Cualquiera que haya visto el t\u00edtulo y haya hecho clic probablemente haya sufrido un ataque UDP. Todav\u00eda recuerdo la primera vez que mi empresa se vio paralizada por una inundaci\u00f3n UDP a altas horas de la noche, el mensaje de texto de alarma zumb\u00f3 como un amuleto de la muerte, la curva de tr\u00e1fico se dispar\u00f3 directamente hacia un pico escarpado de la monta\u00f1a... y luego estall\u00f3, todos los servicios fuera de l\u00ednea.<\/p>\n
Hoy en d\u00eda, el coste de un ataque es terriblemente bajo. S\u00f3lo cualquier script boy a gastar decenas de d\u00f3lares para alquilar una red de bots, puede utilizar el torrente UDP para lavar su negocio en pedazos. M\u00e1s repugnante es el ataque de amplificaci\u00f3n de reflexi\u00f3n, el atacante con un peque\u00f1o paquete roto puede husmear cientos de veces el tr\u00e1fico de rebote, no puede evitar que la causa ra\u00edz es: UDP este protocolo es inherentemente \u201cdesconectado\u201d, no es como TCP tiene un apret\u00f3n de manos tres veces como un b\u00fafer, el paquete tendr\u00e1 que seguir, independientemente de si usted es malicioso o no.<\/p>\n
\u00bfPor qu\u00e9 muchos dispositivos tradicionales de alta defensa caen en UDP? Porque su dise\u00f1o sigue anclado en la era TCP. Confiando en las cookies SYN, UDP no tiene ning\u00fan tipo de handshake. UDP no tiene estado. He probado un cortafuegos tradicional, abrir la protecci\u00f3n UDP directamente despu\u00e9s de la llamada normal de audio y v\u00eddeo de retraso a m\u00e1s de 500ms - esto ya no es una protecci\u00f3n, es una auto-derrota.<\/p>\n
La soluci\u00f3n que realmente puede luchar tiene que partir de las caracter\u00edsticas del protocolo. El negocio social es inseparable del audio y el v\u00eddeo en tiempo real, el chat de voz, el intercambio de localizaci\u00f3n en tiempo real, todos ellos son hijos propios de UDP. No se puede matar a todos con un solo palo, hay que aprender a \u201cdesarmar con precisi\u00f3n\u201d.<\/p>\n
En primer lugar, me gustar\u00eda decir una lecci\u00f3n lacrim\u00f3gena: no creo que los vendedores que se jact\u00f3 de \u201ctotalmente automatizado segundo para resolver el ataque\u201d, los tipos de ataque UDP son extra\u00f1as, hay reflexi\u00f3n DNS, NTP amplificaci\u00f3n, CLDAP reflexi\u00f3n, as\u00ed como puertos personalizados Inundar el tr\u00e1fico, no hay algoritmo que se puede comer en todos los escenarios. He visto el caso m\u00e1s lamentable es la \u201climpieza inteligente\u201d de un proveedor de paquetes de latidos del coraz\u00f3n como el tr\u00e1fico de ataque a la mecha, lo que lleva directamente a los usuarios en l\u00ednea a abandonar el colectivo.<\/p>\n
La limpieza fiable del tr\u00e1fico UDP, tiene que seguir tres pasos: aprendizaje de la huella digital, reglas din\u00e1micas, separaci\u00f3n de t\u00faneles. En primer lugar, el aprendizaje de la huella digital, un buen CDN de alta defensa social aprender\u00e1 las caracter\u00edsticas del tr\u00e1fico UDP de forma aut\u00f3noma cuando el negocio sea normal. Por ejemplo, el tama\u00f1o de los paquetes de voz suele estar entre 120-200 bytes, la frecuencia de env\u00edo de paquetes por segundo no supera los 50, y el puerto de destino se concentra en un rango determinado. Estos datos formar\u00e1n una huella digital del tr\u00e1fico, y en cuanto se desv\u00ede de la l\u00ednea de base se activar\u00e1 inmediatamente la limpieza.<\/p>\n
Las reglas din\u00e1micas son las herramientas del mundo real. Por ejemplo, el enfoque de CDN5 es complicado: en lugar de simplemente descartar paquetes, insertan un mecanismo de desaf\u00edo para el tr\u00e1fico sospechoso de ataque. Los paquetes UDP normales de los clientes se marcar\u00e1n y se les exigir\u00e1 que lleven una respuesta Token espec\u00edfica, la botnet normalmente no puede cumplir con la respuesta, directamente expulsada de la cola. El impacto medido de esta soluci\u00f3n en la latencia comercial es inferior a 3 ms, casi sin sentido.<\/p>\n
