Perlindungan DDoS simetris dan asimetris - apa bedanya?

Apakah skema koneksi simetris dan asimetris untuk perlindungan terhadap serangan DDoS? Apa kelebihan dan kekurangan masing-masing? Perlindungan mana yang terbaik untuk proyek Anda? Anda akan menemukan jawaban untuk pertanyaan-pertanyaan di bawah ini.

Sepanjang jalan, kita akan berbicara tentang simetri di jaringan telekomunikasi secara umum. Anda akan mengetahui seberapa asimetris Internet, dari mana asimetri ini berasal, dan secara umum itu baik atau buruk. Sebagai bonus - perbaikan cepat untuk dua masalah paling umum saat menghubungkan perlindungan jaringan. Dan setelah membaca, Anda pasti bisa memahami apa yang saya coba gambarkan di KDPV.

Apa itu simetri?

Semua orang mengerti apa yang "simetris" pada tingkat "sensasi," tetapi mereka tidak bisa langsung mengartikulasikan apa artinya ini. Mari mencoba. Jika sesuatu disebut simetris, artinya itu tidak berubah di bawah pengaruh transformasi tertentu - transformasi simetri. Contoh yang paling jelas adalah simetri geometris.

90 , . : " 90 ". — . — "", . . .

— . . — . : . , , . , , — .

, . , Facebook Facebook . ? : , , , ..

— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .

(), .

, .

, , 27 , 1% . , .

— , .

IP- (IP / ID ). . UDP — , . TCP , - , .

, . . ( ) , .

. . , .

:

• —

- .

, .

, , , .

, " " — RFC — :

• Forward direction — , .
• Reverse direction — — , .
• Upstream link — , — downstream links.

. hot-potato routing. , , , . hot-potato — — "" .

?

, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .

, "". (Flow) — IP , IP , , ID . , .

1. .
2. .
3. , , .. , UDP.
   , :

• — flows — / * 100
• — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
• — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .

, , . edge-.

.

"How Asymmetric Is the Internet?" , ( — IP- ).

1. 4000 RIPE Atlas. — , . .
2. Traceroute . Traceroute , .. , . .

1. , 12.6% ( , 5 — 10%).
2. , . , :

y — , ( ) A --> --> . x — . , — 1. , . — .

, ?

• ,

. DDoS.

DDoS- , , , : . - , , . , — , .

, . . ? .
, .

: , , , ?
:…
: ?
:…
: !
: ...

- . , , , " " .

: , , , ?
: . . .
: ?
: , , .
: !
: .

, , , , . DDoS-.

: SYN flood

, TCP. , (3-way handshake).

1. SYN , .
2. , SYN-ACK . SYN , A+1, B, .
3. ACK B+1, TCP .

, ( ).

SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .

? , — SYN cookie SYN proxy.

SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .

ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .

spoofing spoofing'o. , . — , , .

(UDP, QUIC, ICMP) TCP. . IP , .

, .

, , .

edge-, " " . , . : ( ).

, edge-, . :

, . , . edge ? — "", , ! .

, ? , 3. , . — . , .. 3 . 1 2 .

, , , — . , . , , 1, 2. . , , , , . , , " ".

DDoS

DDoS, , — . BGP, . . . , — . , , .

1. — BGP. peering' .
2. . , , , , . , , , troubleshooting' c . , " ". , .
3. , , , .. , . , TCP. RTT (. Round Trip Time). .
4. . - . , , 100% . .

2-4 , DDoS .

, . DDoS 100% . mitigation — , — . , - . " " , .

?

95% , , DDoS , . , . ( DDoS ) — , . , , , .

. , BGP.

DDoS-GUARD , , . .

BONUS: ,

, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.

uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .

/ GRE / IPIP-

MTU . :

• Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
• PDU — + payload.
• Maximal Segment Size (MSS) — payload.
  () PDU payload PDU . , MTU , payload.

MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .

. MSS , . MSS : Juniper, Cisco, Mikrotik.