Get best of the week

反向代理的增长-无需更改DNS A记录即可进行远程保护和站点优化的技术



在过去的一个月中,由于向远程工作和培训的广泛过渡,Internet资源的平均负载显着增加(请参阅如何阅读我们的文章“泛滥和流量-电信运营商的观点”,在线电影院和游戏,在线平台的需求量很大。 ..?在这种情况下,应要求提供食物的培训服务,由于资源不可用而可能造成的潜在经济损失,包括由于DDoS攻击,特别是高强度而造成的潜在经济损失,

您会发现选择哪种方法来捍卫自己的项目,您将发现:

  • 通过使用DNS A记录更改的经典反向代理进行保护的局限性,提供商通常对此保持沉默。
  • 您应该选择哪种解决方案来避免与这些限制相关的风险?
  • 具有保护大型项目的真实案例,而无需移动和更改A记录。
  • 有关组织保护Internet资源的一般建议。

所以,首先是第一件事。您决定保护您不断发展的项目免受DDoS攻击。任何保护的基础都是对传入流量的分析和过滤。但是为了清除流量,必须先将其运送到清洁中心。在下文中,根据“保护决定”,我们将指的是用于传输和净化流量的技术的组合。

很有可能,您遇到的第一个解决方案将基于具有DNS A记录更改的反向代理技术。因此,首先,我们将考虑该技术的原理,其功能(如果您熟悉反向代理,请随时跳过这两个部分)以及与流量传送相关的限制(不应跳过)。然后,我们将通过一个实际案例来说明如何规避这些限制。最后,我们将对如何保护Internet资源提出一些一般性建议。

反向代理-工作原理


在这里,我们将反向代理视为传递流量的一种方式。她的工作计划对每个人都是众所周知的,但是根本不可能在这里不提。



  1. 更改DNS A记录-指示代理服务器的IP地址,而不是Web服务器的IP地址。变化在世界范围内的分布(DNS传播)。
  2. 访客操作系统请求与站点域名相对应的IP地址(DNS解析)。
  3. DNS服务器通过报告代理服务器的IP地址来响应请求。
  4. 访客浏览器打开一个HTTP会话并将请求发送到代理服务器,该代理服务器重新建立与目标Web服务器的连接并将请求传递给它。

反向代理功能


通过反向代理与A记录更改一起提供解决方案的解决方案有哪些机会?

  • 在应用程序级别监视请求并保护站点免受攻击。该技术使您可以处理到达目标服务器的每个应用程序级请求。
  • 减少目标Web服务器上的负载并加快站点速度。在代理服务器上,您可以压缩和缓存数据-这是内容交付网络(CDN)工作的基础。
  • 多个目标Web服务器之间的灵活负载平衡。该技术使您可以在多台计算机之间分配处理请求的负载。这样可以提高系统的弹性和性能。
  • 易于连接。要启用保护,只需更改DNS A记录并等待更改生效。不需要重新定位,新的硬件和软件。
  • 隐藏目标Web服务器的真实IP地址。访客使用代理服务器的IP地址进行联系,并从代理服务器接收答案,从而确保目标Web资源的匿名性。

反向代理限制


这项技术有很多陷阱,这些陷阱不是很常见。它的局限性包括:

  • DDoS- - . IP- -, , DNS-. DDoS- .
  • IP-, . , IP- . IP- , IP .
  • / .  DNS (DNS propagation). , . DNS propagation TTL (Time to Live) DNS-, .
  • -, TCP-, 80 443. - , , UDP-, . .



随着越来越多的项目面临越来越多的技术限制,基于“经典”反向代理的DDoS攻击防护解决方案的弊端开始显现出来。哪些技术解决方案可以归因于所列缺点,从而降低或显着降低站点无法访问的风险?- 参见下文。

反向代理的增长


让我们用我们的实践中的一个真实的例子来看问题。去年,一个大客户与我们联系,提供了有关保护服务要求的具体清单。由于明显的原因,我们无法透露公司的名称,但是客户的需求-请:

