Tous ceux qui ont vu le titre et qui ont cliqu\u00e9 ont probablement \u00e9t\u00e9 victimes d'une attaque UDP. Je me souviens encore de la premi\u00e8re fois o\u00f9 mon entreprise a \u00e9t\u00e9 paralys\u00e9e par une inondation UDP tard dans la nuit, le message d'alarme a sonn\u00e9 comme un charme de mort, la courbe du trafic s'est transform\u00e9e en un pic montagneux abrupt - et puis tout s'est arr\u00eat\u00e9, tous les services \u00e9tant hors ligne.<\/p>\n
De nos jours, le co\u00fbt d'une attaque est terriblement bas. Il suffit \u00e0 n'importe quel script boy de d\u00e9penser des dizaines de dollars pour louer un botnet, vous pouvez utiliser le torrent UDP pour laver votre entreprise en morceaux. L'attaque par amplification de la r\u00e9flexion est encore plus d\u00e9go\u00fbtante : avec un petit paquet cass\u00e9, l'attaquant peut faire rebondir des centaines de fois le trafic, sans pouvoir emp\u00eacher la cause premi\u00e8re : UDP est un protocole intrins\u00e8quement \u201cnon connect\u00e9\u201d, ce n'est pas comme TCP qui dispose d'une poign\u00e9e de main \u00e0 trois reprises comme tampon, le paquet devra suivre, que vous soyez malveillant ou non.<\/p>\n
Pourquoi de nombreux dispositifs traditionnels de haute d\u00e9fense tombent-ils sous le coup de l'UDP ? Parce que leur conception est rest\u00e9e bloqu\u00e9e \u00e0 l'\u00e8re du TCP. En s'appuyant sur les cookies SYN, UDP n'a pas de poign\u00e9e de main du tout. UDP n'a pas d'\u00e9tat. J'ai test\u00e9 un pare-feu traditionnel qui ouvre la protection UDP directement apr\u00e8s le d\u00e9lai normal d'un appel audio ou vid\u00e9o, soit plus de 500 ms - il ne s'agit plus d'une protection, mais d'un \u00e9chec automatique.<\/p>\n
La solution qui peut vraiment lutter doit commencer par les caract\u00e9ristiques du protocole. Le social business est ins\u00e9parable de l'audio et de la vid\u00e9o en temps r\u00e9el, du chat vocal, du partage de localisation en temps r\u00e9el, qui sont tous des fils \u00e0 papa d'UDP. Vous ne pouvez pas les tuer tous avec un seul b\u00e2ton, vous devez apprendre \u00e0 \u201cd\u00e9sarmer avec pr\u00e9cision\u201d.<\/p>\n
Les types d'attaques UDP sont \u00e9tranges, il y a la r\u00e9flexion DNS, l'amplification NTP, la r\u00e9flexion CLDAP, ainsi que les ports personnalis\u00e9s Le trafic d'inondation, il n'y a pas d'algorithme qui puisse \u00eatre mang\u00e9 dans tous les sc\u00e9narios. J'ai vu le cas le plus pitoyable : les paquets de battements de c\u0153ur \u201cintelligents\u201d d'un fournisseur sont utilis\u00e9s comme trafic d'attaque vers le fusible, ce qui conduit directement les utilisateurs en ligne \u00e0 se retirer du collectif.<\/p>\n
Pour nettoyer le trafic UDP de mani\u00e8re fiable, il faut suivre trois \u00e9tapes : apprentissage de l'empreinte digitale, r\u00e8gles dynamiques, s\u00e9paration des tunnels. Tout d'abord, l'apprentissage de l'empreinte digitale : un bon CDN social de haute d\u00e9fense apprendra les caract\u00e9ristiques du trafic UDP de mani\u00e8re autonome lorsque l'activit\u00e9 est normale. Par exemple, la taille de vos paquets vocaux est g\u00e9n\u00e9ralement comprise entre 120 et 200 octets, la fr\u00e9quence d'envoi des paquets par seconde ne d\u00e9passe pas 50, et le port de destination est concentr\u00e9 dans une certaine plage. Ces donn\u00e9es formeront une empreinte du trafic et, d\u00e8s qu'elles s'\u00e9cartent de la ligne de base, elles d\u00e9clenchent imm\u00e9diatement le nettoyage.<\/p>\n
Les r\u00e8gles dynamiques sont les outils du monde r\u00e9el. Par exemple, l'approche de CDN5 est d\u00e9licate : au lieu de simplement laisser tomber les paquets, ils ins\u00e8rent un m\u00e9canisme de d\u00e9fi pour le trafic suspect\u00e9 d'\u00eatre une attaque. Les paquets UDP normaux des clients seront marqu\u00e9s et devront porter une r\u00e9ponse sp\u00e9cifique sous forme de jeton, le botnet ne pouvant g\u00e9n\u00e9ralement pas se conformer \u00e0 la r\u00e9ponse, il sera directement expuls\u00e9 de la file d'attente. L'impact mesur\u00e9 de cette solution sur le temps de latence des entreprises est inf\u00e9rieur \u00e0 3 ms, ce qui est presque insens\u00e9.<\/p>\n
