Geekly Articles each Day

Selectelでの拡張DDoS保護の仕組み



SelectelでDDoS Protectionサービスが開始されから2年以上が経過しました。 それ以来、会社の100以上のクライアントがそれを利用し、200以上の単一IPアドレスが保護に設定され、一部のクライアントは24個のサブネットを即座に保護しています。 この間、システムはそれぞれ10ギガビット/秒を超える200を超える大規模な攻撃を撃退し、クリーニングシステムを通過するトラフィックの量は5倍に増加しました。 有名なMiraiボットのTCP SYN攻撃もあり、1秒あたり1,700万パケットで70 Gb / sのパワーマークを超えました。

DDoS攻撃に対する保護の経験を考慮して、追加の保護手段が導入され、OSIモデル L7レベルまで機能する独自のクリーニングアルゴリズムが開発されまし 。これは、行動トラフィック分析に基づいており、実際のユーザーのアルゴリズムを再作成します。

この記事では、SelectelのDDoSに対する高度な保護の組織の機能について説明します。

目的別に分類するすべてのDDoS攻撃は、次のグループに分類できます。


既存のセキュリティシステムは、帯域幅輻輳攻撃とうまく機能し、プロトコルレベルで受け入れられます。 DDoS攻撃に対する保護を強化することで、トラフィッククリーニングコンプレックスに別のステップが追加されます。これは、プロトコルレベルおよびアプリケーションレベルでの攻撃から保護するための特別なプロキシサーバーです。

DDoS攻撃に対する通常の保護による、クリアされたトラフィックの移動経路を図に示します。


DDoS攻撃に対する保護を強化するには、サーバーからの要求に対する応答も、DDoS(トラフィッククリーニング)に対する複雑な保護を通過する必要があります。


最も単純なケースでは、DDoS保護複合体の側で、プロキシサーバーに基づいて動作するソフトウェアおよびハードウェアソリューションが個別に構成されます。 このソリューションは、すべてのデータを保護されたリソースに送り返します。

HTTPといえば、クライアントアドレスはプロキシサーバーによってHTTPヘッダー(X-Forwarded-ForやX-Real-IPなど)に追加されます。 ただし、これはHTTPのようなプロトコル(HTTP、HTTP / 2、HTTPS、Speedy)でのみ機能します。 TCPとUDPの両方に基づく他のプロトコルの場合、ヘッダーは追加されません。

作業スキーム


クライアントのIPアドレスが192.0.2.55であるとします。
保護されたサーバーの実際のIPアドレスは198.51.100.15です。

サーバーをDDoSから高度に保護するには、サーバー上のどのアプリケーションを攻撃から保護するかを示す特別なアンケートに記入する必要があります。

保護するアプリケーションの数-保護するオブジェクトの数:


アンケートに基づいて、SelectelはIPアドレスのペアを識別します。


このアドレスは、パートナーネットワークを介してルーティングすることでアクセスできるため、クライアントからサーバーへのすべての着信トラフィックはクリーニングコンプレックスに分類されます。


プロキシサービスでは、トラフィックは次のように処理されます。

以前:(src-ip 192.0.2.55、dst-ip 95.213.255.45)。

Steel:(src-ip 192.168.0.45、dst-ip 203.0.113.34)-192.168.0.45-DDoS保護パートナーがNATプールに使用するアドレス。


サーバー203.0.113.34のセキュアIPアドレスは、サーバー管理者、SelectelおよびDDoSからの保護のためのパートナーのみが知っています。 実サーバーのアドレス198.51.100.15は、サーバー管理者とSelectelのみが知っています。

実サーバーのアドレス95.213.254.15は、たとえばapt-get更新のためにサーバー側からの接続を整理したり、たとえばsshを介してサーバーを管理および監視したりするために使用されます。

保護された(例では203.0.113.34)および実際の(例では198.51.100.15)アドレスは秘密にしておく必要があり、それらの機密解除はクリーニングコンプレックスによるDDoS攻撃につながる可能性があります。

アドレス203.0.113.34は、サーバーをトラフィッククリーニングコンプレックスに接続するために使用され、インターネットからはアクセスできません。 サーバーの通信アドレスを保護されたアドレスの実際のアドレスのトラフィッククリーニングコンプレックスと一致させるために、Selectelは次の形式の静的ルーティングを使用します。
ルート203.0.113.34/32経由198.51.100.15/

インターネット上のサーバーからクライアントへの戻りトラフィックは次のとおりです。

  1. サーバーはIPパケットを送信します(src-ip 203.0.113.34、dst-ip 192.168.0.45)。
  2. Selectelルーターは、192.168.0.45(トラフィッククリーニングコンプレックスのNATプールのアドレス)の形式のアドレスに着信するサーバーからトラフィックを抽出し、トラフィッククリーニングコンプレックスに送り返します。


パケットはクリーニングコンプレックスを反対方向に通過し、SRC-IPアドレスとDST-IPアドレスがIPパケットで置き換えられます。 クライアントは最終的にIPパケットを残します(src-ip 95.213.255.45、dst-ip 192.0.2.55):


アドレス変換は、クライアントとサーバーの両方に対して透過的です。 デバイスアドレスがパケット内で送信される場合(特に、SIPパケットには内部の関係者のアドレスが含まれます)、これらのパケットはDDoS保護複合体内のALG処理により内部的に変更されます。 現在、この複合施設はFTP、TFTP、SIP、RTSP、PPTP、IPSecのALGプロファイルをサポートしています。

サポートされているアプリケーション


DDoSに対する高度な保護のために、クリーニングコンプレックスの微調整が必​​要です。 今日、Selectelでは、次のアプリケーションに高度な保護を提供できます。


セキュアなトラフィック(HTTPS、TLSサポートを備えた他のプロトコル)を処理するアプリケーションの場合、正しいプロキシを編成するためにDDoS保護複合体に秘密鍵を転送する必要があります。 キー転送がないと、アプリケーションレベルでの保護が不可能になり、機能はプロトコルのレベルによって制限されます。

DDoS攻撃に対する保護の強化は、HTTPリソースとその他(TeamSpeak、CounterStrike、DNS)の両方に対して設計されています。 HTTPトラフィックに関しては、複合体は通過するパケットの完全なL7分析に焦点を当てており、XSS、SQLインジェクションなどのさまざまなHTTP攻撃にうまく対処します。

Source: https://habr.com/ru/post/J348454/

More articles:


All Articles