Ինֆրակառուցվածքի պաշտպանությունը DDoS հարձակումներից¶
Այս հոդվածում
Ժամանակակից վեբ-ռեսուրսները և ինտերնետային ծառայությունները խոցելի են բաշխված ծառայությունների մերժման (DDoS) հարձակումների նկատմամբ, որոնք կարող են հանգեցնել կրիտիկական համակարգերի ձախողման՝ լիովին խոչընդոտելով ամբողջ ընկերությունների և կազմակերպությունների աշխատանքը։ Հետևաբար, DDoS հարձակումների դեմ հուսալի պաշտպանություն ապահովելը առաջնահերթ խնդիր է անընդհատ առցանց ծառայությունների գործառույթը պահպանելու համար։ HOSTKEY-ն առաջարկում է DDoS-Guard ընկերության երկու համապարփակ լուծում DDoS հարձակումների դեմ՝ հիմնական անվճար տարբերակը և բարձրացված վճարովի տարբերակը։ Յուրաքանչյուր լուծում ունի իր յուրահատուկ ակտիվացման առանձնահատկությունները, պաշտպանության մակարդակը և ապահովված հնարավորությունները։
Ուշադրություն
Բարձրացված DDoS պաշտպանությունը հասանելի է միայն առանձնացված սերվերների համար։
Հիմնական DDoS պաշտպանություն¶
Համապարփակ DDoS պաշտպանության համակարգը DDoS հարձակումների դեմ ամուր լուծում է, որն օգտագործում է BGP-ի միջոցով հայտարարված ուղղությունները և երթևեկության ֆիլտրացիան։ Բոլոր պաշտպանված ցանցերը հայտարարվում են բոլոր մատակարարներին, ներառյալ DDoS-Guard-ը, ապահովելով եկող երթևեկության օպտիմալ հասանելիություն ստանդարտ BGP AS-PATH-ի միջոցով։ Արտաքին մատակարարները տեղեկացված են այս ցանցերին հասնելու բազմաթիվ AS-PATH-երի մասին և պահպանում են ուղղությունների տեղեկատվությունը իրենց ռոուտերների ուղղորդման տվյալների բազայում (RIB)։
Եկող երթևեկությունը մոնիտորինգի համար բոլոր մուտքի կետերում կոնֆիգուրացված է Sflow վերլուծությունը։ Երբ գերազանցվում է կոնկրետ IP հասցեի շեմային արժեքը (սերվերի պորտի և 50%-ի լայն ժապավենի տարողունակությունը), ակտիվանում է խթանիչ մեխանիզմը։ Այնուհետև ենթացանցը դադարում է հայտարարվել բոլոր մուտքի կետերին՝ բացառությամբ DDoS-Guard-ի։ Մատակարարները մաքրում են RIB-ի տեղեկատվությունը այլ AS-PATH-երից՝ թողնելով միայն մեկ ուղի հարձակված ենթացանց դեպի DDoS-Guard-ի միջոցով։ DDoS-Guard-ը ֆիլտրում է երթևեկությունը՝ թույլ տալով սերվեր հասնել միայն մաքրված հոսքերին։
Երկու ժամ անց ենթացանցը նորից հայտարարվում է բոլոր մուտքի կետերին։ Եթե հարձակումը շարունակվում է, մեխանիզմը կրկին կակտիվանա։ Ապահովագրական հատկանիշը թույլ է տալիս պաշտպանել ինֆրակառուցվածքը նույնիսկ այն դեպքում, եթե հարձակումը այնքան հզոր կամ բարդ է, որ թափանցում է DDoS-Guard-ի պաշտպանությունը։ Այս դեպքում, երբ ենթացանցը արդեն պաշտպանված է, սկզբնական խթանիչի ակտիվացումից 10 րոպե անց երկրորդ խթանիչի ակտիվացման դեպքում ակտիվանում է DDoS blackhole մեխանիզմը։ Այն բոլոր մատակարարներին ուղարկում է /32 ուղի՝ արգելափակելով կոնկրետ IP հասցեին ուղղված երթևեկությունը։ Ավտոմատ բացումը տեղի է ունենում blackhole-ի ակտիվացումից երկու ժամ անց։