Quant \u00e0 la s\u00e9paration des tunnels, il s'agit d'une astuce encore plus difficile \u00e0 mettre en \u0153uvre. Il s'agit de s\u00e9parer physiquement le trafic normal et le trafic d'attaque vers des liens diff\u00e9rents pour le traitement. Comme la solution de CDN07 qui consiste \u00e0 attribuer des tunnels de nettoyage ind\u00e9pendants \u00e0 chaque client, le trafic d'attaque sera d\u00e9tourn\u00e9 vers le cluster de n\u0153uds de nettoyage distribu\u00e9s, en utilisant des cartes FPGA pour effectuer le filtrage du d\u00e9bit de ligne. J'ai jou\u00e9 \u00e0 200Gbps UDP Flood pendant le test de pression, et le d\u00e9lai du trafic vocal normal n'a augment\u00e9 que de 8ms, ce qui est vraiment une performance de pointe.<\/p>\n
En ce qui concerne la configuration, il n'y a pas vraiment de myst\u00e8re. Prenons l'exemple du module de streaming de Nginx : il s'agit de contr\u00f4ler le taux d'envoi de paquets et de connexions simultan\u00e9es :<\/p>\n
La taille de la m\u00e9moire tampon UDP par d\u00e9faut de Linux ne peut tout simplement pas g\u00e9rer le d\u00e9luge et doit \u00eatre ajust\u00e9e manuellement :<\/p>\n
08Host a modifi\u00e9 directement le noyau de l'algorithme d'ordonnancement du traitement des paquets UDP, le trafic professionnel et le trafic suspect\u00e9 d'attaque \u00e9tant trait\u00e9s par des c\u0153urs de CPU diff\u00e9rents, afin d'\u00e9viter qu'un seul c\u0153ur ne soit cass\u00e9. Test\u00e9 avec la m\u00eame configuration mat\u00e9rielle, leur efficacit\u00e9 de nettoyage est sup\u00e9rieure au programme standard 40% ou plus.<\/p>\n
En parlant de cela, je dois cracher une phrase : certains vendeurs soufflent ce qu'est la protection AI, le r\u00e9sultat est que la couche inf\u00e9rieure est toujours iptables avec quelques r\u00e8gles de fr\u00e9quence. Ce qui est vraiment utile, c'est toujours l'empilement des d\u00e9tails issus de l'exp\u00e9rience des ing\u00e9nieurs. Par exemple, comment pr\u00e9venir les attaques par r\u00e9flexion DNS ? Les n\u0153uds de p\u00e9riph\u00e9rie doivent r\u00e9pondre aux requ\u00eates r\u00e9cursives, plut\u00f4t que de renvoyer le trafic vers la station source. Le module de protection DNS de cdn5 met directement en cache les enregistrements faisant autorit\u00e9, les requ\u00eates externes ne peuvent tout simplement pas atteindre l'IP de la station source.<\/p>\n
Il existe \u00e9galement des attaques UDP lentes plus insidieuses, qui n'envoient que quelques paquets par seconde mais occupent les ressources de la connexion pendant longtemps. Pour y rem\u00e9dier, vous devez d\u00e9finir un d\u00e9lai d'inactivit\u00e9, mais si vous le fixez trop court, vous tuerez accidentellement les connexions longues normales. Notre solution est une temporisation \u00e0 plusieurs niveaux : les connexions longues sont autoris\u00e9es pendant les 5 premi\u00e8res minutes, puis le client est tenu d'envoyer un paquet de battement de c\u0153ur toutes les 90 secondes, et les connexions sans battement de c\u0153ur sont automatiquement nettoy\u00e9es. Ce param\u00e8tre a \u00e9t\u00e9 ajust\u00e9 pas moins de 20 fois avant que nous ne trouvions un \u00e9quilibre.<\/p>\n
Enfin, j'aimerais vous parler d'un cas concret. L'ann\u00e9e derni\u00e8re, une application sociale a fait l'objet d'une attaque par r\u00e9flexion CLDAP, le trafic d'attaque a atteint 300 Gbps, \u00e0 ce moment-l\u00e0, trois CDN ont \u00e9t\u00e9 utilis\u00e9s \u00e0 tour de r\u00f4le, et seul l'un d'entre eux a \u00e9t\u00e9 en mesure de le transporter. La principale diff\u00e9rence r\u00e9side dans la reconnaissance de la profondeur du protocole : la longueur normale des paquets CLDAP est fix\u00e9e \u00e0 48 octets, alors que la longueur des paquets de l'attaque peut atteindre plus de 1 000 octets. Un simple filtrage de la longueur permet de couper directement le trafic d'attaque 90%, sans qu'il soit n\u00e9cessaire de recourir \u00e0 un algorithme complexe.<\/p>\n