  • 保护站点免受应用程序级别的攻击。
  • 为了减轻目标Web服务器的部分负载并加快站点的加载速度,客户端具有大量静态内容,并且他对在CDN节点上缓存和压缩数据很感兴趣。
  • 提供针对IP地址/网络的直接攻击的保护(针对L3-L4 OSI级别的DDoS攻击的保护)。 
  • 服务必须在不更改资源的外部IP地址的情况下进行连接。客户端具有自己的AS和地址块。
  • 流量处理服务的管理和切换到备用通道应实时进行-资源可用性级别对于客户端至关重要。

基于具有更改的DNS A记录的“经典”反向代理的解决方案使您可以关闭列表中的前两项。

安全托管,虚拟服务器和专用服务器之类的服务可让您保护自己免受L3-L7 OSI级别的攻击,但需要重新定位并意味着使用单个安全提供程序。该怎么办?

网络内具有受保护服务的DDoS保护


在网络中安装过滤设备可让您保护L3-L7 OSI级别的服务并自由管理过滤规则。通过选择此解决方案,您将承担大量资本(CaPex)和运营费用(OpEx)。这些费用用于:

  • 流量过滤设备+软件许可证(CapEx);
  • 更新软件许可证(OpEx);
  • 专职专家来设置设备并监控其运行(OpEx); 
  • 足以接收攻击的互联网访问渠道(CapEx + OpEx);
  • 支付传入的“垃圾”流量(OpEx)。

结果,未经处理的流量每兆位的有效价格变得过高。无论如何,针对这种解决方案过滤流量的能力将低于专门提供商的能力。而且,为了提高站点的速度,必须以一种或另一种方式求助于CDN提供商的服务。在该解决方案的优势中,值得注意的是,解密后的流量不会离开受保护网络的边界。稍后我们将更详细地讨论此问题。

即使对于大型公司,这样的解决方案在经济上通常也不可行,更不用说中小企业了。它也不适合我们的客户。

在不更改A记录的情况下进行代理。


为了满足这些客户的需求,我们开发了一种拦截Web流量的技术,并将其作为远程保护服务的一部分实施而无需更改A记录。该解决方案基于以下原则:必须保护客户端的AS和公共网络之间的所有连接。客户端通过BGP向我们发送其IP地址/网络的公告,然后在Internet上进行公告。



所有发往受保护资源的流量都将通过我们的网络。客户端可以通过从DDoS-GUARD网络中删除公告来保留多个备份连接,并在意外情况下使用它们。在正常模式下,我们建议仅使用连接来访问Internet,以便我们可以保证对客户端服务的保护。

下图使用网络流量示例显示了如何组织网络中的流量处理。



  1. IP-, , L7. API
  2. . «» L3-4 OSI.
  3. . TCP 80 443 , HTTP , -, .
  4. - . .
  5. 客户端IP地址/域指定的所有流量都在L7级别进行处理。代理服务器过滤流量,优化内容并将其缓存。

网络和域的规则可以彼此独立创建。为域创建规则时,无需指定其Web服务器的IP地址。当在受保护网络内的Web服务器之间迁移域时,此方法允许不更改过滤规则。根据客户的要求,我们可以更改处理规则,以拦截其他端口上的流量。

结论


现在,让我们检查开发的DDoS-GUARD解决方案是否满足“增长的反向代理”部分中的要求列表。

  • 客户端将获得针对L3-L7 OSI级别的攻击的保护。
  • 内容被压缩并缓存在我们的CDN的节点上,从而减少了目标Web服务器上的负载。
  • 防护管理是实时进行的。客户端通过个人帐户或API管理子网,IP地址和各个域的流量过滤规则。更改将在1分钟内生效。在紧急情况下,客户端只需删除BGP公告,即可重定向所有流量以绕过DDoS-GUARD网络。
  • 公司拥有的IP地址保持不变。客户无需购买新设备,软件,雇用额外的人员并为未经处理的流量付费。

另外,可以保护在非标准端口上运行的服务和应用程序。

聚苯乙烯


有关如何保护您的项目的一般建议:

  • , .. — MTU (Maximum Transmission Unit). MTU, , .. , ) .
  • — — , .
  • (), , , . DDoS «-», . , 100% , I II .
  • -, . , 100% , I II .

More articles:


All Articles