Get best of the week

Proxy inverse dépassé - technologie pour la protection à distance et l'optimisation du site sans modifier les enregistrements DNS A



Au cours du mois dernier, la charge moyenne sur les ressources Internet a considérablement augmenté en raison de la transition généralisée vers le travail à distance et la formation (voir exactement comment lire notre article «Pandémie et trafic - un point de vue de l'opérateur de télécommunications» . Les cinémas et jeux en ligne, les plateformes en ligne sont très demandés. ..? des services de formation sur demande de livraison de nourriture dans de telles circonstances, les dommages économiques potentiels causés par l'indisponibilité de la ressource, notamment en raison d'attaques DDoS, particulièrement élevées Quelle solution choisir pour défendre son projet

dans le matériel que vous trouverez:

  • Limitations de la protection via le proxy inverse classique avec le changement des enregistrements DNS A, dont les fournisseurs sont souvent silencieux.
  • Quelle solution choisir pour Ă©viter les risques liĂ©s Ă  ces limitations?
  • Un vrai cas avec la protection d'un grand projet, sans dĂ©placer et modifier les enregistrements A.
  • Recommandations gĂ©nĂ©rales pour l'organisation de la protection de la ressource Internet.

Donc, tout d'abord. Vous avez décidé de protéger votre projet en pleine croissance contre les attaques DDoS. La base de toute protection est l'analyse et le filtrage du trafic entrant. Mais pour dégager le trafic, il faut d'abord le livrer au centre de nettoyage. Ci-après, dans le cadre de la «décision de protection», nous entendrons une combinaison de technologies pour la livraison et la purification du trafic.

Très probablement, la première solution qui vous sera proposée sera basée sur la technologie de proxy inverse avec un changement des enregistrements DNS A. Par conséquent, nous examinerons d'abord le principe de la technologie, ses capacités (si vous êtes familier avec le proxy inverse - n'hésitez pas à ignorer ces deux sections) et les restrictions associées à la livraison du trafic (cela ne doit pas être ignoré). Ensuite, nous montrerons comment ces restrictions peuvent être contournées par l'exemple d'un cas réel. En fin de compte, nous donnerons quelques recommandations générales sur la façon de protéger la ressource Internet.

Proxy inverse - comment cela fonctionne


Ici, nous examinons le proxy inverse comme moyen de fournir du trafic. Le schéma de son travail est bien connu de tous, mais il est tout simplement impossible de ne pas le mentionner ici.



  1. Modification des enregistrements DNS A - au lieu de l'adresse IP du serveur Web, l'adresse IP du serveur proxy est indiquée. Répartition des changements dans le monde (propagation DNS).
  2. L'OS visiteur demande l'adresse IP correspondant au nom de domaine du site (résolution DNS).
  3. Le serveur DNS répond à la demande en signalant l'adresse IP du serveur proxy.
  4. Le navigateur visiteur ouvre une session HTTP (s) et envoie des demandes au serveur proxy, qui rétablit une connexion au serveur Web cible et lui transmet les demandes.

Fonctionnalités de proxy inverse


Quelles opportunités offrent des solutions fonctionnant via un proxy inverse avec un changement d'enregistrement A?

  • Surveillance des demandes et protection du site contre les attaques au niveau des applications. La technologie vous permet de traiter chaque demande de niveau application arrivant sur le serveur cible.
  • RĂ©duisez la charge sur le serveur Web cible et accĂ©lĂ©rez le site. Sur les serveurs proxy, vous pouvez compresser et mettre en cache les donnĂ©es - c'est la base du travail du Content Delivery Network (CDN).
  • Équilibrage de charge flexible entre plusieurs serveurs Web cibles. La technologie vous permet de rĂ©partir la charge des demandes de traitement entre plusieurs machines. Cela amĂ©liore la rĂ©silience et les performances du système.
  • Facile Ă  connecter. Pour activer la protection, modifiez simplement les enregistrements DNS A et attendez que les modifications prennent effet. La rĂ©installation, le nouveau matĂ©riel et les logiciels ne sont pas nĂ©cessaires.
  • Masquage de la vĂ©ritable adresse IP du serveur Web cible. Le visiteur utilise l'adresse IP du serveur proxy pour contacter, et il en reçoit des rĂ©ponses, ce qui garantit l'anonymat de la ressource Web cible.

Restrictions du proxy inverse


Cette technologie présente un certain nombre d'écueils, dont il n'est pas très courant de parler. Ses limites incluent:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



Les inconvénients des solutions de protection contre les attaques DDoS basées sur le proxy inverse «classique» commencent à se faire sentir alors qu'un projet en pleine croissance se heurte à un nombre croissant de limitations technologiques. Quelles solutions techniques peuvent niveler ou réduire considérablement les risques d'inaccessibilité du site en raison des inconvénients répertoriés? - lire ci-dessous.

Proxy inverse dépassé


Regardons le problème avec un exemple réel de notre pratique. L'année dernière, un grand client nous a contacté avec une liste spécifique d'exigences pour les services de protection. Nous ne pouvons pas divulguer le nom de l'entreprise pour des raisons évidentes, mais les besoins du client - veuillez:

  • ProtĂ©gez les sites contre les attaques au niveau des applications.
  • Pour supprimer une partie de la charge des serveurs Web cibles et accĂ©lĂ©rer le chargement des sites - le client a beaucoup de contenu statique et il est intĂ©ressĂ© par la mise en cache et la compression des donnĂ©es sur les nĹ“uds CDN.
  • Fournit une protection contre les attaques directes sur l'adresse IP / le rĂ©seau (protection contre les attaques DDoS aux niveaux OSI L3-L4). 
  • Les services doivent se connecter sans modifier les adresses IP externes des ressources. Le client dispose de ses propres AS et blocs d'adresses.
  • La gestion des services de traitement du trafic et le passage aux canaux de sauvegarde doivent avoir lieu en temps rĂ©el - le niveau de disponibilitĂ© des ressources est essentiel pour le client.

Les solutions basées sur le proxy inverse «classique» avec des enregistrements A DNS changeants vous permettent de fermer les deux premiers éléments de la liste.

Des services tels que l'hébergement sécurisé, les serveurs virtuels et dédiés vous permettent de vous protéger contre les attaques au niveau OSI L3-L7, mais nécessitent une relocalisation et impliquent l'utilisation d'un seul fournisseur de sécurité. Que faire?

Protection DDoS au sein du réseau avec des services protégés


L'installation d'équipements de filtrage dans votre réseau vous permet de protéger les services aux niveaux OSI L3-L7 et de gérer librement les règles de filtrage. Vous engagez des dépenses en capital (CaPex) et d'exploitation (OpEx) substantielles en choisissant cette solution. Ce sont des dépenses pour:

  • Ă©quipement de filtrage du trafic + licences logicielles (CapEx);
  • renouvellement des licences logicielles (OpEx);
  • spĂ©cialistes Ă  plein temps pour la mise en place de l'Ă©quipement et le suivi de son fonctionnement (OpEx) 
  • Canaux d'accès Internet suffisants pour recevoir des attaques (CapEx + OpEx);
  • paiement du trafic "indĂ©sirable" entrant (OpEx).

En conséquence, le prix effectif par mégabit du trafic non traité devient déraisonnablement élevé. Dans tous les cas, la possibilité de filtrer le trafic pour une telle solution sera inférieure à celle des fournisseurs spécialisés. De plus, afin d'augmenter la vitesse du site, d'une manière ou d'une autre devra recourir aux services de fournisseurs CDN. Parmi les avantages de la solution, il convient de noter que le trafic décrypté ne quitte pas le périmètre du réseau protégé. Nous aborderons ce problème plus en détail ultérieurement.

Même pour les grandes entreprises, une telle solution n'est souvent pas économiquement réalisable, sans parler des moyennes et petites entreprises. Cela ne convenait pas non plus à notre client.

Procuration sans modifier les enregistrements A.


Pour répondre aux besoins de ces clients, nous avons développé une technologie d'interception du trafic Web et l'avons implémentée dans le cadre du service de protection à distance sans modifier les enregistrements A. La solution est basée sur le principe: toutes les connexions entre l'AS du client et les réseaux publics doivent être protégées. Le client nous envoie des annonces de ses adresses / réseaux IP via BGP, et nous les annonçons sur Internet.



Tout le trafic destiné aux ressources protégées passe par notre réseau. Le client peut laisser plusieurs connexions de sauvegarde et les utiliser en cas de circonstances imprévues en supprimant les annonces du réseau DDoS-GUARD. En mode normal, nous vous recommandons d'utiliser uniquement nos connexions pour accéder à Internet, afin de garantir la protection des services clients.

Le diagramme ci-dessous montre comment le traitement du trafic dans notre réseau est organisé en utilisant l'exemple du trafic Web.



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. Tout le trafic spécifié par les adresses IP / domaines client est traité au niveau L7. Les serveurs proxy filtrent le trafic, optimisent le contenu et le mettent en cache.

Les règles pour les réseaux et les domaines peuvent être créées indépendamment les unes des autres. Lors de la création d'une règle pour un domaine, vous n'avez pas besoin de spécifier l'adresse IP de son serveur Web. Cette approche permet de ne pas modifier les règles de filtrage lors de la migration de domaines entre des serveurs Web au sein du réseau protégé. À la demande du client, nous pouvons modifier les règles de traitement de manière à intercepter le trafic sur tout autre port.

Conclusion


Vérifions maintenant si la solution DDoS-GUARD développée répond à la liste des exigences de la section «Prolongation du proxy inverse».

  • Le client est protĂ©gĂ© contre les attaques aux niveaux OSI L3-L7.
  • Le contenu est compressĂ© et mis en cache sur les nĹ“uds de notre CDN, ce qui rĂ©duit la charge sur les serveurs Web cibles.
  • La gestion de la protection s'effectue en temps rĂ©el. Le client gère les règles de filtrage du trafic pour les sous-rĂ©seaux, les adresses IP et les domaines individuels via un compte personnel ou une API. Les modifications prennent effet en 1 minute. En cas d'urgence, le client peut rediriger tout le trafic pour contourner le rĂ©seau DDoS-GUARD simplement en supprimant les annonces BGP.
  • Les adresses IP dĂ©tenues par la sociĂ©tĂ© sont restĂ©es inchangĂ©es. Le client n'a pas besoin d'acheter de nouveaux Ă©quipements, de nouveaux logiciels, d'engager du personnel supplĂ©mentaire et de payer le trafic non traitĂ©.

De plus, il est possible de protéger les services et les applications s'exécutant sur des ports non standard.

PS


Recommandations générales sur la façon de protéger votre projet:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles