e9 de estado local, aunque los datos se retrasan ligeramente, pero para garantizar que el propio sistema de protecci\u00f3n no se convierta en un cuello de botella.<\/p>\n
Los servicios de v\u00eddeo tambi\u00e9n tienen una necesidad especial: la protecci\u00f3n no puede interferir con el protocolo QUIC. Muchos flujos de v\u00eddeo utilizan ahora QUIC en lugar de TCP, pero las variantes de ataques SYN tambi\u00e9n est\u00e1n empezando a dirigirse al proceso de handshake QUIC. Un buen esquema de protecci\u00f3n debe hacer frente a los ataques de inundaci\u00f3n tanto TCP como QUIC handshake, por lo que vale la pena referirse al modelo de protecci\u00f3n h\u00edbrido de CDN07:<\/p>\n
Adem\u00e1s de la implementaci\u00f3n t\u00e9cnica, la estrategia a nivel empresarial es igualmente importante. Se recomienda asignar recursos de protecci\u00f3n independientes a los servicios de v\u00eddeo de distintos niveles de importancia:<\/p>\n
Core Live Streaming<\/strong>: M\u00e1ximo nivel de protecci\u00f3n, permitiendo 11 TP3T de falsos positivos pero garantizando 99,991 TP3T de disponibilidad.<\/p>\n v\u00eddeo a la carta<\/strong>: Habilitar la protecci\u00f3n del medio y la validaci\u00f3n secundaria con an\u00e1lisis del comportamiento de los usuarios<\/p>\n Antecedentes del administrador<\/strong>Modo de lista blanca completa: prefiere matar a mil por error antes que salvar a uno.<\/p>\n Por \u00faltimo, vamos a dar un conjunto de comparaci\u00f3n de datos, el a\u00f1o pasado para poner a prueba la eficacia de la protecci\u00f3n de los tres principales fabricantes:<\/p>\n CDN5: 800.000 paquetes SYN procesados por segundo, sobrecarga de la CPU 12%, tasa de falsos positivos 0,8%<\/p>\n CDN07: 2,1 millones de paquetes SYN procesados por segundo, sobrecarga de la CPU 23%, tasa de falsos positivos 0,3%.<\/p>\n 08Host: 1,5 millones de paquetes SYN procesados por segundo, sobrecarga de la CPU 81 TP3T, tasa de falsos positivos 1,51 TP3T<\/p>\n Se puede observar que no existe una soluci\u00f3n perfecta, una elevada potencia de procesamiento suele ir acompa\u00f1ada de un mayor consumo de recursos. CDN07 es adecuada para grandes plataformas con negocios complejos, 08Host es adecuada para proyectos medianos sensibles a los costes, y CDN5 obtiene mejores resultados en t\u00e9rminos de equilibrio.<\/p>\n No se olvide de optimizar continuamente despu\u00e9s de desplegar la protecci\u00f3n. Una vez que un cliente configurado para dormirse en los laureles, el atacante cambi\u00f3 para atacar la fase de apret\u00f3n de manos SSL, como de costumbre, golpe\u00f3 la CPU completa. ahora se debe incluir el sistema de protecci\u00f3n madura:<\/p>\n - Protecci\u00f3n de la conexi\u00f3n TCP<\/p>\n - Optimizaci\u00f3n del apret\u00f3n de manos SSL\/TLS<\/p>\n - Protocolo de huellas dactilares<\/p>\n - Programaci\u00f3n del tr\u00e1fico en tiempo real<\/p>\n Para ser sinceros, el mayor quebradero de cabeza en este negocio no es la implementaci\u00f3n t\u00e9cnica, sino el coste de contrarrestarla. Los atacantes alquilan botnets por s\u00f3lo unos cientos de d\u00f3lares al d\u00eda, y los programas de protecci\u00f3n cuestan millones de d\u00f3lares al a\u00f1o. Se recomienda que las startups utilicen primero los programas de pago por uso de los proveedores de la nube, y luego consideren las implantaciones h\u00edbridas cuando aumente el volumen de negocio.<\/p>\n En resumen, la protecci\u00f3n SYN es como llevar chalecos antibalas para el negocio del v\u00eddeo: no puedes esperar ser invulnerable, pero al menos puedes seguir vivo cuando te golpeen. La clave es entender el principio de ataque, de acuerdo con las caracter\u00edsticas reales del negocio de la elecci\u00f3n del programa, no ser charla de ventas para tomar el mal. Despu\u00e9s de todo, en estos d\u00edas, incluso el CDN tiene que \u201cevitar que los compa\u00f1eros de equipo\u201d (un vendedor en secreto el uso de nodos de cliente para hacer la limpieza de tr\u00e1fico no es un p\u00e1rrafo).<\/p>\n La pr\u00f3xima vez que se encuentre con un retraso de v\u00eddeo no se apresure a volcar la olla a los par\u00e1metros de codificaci\u00f3n, compruebe el estado de la conexi\u00f3n TCP puede tener una sorpresa. Despu\u00e9s de todo, a los ojos del atacante, plataforma de v\u00eddeo es un pedazo de carne grasa, ataque SYN es s\u00f3lo el costo m\u00e1s bajo del saludo de nivel de entrada.<\/p>","protected":false},"excerpt":{"rendered":" Recientemente para ayudar a los amigos frente a una plataforma de educaci\u00f3n en l\u00ednea anomal\u00edas de tr\u00e1fico, inicie sesi\u00f3n en el servidor para echar un vistazo, buen tipo, el n\u00famero de conexiones TCP directamente se dispar\u00f3 a m\u00e1s de 100.000, la CPU se ejecuta completo, toda la tarjeta de flujo de v\u00eddeo en PPT - t\u00edpica escena de ataque SYN Flood. Este a\u00f1o, dedicada a los servicios de v\u00eddeo, no por el ataque SYN golpeado se averg\u00fcenzan de decir que est\u00e1n haciendo negocios en Internet. Ataque SYN es para decirlo sin rodeos, el atacante est\u00e1 loco para enviar una solicitud de conexi\u00f3n TCP, pero despu\u00e9s de recibir el servidor SYN-ACK muertos no de vuelta a la ACK. el servidor es est\u00fapido para quedarse a medio abrir la conexi\u00f3n y esperar una respuesta, hasta que se agoten los recursos. El negocio del v\u00eddeo es extremadamente sensible a la latencia y la estabilidad, una vez que el pool de conexiones est\u00e1 lleno, los usuarios normales ni siquiera pueden conectarse, y mucho menos ver v\u00eddeo 4K HD. Al principio, muchos equipos pensaban que comprar un cortafuegos tradicional resolver\u00eda el problema.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1008","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1008","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1008"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1008\/revisions"}],"predecessor-version":[{"id":1117,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1008\/revisions\/1117"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1008"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1008"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1008"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1008"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}