Get best of the week

Proteção DDoS simétrica e assimétrica - qual a diferença?

O que é um esquema de conexão simétrica e assimétrica para proteção contra ataques DDoS? Quais são as vantagens e desvantagens de cada um deles? Qual proteção é melhor para o seu projeto? Você encontrará as respostas para essas perguntas abaixo do corte.


Ao longo do caminho, falaremos sobre simetria nas redes de telecomunicações em geral. Você descobrirá como a Internet é assimétrica, de onde vem essa assimetria e, em geral, é boa ou ruim. Como bônus - solução rápida para os dois problemas mais comuns ao conectar a proteção de rede. E depois da leitura, você pode entender o que tentei retratar no KDPV.


polegar


O que é simetria?


Todos entendem o que é "simétrico" no nível das "sensações", mas não conseguem articular imediatamente o que isso significa. Vamos tentar. Se algo é chamado de simétrico, significa que não muda sob a influência de certas transformações - transformações de simetria. O exemplo mais óbvio é a simetria geométrica.


90 , . : " 90 ". — . — "", . . .


— . . — . : . , , . , , — .
sym



, . , Facebook Facebook . ? : , , , ..


— . . " " . . , . . — , . 1891 — . XX () ( ). , , "" . .


(), .

, .


quadro de distribuição



, , 27 , 1% . , .


— , .

IP- (IP / ID ). . UDP — , . TCP , - , .


, . . ( ) , .


. . , .


tráfego


:



- .


, .

, , , .


, " " — RFC — :


  • Forward direction, .
  • Reverse direction— , .
  • Upstream link, — downstream links.

. hot-potato routing. , , , . hot-potato — — "" .


?


, . "Observing routing asymmetry in Internet traffic". Tier-2, Tier-1, .


, "". (Flow) — IP , IP , , ID . , .


  1. .
  2. .
  3. , , .. , UDP.
    , :

ligações


  • — flows — / * 100
  • — packets — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .
  • — bytes — (1-|Nab-Nba|/|Nab+Nba|)*100%, Nab — , Nba — .

, , . edge-.


.


"How Asymmetric Is the Internet?" , ( — IP- ).


  1. 4000 RIPE Atlas. — , . .
  2. Traceroute . Traceroute , .. , . .

número


  1. , 12.6% ( , 5 — 10%).
  2. , . , :

diff
y — , ( ) A --> --> . x — . , — 1. , . — .


, ?


  • ,

. DDoS.



DDoS- , , , : . - , , . , — , .


esquemas
, . . ? .
, .


: , , , ?
:…
: ?
:…
: !
: ...


- . , , , " " .


: , , , ?
: . . .
: ?
: , , .
: !
: .


, , , , . DDoS-.


: SYN flood


, TCP. , (3-way handshake).


  1. SYN , .
  2. , SYN-ACK . SYN , A+1, B, .
  3. ACK B+1, TCP .

, ( ).


SYN flood — DDoS-, — . SYN (spoofed) IP . SYN-ACK ACK', … . TCP .


hatiko


? , — SYN cookie SYN proxy.


SYN cookie . , SYN (IP , TCP ..), , B SYN-ACK . SYN-ACK TCP cookie. (3 3-way handshake), B+1, ACK . .


ookie . , ACK . , . , , ACK cookie, SYN cookie. . , .


synproxy
spoofing spoofing'o. , . — , , .


(UDP, QUIC, ICMP) TCP. . IP , .


, .


, , .


edge-, " " . , . : ( ).


, edge-, . :


proteção
, . , . edge ? — "", , ! .


, ? , 3. , . — . , .. 3 . 1 2 .


, , , — . , . , , 1, 2. . , , , , . , , " ".


DDoS


DDoS, , — . BGP, . . . , — . , , .


  1. — BGP. peering' .
  2. . , , , , . , , , troubleshooting' c . , " ". , .
  3. , , , .. , . , TCP. RTT (. Round Trip Time). .
  4. . - . , , 100% . .

2-4 , DDoS .


, . DDoS 100% . mitigation — , — . , - . " " , .


?


95% , , DDoS , . , . ( DDoS ) — , . , , , .


. , BGP.


drake


DDoS-GUARD , , . .


BONUS: ,



, - uRPF strict loose. ? uRPF (Unicast Reverse Path Forwarding) . , , , source IP.


uRPF IP- . strict , c , IP, . spoof' IP . , , . loose IP- , .


/ GRE / IPIP-


MTU . :


  • Maximal Transmission Unit (MTU) — Protocol Data Unit (PDU).
  • PDU — + payload.
  • Maximal Segment Size (MSS) — payload.
    () PDU payload PDU . , MTU , payload.

MTU 1476, MSS – 1436 ( 1400) ( Don't fragment). - .


. MSS , . MSS : Juniper, Cisco, Mikrotik.

More articles:


All Articles