En cuanto a la separaci\u00f3n de t\u00faneles, es un truco a\u00fan m\u00e1s dif\u00edcil. Segregar f\u00edsicamente el tr\u00e1fico normal y el tr\u00e1fico de ataque a diferentes enlaces para su procesamiento. Como la soluci\u00f3n de CDN07 es asignar t\u00faneles de limpieza independientes a cada cliente, y el tr\u00e1fico de ataque se desviar\u00e1 al cl\u00faster de nodos de limpieza distribuidos, utilizando FPGA NICs para hacer el filtrado a velocidad de cable. He reproducido 200Gbps UDP Flood durante la prueba de presi\u00f3n, y el retardo del tr\u00e1fico de voz normal s\u00f3lo aument\u00f3 en 8ms, lo que es realmente un rendimiento superior.<\/p>\n
En cuanto a la configuraci\u00f3n, en realidad no tiene mucho misterio. Tomemos como ejemplo el m\u00f3dulo de streaming de Nginx, la clave est\u00e1 en controlar la tasa de env\u00edo de paquetes y conexiones concurrentes:<\/p>\n
Pero el verdadero asesino est\u00e1 en la optimizaci\u00f3n de la pila; el tama\u00f1o de b\u00fafer UDP por defecto de Linux simplemente no puede manejar el diluvio y tiene que ser ajustado manualmente:<\/p>\n
08Host en esta pieza para hacer m\u00e1s absoluta, cambiaron directamente el n\u00facleo del algoritmo de programaci\u00f3n de procesamiento de paquetes UDP, el tr\u00e1fico de negocios y el tr\u00e1fico sospechoso de ataque en el procesamiento de diferentes n\u00facleos de CPU, para evitar un solo n\u00facleo se rompe. Probado la misma configuraci\u00f3n de hardware, su eficiencia de limpieza es mayor que el programa est\u00e1ndar 40% o m\u00e1s.<\/p>\n
Hablando de eso, tengo que escupir una frase: algunos vendedores soplan lo que la protecci\u00f3n AI, el resultado es que la capa inferior sigue siendo iptables con unas pocas reglas de frecuencia. Realmente \u00fatil es siempre los detalles apilados fuera de la experiencia de ingenier\u00eda. Por ejemplo, \u00bfc\u00f3mo prevenir los ataques de reflexi\u00f3n DNS? Los nodos de borde tienen que responder a las solicitudes de consulta recursiva, en lugar de devolver el tr\u00e1fico a la estaci\u00f3n de origen. m\u00f3dulo de protecci\u00f3n de DNS de cdn5 almacenar\u00e1 en cach\u00e9 directamente los registros autoritativos, las consultas externas simplemente no puede golpear la IP de la estaci\u00f3n de origen.<\/p>\n
Tambi\u00e9n hay ataques UDP lentos m\u00e1s insidiosos, que env\u00edan s\u00f3lo unos pocos paquetes por segundo pero ocupan recursos de la conexi\u00f3n durante mucho tiempo. Para hacer frente a esto, tienes que establecer un tiempo de espera de inactividad, pero si lo estableces demasiado corto, accidentalmente matar\u00e1s conexiones largas normales. Nuestra soluci\u00f3n es un tiempo de espera por capas: se permiten conexiones largas durante los primeros 5 minutos, despu\u00e9s de 5 minutos se requiere que el cliente env\u00ede un paquete de heartbeat cada 90 segundos, y las que no tienen heartbeat se limpian autom\u00e1ticamente. Este par\u00e1metro se ajust\u00f3 no menos de 20 veces antes de encontrar el equilibrio.<\/p>\n
Por \u00faltimo, me gustar\u00eda hablar de un caso real. El a\u00f1o pasado, una aplicaci\u00f3n social fue atacada por un ataque de reflexi\u00f3n CLDAP, el tr\u00e1fico de ataque alcanz\u00f3 300 Gbps, en ese momento, se utilizaron tres CDNs a su vez, y s\u00f3lo uno de ellos fue capaz de llevarlo. La diferencia clave es que hicieron un reconocimiento de la profundidad del protocolo: la longitud normal del paquete CLDAP est\u00e1 fijada en 48 bytes, la longitud del paquete de ataque llega a m\u00e1s de 1000 bytes. A trav\u00e9s de un simple filtrado de longitud cortaron directamente el tr\u00e1fico de ataque 90%, no hay necesidad de seguir el complejo algoritmo.<\/p>\n
