Get best of the week

حماية DDoS المتناظرة وغير المتماثلة - ما الفرق؟

ما هو مخطط الاتصال المتماثل وغير المتماثل للحماية من هجمات DDoS؟ ما هي مزايا وعيوب كل منهم؟ ما هي الحماية الأفضل لمشروعك؟ ستجد الإجابات على هذه الأسئلة تحت القطع.


على طول الطريق ، سنتحدث عن التماثل في شبكات الاتصالات بشكل عام. سوف تكتشف مدى عدم تناسق الإنترنت ، ومن أين يأتي هذا التباين ، وبشكل عام فهي جيدة أو سيئة. كمكافأة - حل سريع للمشكلتين الأكثر شيوعًا عند توصيل حماية الشبكة. وبعد القراءة ، يمكنك بالتأكيد فهم ما حاولت تصويره على KDPV.


الإبهام


ما هو التماثل؟


الجميع يفهم ما هو "متناظر" على مستوى "الأحاسيس" ، لكن لا يمكنهم فقط التعبير عن معنى هذا على الفور. لنحاول. إذا كان هناك شيء يسمى متماثل ، فهذا يعني أنه لا يتغير تحت تأثير بعض التحولات - التحولات المتناظرة. المثال الأكثر وضوحًا هو التناظر الهندسي.


90 , . : " 90 ". — . — "", . . .


— . . — . : . , , . , , — .
رمزي



, . , Facebook Facebook . ? : , , , ..


— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .


(), .

, .


لوحة التبديل



, , 27 , 1% . , .


— , .

IP- (IP / ID ). . UDP — , . TCP , - , .


, . . ( ) , .


. . , .


حركة المرور


:



- .


, .

, , , .


, " " — RFC — :


  • Forward direction, .
  • Reverse direction— , .
  • Upstream link, — downstream links.

. hot-potato routing. , , , . hot-potato — — "" .


?


, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .


, "". (Flow) — IP , IP , , ID . , .


  1. .
  2. .
  3. , , .. , UDP.
    , :

الروابط


  • — flows — / * 100
  • — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
  • — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .

, , . edge-.


.


"How Asymmetric Is the Internet?" , ( — IP- ).


  1. 4000 RIPE Atlas. — , . .
  2. Traceroute . Traceroute , .. , . .

عدد


  1. , 12.6% ( , 5 — 10%).
  2. , . , :

فرق
y — , ( ) A --> --> . x — . , — 1. , . — .


, ?


  • ,

. DDoS.



DDoS- , , , : . - , , . , — , .


المخططات
, . . ? .
, .


: , , , ?
:…
: ?
:…
: !
: ...


- . , , , " " .


: , , , ?
: . . .
: ?
: , , .
: !
: .


, , , , . DDoS-.


: SYN flood


, TCP. , (3-way handshake).


  1. SYN , .
  2. , SYN-ACK . SYN , A+1, B, .
  3. ACK B+1, TCP .

, ( ).


SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .


هاتيكو


? , — SYN cookie SYN proxy.


SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .


ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .


التزامن
spoofing spoofing'o. , . — , , .


(UDP, QUIC, ICMP) TCP. . IP , .


, .


, , .


edge-, " " . , . : ( ).


, edge-, . :


الحماية
, . , . edge ? — "", , ! .


, ? , 3. , . — . , .. 3 . 1 2 .


, , , — . , . , , 1, 2. . , , , , . , , " ".


DDoS


DDoS, , — . BGP, . . . , — . , , .


  1. — BGP. peering' .
  2. . , , , , . , , , troubleshooting' c . , " ". , .
  3. , , , .. , . , TCP. RTT (. Round Trip Time). .
  4. . - . , , 100% . .

2-4 , DDoS .


, . DDoS 100% . mitigation — , — . , - . " " , .


?


95% , , DDoS , . , . ( DDoS ) — , . , , , .


. , BGP.


دريك


DDoS-GUARD , , . .


BONUS: ,



, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.


uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .


/ GRE / IPIP-


MTU . :


  • Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
  • PDU — + payload.
  • Maximal Segment Size (MSS) — payload.
    () PDU payload PDU . , MTU , payload.

MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .


. MSS , . MSS : Juniper, Cisco, Mikrotik.

More articles:


All Articles