Get best of the week

Herauswachsender Reverse Proxy - Technologie für Fernschutz und Standortoptimierung ohne Änderung der DNS-A-Einträge



Im letzten Monat ist die durchschnittliche Belastung der Internetressourcen aufgrund des weit verbreiteten Übergangs zu Fernarbeit und Schulung erheblich gestiegen (lesen Sie genau, wie Sie unseren Artikel „Pandemie und Verkehr - ein Blick des Telekommunikationsbetreibers“ lesen . Online-Kinos und -Spiele sowie Online-Plattformen sind sehr gefragt. ..? Schulungsdienste auf Anfrage Lebensmittellieferung unter solchen Umständen, die potenziellen wirtschaftlichen Schäden, die durch die Nichtverfügbarkeit der Ressource verursacht werden, einschließlich aufgrund von DDoS-Angriffen, besonders hoch Welche Lösung wählen Sie, um ihr Projekt

in dem Material zu verteidigen, das Sie finden:

  • Schutzbeschränkungen durch den klassischen Reverse-Proxy mit der Änderung von DNS-A-Einträgen, über die Anbieter häufig schweigen.
  • Welche Lösung sollten Sie wählen, um die mit diesen Einschränkungen verbundenen Risiken zu vermeiden?
  • Ein realer Fall mit dem Schutz eines großen Projekts, ohne A-Datensätze zu verschieben und zu ändern.
  • Allgemeine Empfehlungen zur Organisation des Schutzes der Internetressource.

Also, das Wichtigste zuerst. Sie haben beschlossen, Ihr wachsendes Projekt vor DDoS-Angriffen zu schützen. Die Grundlage eines jeden Schutzes ist die Analyse und Filterung des eingehenden Verkehrs. Um den Verkehr zu räumen, muss er jedoch zuerst an das Reinigungszentrum geliefert werden. Im Folgenden wird unter der „Schutzentscheidung“ eine Kombination von Technologien zur Bereitstellung und Reinigung von Verkehr verstanden.

Höchstwahrscheinlich basiert die erste Lösung, die Ihnen in den Sinn kommt, auf der Reverse-Proxy-Technologie mit einer Änderung der DNS-A-Einträge. Daher werden wir zunächst das Prinzip der Technologie, ihre Funktionen (wenn Sie mit Reverse Proxy vertraut sind - Sie können diese beiden Abschnitte gerne überspringen) und die mit der Bereitstellung von Datenverkehr verbundenen Einschränkungen (dies sollte nicht übersprungen werden) betrachten. Dann werden wir am Beispiel eines realen Falles zeigen, wie diese Einschränkungen umgangen werden können. Am Ende werden wir einige allgemeine Empfehlungen zum Schutz der Internetressource geben.

Reverse Proxy - wie es funktioniert


Hier betrachten wir Reverse Proxy als Mittel zur Bereitstellung von Datenverkehr. Das Schema ihrer Arbeit ist allen bekannt, aber es ist einfach unmöglich, es hier nicht zu erwähnen.



  1. Ändern von DNS-A-Einträgen - Anstelle der IP-Adresse des Webservers wird die IP-Adresse des Proxyservers angegeben. Verteilung von Änderungen auf der ganzen Welt (DNS-Weitergabe).
  2. Das Besucher-Betriebssystem fordert die IP-Adresse an, die dem Domänennamen der Site entspricht (DNS-Auflösung).
  3. Der DNS-Server antwortet auf die Anforderung, indem er die IP-Adresse des Proxyservers meldet.
  4. Der Besucherbrowser öffnet eine HTTP-Sitzung und sendet Anforderungen an den Proxyserver, der eine Verbindung zum Zielwebserver wiederherstellt und die Anforderungen an diesen weiterleitet.

Reverse-Proxy-Funktionen


Welche Möglichkeiten bieten Lösungen, die über Reverse Proxy mit A-Record-Änderung funktionieren?