Como ve, no existe una soluci\u00f3n milagrosa para prevenir los ataques UDP. Hay que combinar las caracter\u00edsticas del protocolo, los escenarios empresariales y las capas de defensa de la infraestructura. Una buena CDN de alta defensa social deber\u00eda ser como un m\u00e9dico de urgencias experimentado: capaz de realizar r\u00e1pidamente el triaje, el tratamiento sencillo de enfermedades leves, el aislamiento y el tratamiento de enfermedades graves, y nunca retrasar las operaciones empresariales normales.<\/p>\n
Cuando elijas un proveedor de servicios, c\u00e9ntrate en tres puntos: enlaces de limpieza con o sin aislamiento f\u00edsico, si la base de reglas se puede personalizar y si hay optimizaci\u00f3n a nivel de protocolo. Los que s\u00f3lo venden proveedores de ampliaci\u00f3n de ancho de banda, tarde o temprano te tiran a la cuneta. Al fin y al cabo, hoy en d\u00eda, incluso las CDN tienen que \u201cprevenir a los compa\u00f1eros de equipo\u201d: parte del tr\u00e1fico de ataque procede simplemente de nodos pirateados por amigos.<\/p>\n
En cuanto a la construcci\u00f3n de su propia protecci\u00f3n o el uso de la nube? Mi consejo es muy directo: a menos que el equipo tiene las capacidades de desarrollo de la pila del kernel, o honestamente en busca de proveedores profesionales.protecci\u00f3n UDP es un pozo sin fondo, s\u00f3lo para luchar contra el nuevo ataque de reflexi\u00f3n es suficiente para apoyar a un equipo de seguridad. Actualmente probado, CDN07 en la escena del juego de voz violencia rendimiento, 08Host adecuado para la transmisi\u00f3n en vivo a gran escala, CDN5 API de puerta de enlace a la Internet de las Cosas protocolo de apoyo es el mejor.<\/p>\n
Al fin y al cabo, la naturaleza de la protecci\u00f3n es un juego de costes y beneficios. Lo que compras no es ancho de banda, sino la experiencia de otra persona que ha tapado el agujero. Al fin y al cabo, cuando suena la alarma a las 3 de la ma\u00f1ana, seguro que no quieres quedarte solo con una inundaci\u00f3n de agua.<\/p>","protected":false},"excerpt":{"rendered":"
Cualquiera que haya visto el t\u00edtulo y haya hecho clic probablemente haya recibido una paliza de un ataque UDP. Todav\u00eda recuerdo la primera vez que mi empresa se vio paralizada por una inundaci\u00f3n UDP a altas horas de la noche, el mensaje de texto de alarma zumb\u00f3 como un amuleto de la muerte, la curva de tr\u00e1fico se elev\u00f3 directamente a un pico escarpado de la monta\u00f1a - y luego estall\u00f3, todos los servicios fuera de l\u00ednea. Hoy en d\u00eda, el coste de un ataque es terriblemente bajo. Cualquier script kiddie puede gastarse decenas de d\u00f3lares en alquilar una botnet, y luego puede usar el torrente UDP para hacer pedazos su negocio. M\u00e1s repugnante es el ataque de amplificaci\u00f3n de reflexi\u00f3n, el atacante con un peque\u00f1o paquete roto puede husmear cientos de veces el tr\u00e1fico de rebote, no se puede evitar que la causa ra\u00edz es: UDP este protocolo nace \u201csin conexi\u00f3n\u201d, no es como TCP tiene un apret\u00f3n de manos tres veces como un b\u00fafer, para llegar al paquete tendr\u00e1 que ser seguido, independientemente de si usted no es malicioso. Una gran cantidad de equipos tradicionales de alta defensa por qu\u00e9<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-979","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=979"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/979\/revisions"}],"predecessor-version":[{"id":1146,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/979\/revisions\/1146"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=979"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}