¿Qué es un esquema de conexión simétrica y asimétrica para la protección contra ataques DDoS? ¿Cuáles son las ventajas y desventajas de cada uno de ellos? ¿Qué protección es mejor para su proyecto? Encontrará las respuestas a estas preguntas debajo del corte.
En el camino, hablaremos sobre la simetría en las redes de telecomunicaciones en general. Descubrirá cuán asimétrica es Internet, de dónde proviene esta asimetría y, en general, es buena o mala. Como beneficio adicional: solución rápida para los dos problemas más comunes al conectar la protección de red. Y después de leer, definitivamente puedes entender lo que intenté retratar en el KDPV.
¿Qué es la simetría?
Todos entienden lo que es "simétrico" a nivel de "sensaciones", pero no pueden articular inmediatamente lo que esto significa. Intentemos. Si algo se llama simétrico, significa que no cambia bajo la influencia de ciertas transformaciones: transformaciones de simetría. El ejemplo más obvio es la simetría geométrica.
90 , . : " 90 ". — . — "", . . .
— . . — . : . , , . , , — .
, . , Facebook Facebook . ? : , , , ..
— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .
(), .
, .
, , 27 , 1% . , .
— , .
IP- (IP / ID ). . UDP — , . TCP , - , .
, . . ( ) , .
. . , .
:
- .
, .
, , , .
, " " — RFC — :
- Forward direction — , .
- Reverse direction — — , .
- Upstream link — , — downstream links.
. hot-potato routing. , , , . hot-potato — — "" .
?
, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .
, "". (Flow) — IP , IP , , ID . , .
- .
- .
- , , .. , UDP.
, :
- — flows — / * 100
- — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
- — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
, , . edge-.
.
"How Asymmetric Is the Internet?" , ( — IP- ).
- 4000 RIPE Atlas. — , . .
- Traceroute . Traceroute , .. , . .
- , 12.6% ( , 5 — 10%).
- , . , :
y — , ( ) A --> --> . x — . , — 1. , . — .
, ?
. DDoS.
DDoS- , , , : . - , , . , — , .
, . . ? .
, .
: , , , ?
:…
: ?
:…
: !
: ...
- . , , , " " .
: , , , ?
: . . .
: ?
: , , .
: !
: .
, , , , . DDoS-.
: SYN flood
, TCP. , (3-way handshake).
- SYN , .
- , SYN-ACK . SYN , A+1, B, .
- ACK B+1, TCP .
, ( ).
SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .
? , — SYN cookie SYN proxy.
SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .
ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .
spoofing spoofing'o. , . — , , .
(UDP, QUIC, ICMP) TCP. . IP , .
, .
, , .
edge-, " " . , . : ( ).
, edge-, . :
, . , . edge ? — "", , ! .
, ? , 3. , . — . , .. 3 . 1 2 .
, , , — . , . , , 1, 2. . , , , , . , , " ".
DDoS
DDoS, , — . BGP, . . . , — . , , .
- — BGP. peering' .
- . , , , , . , , , troubleshooting' c . , " ". , .
- , , , .. , . , TCP. RTT (. Round Trip Time). .
- . - . , , 100% . .
2-4 , DDoS .
, . DDoS 100% . mitigation — , — . , - . " " , .
?
95% , , DDoS , . , . ( DDoS ) — , . , , , .
. , BGP.
DDoS-GUARD , , . .
BONUS: ,
, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.
uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .
/ GRE / IPIP-
MTU . :
- Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
- PDU — + payload.
- Maximal Segment Size (MSS) — payload.
() PDU payload PDU . , MTU , payload.
MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .
. MSS , . MSS : Juniper, Cisco, Mikrotik.