  • Überwachen von Anforderungen und Schützen der Site vor Angriffen auf Anwendungsebene. Mit dieser Technologie können Sie jede Anforderung auf Anwendungsebene verarbeiten, die auf dem Zielserver eingeht.
  • Reduzieren Sie die Belastung des Zielwebservers und beschleunigen Sie die Site. Auf Proxyservern können Sie Daten komprimieren und zwischenspeichern - dies ist die Grundlage für die Arbeit des Content Delivery Network (CDN).
  • Flexibler Lastausgleich zwischen mehreren Zielwebservern. Mit dieser Technologie können Sie die Last der Verarbeitungsanforderungen auf mehrere Computer verteilen. Dies verbessert die Ausfallsicherheit und Leistung des Systems.
  • Einfach anzuschließen. Um den Schutz zu aktivieren, ändern Sie einfach die DNS-A-Einträge und warten Sie, bis die Änderungen wirksam werden. Umzug, neue Hardware und Software sind nicht erforderlich.
  • Ausblenden der tatsächlichen IP-Adresse des Zielwebservers. Der Besucher verwendet die IP-Adresse des Proxyservers für den Kontakt und erhält auch Antworten von diesem, wodurch die Anonymität der Zielwebressource sichergestellt wird.

Proxy-Einschränkungen rückgängig machen


Diese Technologie weist eine Reihe von Fallstricken auf, über die nicht sehr häufig gesprochen wird. Seine Einschränkungen umfassen:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



Die Nachteile von Lösungen zum Schutz vor DDoS-Angriffen, die auf dem „klassischen“ Reverse Proxy basieren, sind allmählich zu spüren, da ein wachsendes Projekt auf eine zunehmende Anzahl von technologischen Einschränkungen stößt. Welche technischen Lösungen können das Risiko einer Unzugänglichkeit des Standorts aufgrund der aufgeführten Nachteile ausgleichen oder erheblich verringern? - unten lesen.

Auswachsender Reverse Proxy


Schauen wir uns das Problem anhand eines realen Beispiels aus unserer Praxis an. Im vergangenen Jahr hat uns ein großer Kunde mit einer spezifischen Liste von Anforderungen an Schutzdienste kontaktiert. Wir können den Namen des Unternehmens aus offensichtlichen Gründen nicht offenlegen, aber die Bedürfnisse des Kunden - bitte:

  • Schützen Sie Websites vor Angriffen auf Anwendungsebene.
  • Um einen Teil der Last von den Zielwebservern zu entfernen und das Laden von Websites zu beschleunigen, verfügt der Client über viele statische Inhalte und ist daran interessiert, Daten auf CDN-Knoten zwischenzuspeichern und zu komprimieren.
  • Schutz vor direkten Angriffen auf die IP-Adresse / das Netzwerk (Schutz vor DDoS-Angriffen auf L3-L4-OSI-Ebene). 
  • Dienste müssen eine Verbindung herstellen, ohne die externen IP-Adressen der Ressourcen zu ändern. Der Client verfügt über eigene AS- und Adressblöcke.
  • Die Verwaltung der Verkehrsverarbeitungsdienste und die Umstellung auf Sicherungskanäle sollten in Echtzeit erfolgen. Die Verfügbarkeit der Ressourcen ist für den Client von entscheidender Bedeutung.

Mit Lösungen, die auf dem „klassischen“ Reverse-Proxy mit sich ändernden DNS-A-Einträgen basieren, können Sie die ersten beiden Elemente aus der Liste schließen.

Dienste wie sicheres Hosting, virtuelle und dedizierte Server ermöglichen es Ihnen, sich vor Angriffen auf L3-L7-OSI-Ebene zu schützen, erfordern jedoch einen Umzug und die Verwendung eines einzigen Sicherheitsanbieters. Was zu tun ist?

DDoS-Schutz innerhalb des Netzwerks mit geschützten Diensten


Durch die Installation von Filtergeräten in Ihrem Netzwerk können Sie Dienste auf L3-L7-OSI-Ebene schützen und Filterregeln frei verwalten. Durch die Wahl dieser Lösung entstehen Ihnen erhebliche Kapital- (CaPex) und Betriebskosten (OpEx). Dies sind Ausgaben für:

  • Verkehrsfilterausrüstung + Softwarelizenzen (CapEx);
  • Erneuerung von Softwarelizenzen (OpEx);
  • Vollzeitspezialisten für die Einrichtung und Überwachung des Betriebs (OpEx); 
  • Internetzugangskanäle, die ausreichen, um Angriffe zu empfangen (CapEx + OpEx);
  • Zahlung des eingehenden "Junk" -Verkehrs (OpEx).

