👐🏼 👨🏾‍🏫 🤘🏼 Progensi balik yang lebih besar - teknologi untuk perlindungan jarak jauh dan optimisasi situs tanpa mengubah catatan-A DNS 🙅🏽 🍣 👩🏾‍🍳

Selama sebulan terakhir, beban rata-rata pada sumber daya Internet telah tumbuh secara signifikan karena transisi yang meluas ke pekerjaan jarak jauh dan pelatihan (lihat persis bagaimana membaca artikel kami "Pandemi dan lalu lintas - pandangan dari operator telekomunikasi . " Bioskop dan permainan online, platform online sangat diminati. ..? layanan pelatihan berdasarkan permintaan pengiriman makanan dalam keadaan seperti itu, potensi kerusakan ekonomi yang disebabkan oleh tidak tersedianya sumber daya, termasuk karena serangan DDoS, terutama yang tinggi Solusi mana yang dipilih untuk mempertahankan proyek mereka

dalam materi yang akan Anda temukan:

Keterbatasan perlindungan melalui proksi terbalik klasik dengan perubahan DNS A-records, yang sering kali dibungkam penyedia.
Solusi mana yang harus Anda pilih untuk menghindari risiko yang terkait dengan keterbatasan ini?
Kasus nyata dengan perlindungan proyek besar, tanpa memindahkan dan mengubah A-record.
Rekomendasi umum untuk mengatur perlindungan sumber daya Internet.

Jadi, hal pertama yang pertama. Anda memutuskan untuk melindungi proyek Anda yang sedang berkembang dari serangan DDoS. Dasar dari perlindungan apa pun adalah analisis dan penyaringan lalu lintas masuk. Tetapi untuk membersihkan lalu lintas, pertama-tama harus dikirim ke pusat pembersihan. Selanjutnya, di bawah "keputusan perlindungan" kami akan berarti kombinasi teknologi untuk pengiriman dan pemurnian lalu lintas.

Kemungkinan besar, solusi pertama yang Anda temui akan didasarkan pada teknologi proxy terbalik dengan perubahan DNS A-records. Oleh karena itu, kami pertama-tama mempertimbangkan prinsip teknologi, kemampuannya (jika Anda terbiasa dengan proxy terbalik - silakan lewati dua subbagian ini) dan batasan yang terkait dengan pengiriman lalu lintas (ini tidak boleh dilewati). Kemudian kami akan menunjukkan bagaimana pembatasan ini dapat diatasi dengan contoh kasus nyata. Pada akhirnya, kami akan memberikan beberapa rekomendasi umum tentang cara melindungi sumber daya Internet.

Membalikkan proxy - cara kerjanya

Di sini kita melihat proxy terbalik sebagai sarana untuk mengirimkan lalu lintas. Skema karyanya diketahui semua orang, tetapi tidak mungkin untuk tidak menyebutkannya di sini.

Mengubah DNS A-records - alih-alih alamat IP dari server web, alamat IP dari server proxy ditunjukkan. Distribusi perubahan di seluruh dunia (propagasi DNS).
OS pengunjung meminta alamat IP yang sesuai dengan nama domain situs (resolusi DNS).
Server DNS merespons permintaan dengan melaporkan alamat IP dari server proxy.
Browser pengunjung membuka sesi HTTP dan mengirimkan permintaan ke server proxy, yang membangun kembali koneksi ke server web target dan meneruskan permintaan ke sana.

Membalikkan fitur proxy

Peluang apa yang memberikan solusi bekerja melalui proxy terbalik dengan perubahan A-record?