Vous voyez donc qu'il n'existe pas de solution miracle pour pr\u00e9venir les attaques UDP. Il faut combiner les caract\u00e9ristiques du protocole, les sc\u00e9narios commerciaux et les couches de d\u00e9fense de l'infrastructure. Un bon CDN social \u00e0 haute d\u00e9fense devrait \u00eatre comme un m\u00e9decin urgentiste chevronn\u00e9 - capable de trier rapidement, de traiter simplement les maladies mineures, d'isoler et de traiter les maladies graves, et de ne jamais retarder les op\u00e9rations normales de l'entreprise.<\/p>\n
Lorsque vous choisissez un fournisseur de services, concentrez-vous sur trois points : les liaisons de nettoyage avec ou sans isolation physique, la possibilit\u00e9 de personnaliser la base de r\u00e8gles et l'optimisation au niveau du protocole. Ceux qui ne vendent que des fournisseurs d'expansion de la bande passante se retrouvent t\u00f4t ou tard dans le foss\u00e9. Apr\u00e8s tout, de nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d - une partie du trafic d'attaque provient simplement de n\u0153uds pirat\u00e9s par des amis.<\/p>\n
Quant \u00e0 la construction de votre propre protection ou \u00e0 l'utilisation d'une protection dans le nuage ? Mon conseil est tr\u00e8s direct : \u00e0 moins que l'\u00e9quipe n'ait les capacit\u00e9s de d\u00e9veloppement de la pile du noyau, ou qu'elle recherche honn\u00eatement des fournisseurs professionnels.La protection UDP est un puits sans fond, juste pour lutter contre la nouvelle attaque de r\u00e9flexion est suffisante pour soutenir une \u00e9quipe de s\u00e9curit\u00e9. Actuellement test\u00e9, CDN07 dans la violence de la sc\u00e8ne vocale du jeu, 08Host adapt\u00e9 \u00e0 la diffusion en direct \u00e0 grande \u00e9chelle, CDN5 API gateway \u00e0 la prise en charge du protocole de l'Internet des objets est le meilleur.<\/p>\n
En fin de compte, la nature de la protection est un jeu de co\u00fbts et d'avantages. Ce n'est pas la largeur de bande que vous achetez, mais l'exp\u00e9rience de quelqu'un d'autre qui a combl\u00e9 le trou. Apr\u00e8s tout, lorsque l'alarme se d\u00e9clenche \u00e0 3 heures du matin, vous n'avez certainement pas envie de vous retrouver seul face \u00e0 un d\u00e9luge d'eau.<\/p>","protected":false},"excerpt":{"rendered":"
Tous ceux qui ont vu le titre et qui ont cliqu\u00e9 ont probablement \u00e9t\u00e9 victimes d'une attaque UDP. Je me souviens encore de la premi\u00e8re fois o\u00f9 mon entreprise a \u00e9t\u00e9 paralys\u00e9e par une inondation UDP tard dans la nuit, le message d'alarme a sonn\u00e9 comme un charme de mort, la courbe du trafic s'est directement \u00e9lev\u00e9e \u00e0 un sommet abrupt - et puis tout s'est \u00e9croul\u00e9, tous les services \u00e9tant hors ligne. De nos jours, le co\u00fbt d'une attaque est terriblement bas. N'importe quel script kiddie peut d\u00e9penser quelques dizaines de dollars pour louer un botnet, puis utiliser le torrent UDP pour r\u00e9duire votre entreprise en miettes. L'attaque par amplification du reflet est encore plus d\u00e9go\u00fbtante : avec un petit paquet cass\u00e9, l'attaquant peut pirater des centaines de fois le trafic et le faire rebondir, sans pouvoir emp\u00eacher la cause premi\u00e8re : UDP est un protocole qui na\u00eet \u201csans connexion\u201d, ce n'est pas comme TCP qui a une poign\u00e9e de main \u00e0 trois reprises comme tampon, pour arriver au paquet, il faudra le suivre, m\u00eame si vous n'\u00eates pas malintentionn\u00e9. Un grand nombre d'\u00e9quipements de d\u00e9fense traditionnels de haut niveau expliquent pourquoi<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-979","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=979"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/979\/revisions"}],"predecessor-version":[{"id":1146,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/979\/revisions\/1146"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=979"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}