Symmetrischer und asymmetrischer DDoS-Schutz - was ist der Unterschied?

Was ist ein symmetrisches und asymmetrisches Verbindungsschema zum Schutz vor DDoS-Angriffen? Was sind die Vor- und Nachteile von jedem von ihnen? Welcher Schutz ist für Ihr Projekt am besten geeignet? Die Antworten auf diese Fragen finden Sie unter dem Schnitt.

Auf dem Weg werden wir über Symmetrie in Telekommunikationsnetzen im Allgemeinen sprechen. Sie werden herausfinden, wie asymmetrisch das Internet ist, woher diese Asymmetrie kommt und im Allgemeinen ist es gut oder schlecht. Als Bonus - schnelle Lösung für die beiden häufigsten Probleme beim Anschließen des Netzwerkschutzes. Und nach dem Lesen können Sie definitiv verstehen, was ich versucht habe, auf dem KDPV darzustellen.

Was ist Symmetrie?

Jeder versteht, was auf der Ebene der „Empfindungen“ „symmetrisch“ ist, kann aber nicht sofort artikulieren, was dies bedeutet. Lass es uns versuchen. Wenn etwas als symmetrisch bezeichnet wird, bedeutet dies, dass es sich unter dem Einfluss bestimmter Transformationen - Symmetrietransformationen - nicht ändert. Das offensichtlichste Beispiel ist die geometrische Symmetrie.

90 , . : " 90 ". — . — "", . . .

— . . — . : . , , . , , — .

, . , Facebook Facebook . ? : , , , ..

— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .

(), .

, .

, , 27 , 1% . , .

— , .

IP- (IP / ID ). . UDP — , . TCP , - , .

, . . ( ) , .

. . , .

:

• —

- .

, .

, , , .

, " " — RFC — :

• Forward direction — , .
• Reverse direction — — , .
• Upstream link — , — downstream links.

. hot-potato routing. , , , . hot-potato — — "" .

?

, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .

, "". (Flow) — IP , IP , , ID . , .

1. .
2. .
3. , , .. , UDP.
   , :

• — flows — / * 100
• — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
• — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .

, , . edge-.

.

"How Asymmetric Is the Internet?" , ( — IP- ).

1. 4000 RIPE Atlas. — , . .
2. Traceroute . Traceroute , .. , . .

1. , 12.6% ( , 5 — 10%).
2. , . , :

y — , ( ) A --> --> . x — . , — 1. , . — .

, ?

• ,

. DDoS.

DDoS- , , , : . - , , . , — , .

, . . ? .
, .

: , , , ?
:…
: ?
:…
: !
: ...

- . , , , " " .

: , , , ?
: . . .
: ?
: , , .
: !
: .

, , , , . DDoS-.

: SYN flood

, TCP. , (3-way handshake).

1. SYN , .
2. , SYN-ACK . SYN , A+1, B, .
3. ACK B+1, TCP .

, ( ).

SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .

? , — SYN cookie SYN proxy.

SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .

ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .

spoofing spoofing'o. , . — , , .

(UDP, QUIC, ICMP) TCP. . IP , .

, .

, , .

edge-, " " . , . : ( ).

, edge-, . :

, . , . edge ? — "", , ! .

, ? , 3. , . — . , .. 3 . 1 2 .

, , , — . , . , , 1, 2. . , , , , . , , " ".

DDoS

DDoS, , — . BGP, . . . , — . , , .

1. — BGP. peering' .
2. . , , , , . , , , troubleshooting' c . , " ". , .
3. , , , .. , . , TCP. RTT (. Round Trip Time). .
4. . - . , , 100% . .

2-4 , DDoS .

, . DDoS 100% . mitigation — , — . , - . " " , .

?

95% , , DDoS , . , . ( DDoS ) — , . , , , .

. , BGP.

DDoS-GUARD , , . .

BONUS: ,

, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.

uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .

/ GRE / IPIP-

MTU . :

• Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
• PDU — + payload.
• Maximal Segment Size (MSS) — payload.
  () PDU payload PDU . , MTU , payload.

MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .

. MSS , . MSS : Juniper, Cisco, Mikrotik.