Memantau permintaan dan melindungi situs dari serangan di tingkat aplikasi. Teknologi ini memungkinkan Anda untuk memproses setiap permintaan tingkat aplikasi yang tiba di server target.
Kurangi beban di server web target dan percepat situs. Di server proxy, Anda dapat mengompresi dan menyimpan data - ini adalah dasar dari kerja Jaringan Pengiriman Konten (CDN).
Perimbangan beban fleksibel antara beberapa server web target. Teknologi ini memungkinkan Anda untuk mendistribusikan beban permintaan pemrosesan antara beberapa mesin. Ini meningkatkan ketahanan dan kinerja sistem.
Mudah dihubungkan. Untuk mengaktifkan perlindungan, cukup ubah Catatan-A DNS dan tunggu sampai perubahan berlaku. Relokasi, perangkat keras dan lunak baru tidak diperlukan.
Menyembunyikan alamat IP asli dari server web target. Pengunjung menggunakan alamat IP dari server proxy untuk menghubungi, dan mereka menerima jawaban darinya, yang memastikan anonimitas sumber daya web target.

Membalikkan pembatasan proxy

Teknologi ini memiliki sejumlah jebakan, yang tidak terlalu lazim untuk dibicarakan. Batasannya meliputi:

DDoS- - . IP- -, , DNS-. DDoS- .
IP-, . , IP- . IP- , IP .
/ . DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
-, TCP-, 80 443. - , , UDP-, . .

Kerugian solusi untuk perlindungan terhadap serangan DDoS berdasarkan Proksi Balik "klasik" mulai dirasakan ketika proyek yang berkembang muncul melawan semakin banyak keterbatasan teknologi. Solusi teknis apa yang dapat meningkatkan atau secara signifikan mengurangi risiko tidak dapat diaksesnya situs karena kerugian yang terdaftar? - Baca di bawah.

Proginya mundur lebih besar

Mari kita lihat masalah dengan contoh nyata dari latihan kita. Tahun lalu, klien besar menghubungi kami dengan daftar persyaratan khusus untuk layanan perlindungan. Kami tidak dapat mengungkapkan nama perusahaan karena alasan yang jelas, tetapi kebutuhan klien - harap:

Lindungi situs dari serangan tingkat aplikasi.
Untuk menghapus sebagian dari beban dari server web target dan mempercepat pemuatan situs - klien memiliki banyak konten statis, dan dia tertarik untuk menyimpan dan mengompresi data pada node CDN.
Memberikan perlindungan terhadap serangan langsung pada alamat IP / jaringan (perlindungan terhadap serangan DDoS di tingkat OSI L3-L4).
Layanan harus terhubung tanpa mengubah alamat IP eksternal sumber daya. Klien memiliki AS sendiri dan blok alamat.
Manajemen layanan pemrosesan lalu lintas dan beralih ke saluran cadangan harus dilakukan secara waktu nyata - tingkat ketersediaan sumber daya sangat penting bagi klien.

Solusi berdasarkan proksi terbalik "klasik" dengan mengubah catatan-A DNS memungkinkan Anda untuk menutup dua item pertama dari daftar.

Layanan seperti hosting aman, server virtual dan berdedikasi memungkinkan Anda untuk melindungi diri dari serangan di tingkat OSI L3-L7, tetapi membutuhkan relokasi dan maksud menggunakan penyedia keamanan tunggal. Apa yang harus dilakukan?

Perlindungan DDoS dalam jaringan dengan layanan yang dilindungi

Menginstal peralatan pemfilteran di jaringan Anda memungkinkan Anda melindungi layanan di tingkat OSI L3-L7 dan secara bebas mengelola aturan pemfilteran. Anda menanggung modal besar (CaPex) dan biaya operasional (OpEx) dengan memilih solusi ini. Ini adalah biaya untuk:

peralatan penyaringan lalu lintas + lisensi perangkat lunak (CapEx);
pembaruan lisensi perangkat lunak (OpEx);
spesialis penuh waktu untuk menyiapkan peralatan dan memantau operasinya (OpEx);
Saluran akses internet yang memadai untuk menerima serangan (CapEx + OpEx);
pembayaran lalu lintas "sampah" yang masuk (OpEx).