Infolgedessen wird der effektive Preis pro Megabit unbehandelten Verkehrs unangemessen hoch. In jedem Fall ist die Fähigkeit, den Datenverkehr für eine solche Lösung zu filtern, geringer als die von spezialisierten Anbietern. Um die Geschwindigkeit der Website zu erhöhen, muss auf die eine oder andere Weise auf die Dienste von CDN-Anbietern zurückgegriffen werden. Von den Vorteilen der Lösung ist anzumerken, dass entschlüsselter Verkehr den Umfang des geschützten Netzwerks nicht verlässt. Wir werden dieses Problem später genauer diskutieren.

Selbst für große Unternehmen ist eine solche Lösung oft wirtschaftlich nicht realisierbar, ganz zu schweigen von mittleren und kleinen Unternehmen. Es passte auch nicht zu unserem Kunden.

Proxying ohne Änderung von A-Datensätzen.


Um den Anforderungen dieser Kunden gerecht zu werden, haben wir eine Technologie zum Abfangen des Webverkehrs entwickelt und diese als Teil des Fernschutzdienstes implementiert, ohne die A-Datensätze zu ändern. Die Lösung basiert auf dem Prinzip: Alle Verbindungen zwischen dem AS des Clients und öffentlichen Netzwerken müssen geschützt werden. Der Kunde sendet uns Ankündigungen seiner IP-Adressen / Netzwerke über BGP und wir geben diese im Internet bekannt.



Der gesamte für geschützte Ressourcen bestimmte Datenverkehr wird über unser Netzwerk geleitet. Der Client kann mehrere Sicherungsverbindungen verlassen und diese in unvorhergesehenen Fällen verwenden, indem er die Ansagen aus dem DDoS-GUARD-Netzwerk entfernt. Im normalen Modus empfehlen wir, nur unsere Verbindungen für den Zugriff auf das Internet zu verwenden, damit wir den Schutz der Clientdienste gewährleisten können.

Das folgende Diagramm zeigt am Beispiel des Webverkehrs, wie die Verkehrsverarbeitung in unserem Netzwerk organisiert ist.



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. Der gesamte von den Client-IP-Adressen / -Domänen angegebene Datenverkehr wird auf L7-Ebene verarbeitet. Proxyserver filtern den Datenverkehr, optimieren den Inhalt und speichern ihn zwischen.

Regeln für Netzwerke und Domänen können unabhängig voneinander erstellt werden. Wenn Sie eine Regel für eine Domäne erstellen, müssen Sie die IP-Adresse ihres Webservers nicht angeben. Dieser Ansatz ermöglicht es, keine Änderungen an den Filterregeln vorzunehmen, wenn Domänen zwischen Webservern innerhalb des geschützten Netzwerks migriert werden. Auf Wunsch des Kunden können wir die Verarbeitungsregeln so ändern, dass der Datenverkehr an anderen Ports abgefangen wird.

Fazit


Lassen Sie uns nun überprüfen, ob die entwickelte DDoS-GUARD-Lösung die Liste der Anforderungen aus dem Abschnitt „Outgrowing Reverse Proxy“ erfüllt.

  • Der Client erhält Schutz vor Angriffen auf L3-L7-OSI-Ebene.
  • Der Inhalt wird auf den Knoten unseres CDN komprimiert und zwischengespeichert, wodurch die Belastung der Zielwebserver verringert wird.
  • Das Schutzmanagement erfolgt in Echtzeit. Der Client verwaltet Verkehrsfilterungsregeln für Subnetze, IP-Adressen und einzelne Domänen über ein persönliches Konto oder eine API. Änderungen werden innerhalb von 1 Minute wirksam. Im Notfall kann der Client den gesamten Datenverkehr umleiten, um das DDoS-GUARD-Netzwerk zu umgehen, indem er einfach die BGP-Ankündigungen entfernt.
  • Die IP-Adressen des Unternehmens sind unverändert geblieben. Der Kunde muss keine neuen Geräte, Software kaufen, zusätzliches Personal einstellen und für unbehandelten Verkehr bezahlen.

Darüber hinaus können Dienste und Anwendungen geschützt werden, die auf nicht standardmäßigen Ports ausgeführt werden.

PS


Allgemeine Empfehlungen zum Schutz Ihres Projekts:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles