Protection DDoS symétrique et asymétrique - quelle est la différence?

Qu'est-ce qu'un schéma de connexion symétrique et asymétrique pour la protection contre les attaques DDoS? Quels sont les avantages et les inconvénients de chacun d'eux? Quelle protection convient le mieux à votre projet? Vous trouverez les réponses à ces questions sous la coupe.

En cours de route, nous parlerons de la symétrie dans les réseaux de télécommunications en général. Vous découvrirez à quel point Internet est asymétrique, d'où vient cette asymétrie, et en général elle est bonne ou mauvaise. En bonus - solution rapide pour les deux problèmes les plus courants lors de la connexion à la protection réseau. Et après avoir lu, vous pouvez certainement comprendre ce que j'ai essayé de représenter sur le KDPV.

Qu'est-ce que la symétrie?

Tout le monde comprend ce qui est «symétrique» au niveau des «sensations», mais ils ne peuvent pas simplement exprimer immédiatement ce que cela signifie. Essayons. Si quelque chose est appelé symétrique, cela signifie qu'il ne change pas sous l'influence de certaines transformations - transformations de symétrie. L'exemple le plus évident est la symétrie géométrique.

90 , . : " 90 ". — . — "", . . .

— . . — . : . , , . , , — .

, . , Facebook Facebook . ? : , , , ..

— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .

(), .

, .

, , 27 , 1% . , .

— , .

IP- (IP / ID ). . UDP — , . TCP , - , .

, . . ( ) , .

. . , .

:

• —

- .

, .

, , , .

, " " — RFC — :

• Forward direction — , .
• Reverse direction — — , .
• Upstream link — , — downstream links.

. hot-potato routing. , , , . hot-potato — — "" .

?

, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .

, "". (Flow) — IP , IP , , ID . , .

1. .
2. .
3. , , .. , UDP.
   , :

• — flows — / * 100
• — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
• — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .

, , . edge-.

.

"How Asymmetric Is the Internet?" , ( — IP- ).

1. 4000 RIPE Atlas. — , . .
2. Traceroute . Traceroute , .. , . .

1. , 12.6% ( , 5 — 10%).
2. , . , :

y — , ( ) A --> --> . x — . , — 1. , . — .

, ?

• ,

. DDoS.

DDoS- , , , : . - , , . , — , .

, . . ? .
, .

: , , , ?
:…
: ?
:…
: !
: ...

- . , , , " " .

: , , , ?
: . . .
: ?
: , , .
: !
: .

, , , , . DDoS-.

: SYN flood

, TCP. , (3-way handshake).

1. SYN , .
2. , SYN-ACK . SYN , A+1, B, .
3. ACK B+1, TCP .

, ( ).

SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .

? , — SYN cookie SYN proxy.

SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .

ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .

spoofing spoofing'o. , . — , , .

(UDP, QUIC, ICMP) TCP. . IP , .

, .

, , .

edge-, " " . , . : ( ).

, edge-, . :

, . , . edge ? — "", , ! .

, ? , 3. , . — . , .. 3 . 1 2 .

, , , — . , . , , 1, 2. . , , , , . , , " ".

DDoS

DDoS, , — . BGP, . . . , — . , , .

1. — BGP. peering' .
2. . , , , , . , , , troubleshooting' c . , " ". , .
3. , , , .. , . , TCP. RTT (. Round Trip Time). .
4. . - . , , 100% . .

2-4 , DDoS .

, . DDoS 100% . mitigation — , — . , - . " " , .

?

95% , , DDoS , . , . ( DDoS ) — , . , , , .

. , BGP.

DDoS-GUARD , , . .

BONUS: ,

, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.

uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .

/ GRE / IPIP-

MTU . :

• Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
• PDU — + payload.
• Maximal Segment Size (MSS) — payload.
  () PDU payload PDU . , MTU , payload.

MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .

. MSS , . MSS : Juniper, Cisco, Mikrotik.