Akibatnya, harga efektif per megabit dari lalu lintas yang tidak diolah menjadi sangat tinggi. Bagaimanapun, kemampuan untuk menyaring lalu lintas untuk solusi seperti itu akan lebih rendah daripada penyedia khusus. Selain itu, untuk meningkatkan kecepatan situs, satu atau lain cara harus menggunakan layanan penyedia CDN. Dari keunggulan solusi, perlu dicatat bahwa lalu lintas yang didekripsi tidak meninggalkan batas jaringan yang dilindungi. Kami akan membahas masalah ini secara lebih rinci nanti.

Bahkan untuk perusahaan besar, solusi seperti itu seringkali tidak layak secara ekonomi, belum lagi bisnis menengah dan kecil. Itu juga tidak cocok dengan klien kami.

Proksi tanpa mengubah catatan A.

Untuk memenuhi kebutuhan pelanggan tersebut, kami mengembangkan teknologi untuk mencegat lalu lintas web dan mengimplementasikannya sebagai bagian dari layanan perlindungan jarak jauh tanpa mengubah catatan A. Solusinya didasarkan pada prinsip: Semua koneksi antara AS klien dan jaringan publik harus dilindungi. Klien mengirimi kami pengumuman alamat IP / jaringannya melalui BGP, dan kami mengumumkannya di Internet.

Semua lalu lintas yang ditujukan untuk sumber daya yang dilindungi melewati jaringan kami. Klien dapat meninggalkan beberapa koneksi cadangan dan menggunakannya jika terjadi keadaan yang tidak terduga dengan menghapus pengumuman dari jaringan DDoS-GUARD. Dalam mode normal, kami sarankan hanya menggunakan koneksi kami untuk mengakses Internet, sehingga kami dapat menjamin perlindungan layanan klien.

Diagram di bawah ini menunjukkan bagaimana pemrosesan lalu lintas di jaringan kami diatur menggunakan contoh lalu lintas web.

IP-, , L7. API
. «» L3-4 OSI.
. TCP 80 443 , HTTP , -, .
- . .
Semua lalu lintas yang ditentukan oleh alamat IP / domain klien diproses di tingkat L7. Server proxy menyaring lalu lintas, mengoptimalkan konten, dan menyimpannya.

Aturan untuk jaringan dan domain dapat dibuat secara terpisah satu sama lain. Saat membuat aturan untuk domain, Anda tidak perlu menentukan alamat IP server webnya. Pendekatan ini memungkinkan untuk tidak membuat perubahan pada aturan penyaringan saat memigrasi domain antara server web dalam jaringan yang dilindungi. Atas permintaan klien, kami dapat mengubah aturan pemrosesan sedemikian rupa untuk mencegat lalu lintas di port lain.

Kesimpulan

Sekarang mari kita periksa apakah solusi DDoS-GUARD yang dikembangkan memenuhi daftar persyaratan dari bagian "Progensi balik yang lebih besar".

Klien menerima perlindungan terhadap serangan di tingkat OSI L3-L7.
Konten dikompresi dan di-cache pada node CDN kami, yang mengurangi beban pada server web target.
Manajemen perlindungan terjadi secara real time. Klien mengelola aturan penyaringan lalu lintas untuk subnet, alamat IP, dan domain individu melalui akun pribadi atau API. Perubahan mulai berlaku dalam 1 menit. Dalam keadaan darurat, klien dapat mengalihkan semua lalu lintas untuk memotong jaringan DDoS-GUARD hanya dengan menghapus pengumuman BGP.
Alamat IP yang dimiliki oleh perusahaan tetap tidak berubah. Klien tidak perlu membeli peralatan baru, perangkat lunak, merekrut staf tambahan dan membayar untuk lalu lintas yang tidak diobati.

Selain itu, dimungkinkan untuk melindungi layanan dan aplikasi yang berjalan pada port non-standar.

PS

Rekomendasi umum tentang cara melindungi proyek Anda:

, .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
— — , .
(), , , . DDoS «-», . , 100% , I II .
-, . , 100% , I II .

Progensi balik yang lebih besar - teknologi untuk perlindungan jarak jauh dan optimisasi situs tanpa mengubah catatan-A DNS