Բարձրացված DDoS պաշտպանություն¶
DDoS պաշտպանության անվճար տարբերակն ունի իր նախկին իրականացման մի շարք թերություններ։ Պաշտպանության սցենարները մշակելիս՝ DDoS-Guard-ին անցնելու ընթացքում կորուստների պատճառով տեղի է ունենում ծառայության փոքրիկ անկում մի քանի րոպեների ընթացքում։ Չնայած ուղղորդման տեղեկատվության բազայի (RIB) փոփոխությունները սովորաբար ապահովում են հարթ անցում այլընտրանքային ուղու, անկումը շարունակվում է։
Բացի այդ, օգտագործվում են միայն ընդհանուր շեմային արժեքներ, ինչը նշանակում է, որ պաշտպանությունը կարող է ակտիվանալ միայն պարզ և արդյունավետ հարձակումների դեպքում։ Սակայն այս մեխանիզմը չի պաշտպանում արձանագրությունների խոցելիություններին ուղղված հարձակումներից, օրինակ՝ փոքր մասշտաբի SYN flood կամ UDP-flood հարձակումներից, որոնք կարող են չգերազանցել շեմային արժեքները և հետևաբար չանցնեն պաշտպանության տակ։ Չնայած այս հարձակումները ընդհանուր առմամբ ոչ կրիտիկական են մեծամասնության ծառայությունների համար, որոշ վեբկայքեր կարող են ունենալ կատարողականության զգալի անկում։
Այս խնդիրը լուծելու համար կրիտիկական ծառայությունների համար առաջարկվում է մշտական պաշտպանության լուծում։ Մի քանի նշանակված ենթացանցեր հատկացված են հատուկ այս նպատակներով։ Այս ենթացանցերը հայտարարվում են միայն DDoS-Guard-ի միջոցով և հետևողականորեն մաքրվում վնասակար երթևեկությունից։
Քանի որ այս ենթացանցերով տվյալների երթևեկությունը թանկ է, այս ծառայությունը տրամադրվում է վճարովի հիմունքներով։ Այսպիսով, DDoS պաշտպանության բարձրացված տարբերակը թույլ է տալիս պաշտպանել կրիտիկական ծառայությունները DDoS հարձակումների տարբեր տեսակներից, ներառյալ արձանագրությունների խոչելիություններին ուղղված և փոքր մասշտաբի հարձակումներ, որոնք կարող են չգերազանցել շեմային արժեքները ստանդարտ պաշտպանության ռեժիմում։
Ծառայությունների տարբերությունները¶
| Հիմնական տարբերակ | Բարձրացված տարբերակ | |
|---|---|---|
| Ակտիվացման պայմաններ | Միայն երբ գերազանցվում են երթևեկության կոնկրետ շեմային արժեքները | Շարունակական պաշտպանություն՝ անկախ երթևեկության ինտենսիվությունից |
| Պաշտպանության տակ գտնվելու ժամանակ | 2-4 ժամ | Մշտապես |
| Միանշանակ առանձնահատկություններ | Ակտիվանում է միայն շեմային արձանագրությունների լուրջ խախտումների դեպքում, օրինակ՝ հզոր DDoS հարձակումների դեպքում | Պաշտպանում է ցանկացած ինտենսիվությամբ հարձակումներից, ներառյալ փոքր չափսի արձանագրությունների խոչելիությունների դեպքում (20 Մբիտ/վ, SYN flood, UDP-flood) |
| Ծառայության անկում | Ծառայության կարճատև անկում մի քանի րոպեների ընթացքում | Ոչ մի |
| Ցանցի հայտարարում | Բոլոր մատակարարներին, ներառյալ DDoS-Guard-ը | Նշանակված պաշտպանված ցանցերը հայտարարվում են միայն DDoS-Guard-ի միջոցով |
| Առավելագույն արտացոլված DDoS տարողունակություն | - | 650 Գբիտ/վ |
| Պաշտպանության մակարդակ | L3/L4 | L3/L4 |