Consejos para limpiar nombres de dominio

DDo (Denegación de servicio distribuida) es un ataque distribuido de denegación de servicio. Se refiere a que un hacker envía una gran cantidad de solicitudes aparentemente legítimas al objetivo mediante el control de una botnet compuesta por múltiples broilers. o servidores, ocupando así una gran cantidad de recursos de la red y paralizando la red, impidiendo que los usuarios accedan a los recursos de la red con normalidad.

No es difícil ver en los informes de análisis DDoS de varios proveedores de seguridad que la escala y la tendencia de los ataques DDoS están aumentando exponencialmente. Debido a la reducción de los costos de los ataques, los requisitos de umbrales técnicos más bajos y la proliferación desenfrenada de herramientas de ataque, se pueden ver grupos de pollos en todas partes en Internet, lo que facilita el lanzamiento de ataques DDoS.

Las técnicas de ataque DDoS incluyen: ataques de tráfico directo comunes (como SYN/ACK/ICMP/UDP FLOOD), ataques de tráfico de reflexión utilizando aplicaciones o protocolos específicos (como ataques de reflexión NTP/DNS/SSDP, 2065438 2008 Ataque de reflexión de Memcached en GitHub el 28 de febrero de 2018), CC basado en aplicaciones y HTTP lento. Hay muchos recursos en Internet sobre los principios y herramientas de estas técnicas de ataque, por lo que no entraré en detalles aquí.

1.1 Rutinas de defensa contra DDoS

Las rutinas convencionales para defenderse contra DDoS incluyen: limpieza del dispositivo local, limpieza del operador y limpieza de la nube.

1. Limpieza de equipos locales

Los equipos anti-DDoS (comúnmente conocidos en la industria como equipos ADS) generalmente se despliegan en forma de caja a la salida de la red, y pueden ser implementados en serie o en bypass. La implementación de canal lateral requiere desviar el tráfico cuando ocurre un ataque. El esquema de implementación básico se muestra en la Figura 18-1.

Figura 18-1 Modo de implementación del dispositivo ADS

El dispositivo de detección en la Figura 18-1 analiza el tráfico reflejado y notifica al dispositivo de limpieza después de detectar un ataque DDoS. El dispositivo de limpieza atrae tráfico al dispositivo de limpieza a través de protocolos BGP u OSPF y luego inyecta tráfico limpio en la red a través de enrutamiento de políticas o LSP MPLS. Cuando el dispositivo de detección detecte que el ataque DDoS se ha detenido, notificará al dispositivo de limpieza para que detenga el desvío del tráfico.

Cuando los dispositivos ADS se implementan localmente, los usuarios empresariales pueden confiar en algunos algoritmos y modelos de defensa integrados para defenderse eficazmente contra algunos ataques de tráfico comunes a pequeña escala. Al mismo tiempo, combinado con las estrategias y servicios personalizables que proporciona la caja, resulta conveniente para los usuarios empresariales experimentados analizar paquetes de ataque y personalizar estrategias de defensa específicas. En la actualidad, el mercado nacional está representado principalmente por NSFOCUS Black Hole. Puede iniciar sesión en su sitio web oficial para obtener más información.

El mayor problema con la limpieza local es que cuando el tráfico de ataques DDoS excede el ancho de banda de salida de la empresa, incluso si el dispositivo ADS puede manejarlo, no puede resolver el problema. El ancho de banda de salida para usuarios corporativos, como valores financieros ordinarios, puede estar en el rango de unos pocos cientos de megabytes a varios gigabytes. Si encuentra tráfico de más de diez gigabits o incluso cientos de megabits, será realmente problemático, y mucho menos un ataque DDoS de nivel T.

? 2. Limpieza del operador

Cuando la limpieza del dispositivo local no puede resolver el problema del tráfico que excede el ancho de banda de salida, a menudo se necesita la ayuda de las capacidades del operador. La ampliación o activación de emergencia de los servicios de limpieza son prácticas habituales, siempre que se contraten los correspondientes servicios de limpieza, generalmente se requiere confirmación por teléfono o correo electrónico, y algunos pueden requerir fax.

El servicio de limpieza del operador básicamente detecta si hay ataques DDoS en la red basándose en el muestreo de flujo de red. La granularidad de la estrategia es relativamente gruesa, por lo que el efecto de detección para tipos de ataques DDoS con características de bajo tráfico a menudo no lo es. ideal. Además de algunas operaciones de proceso como llamadas telefónicas, correos electrónicos y faxes. Sin embargo, cuando se produce un ataque real, el procesamiento puede ser más lento, lo cual es necesario tener en cuenta.

Vale la pena mencionar que el servicio Li Yundi de China Telecom proporciona servicios de "supresión de tráfico" y "limpieza de fuente cercana", y también proporciona una plataforma de autoservicio para que los usuarios puedan ver el tráfico de manera muy conveniente. y empezar a limpiar.

? 3. Limpieza de la nube

La red de distribución de contenidos (CDN) se refiere a colocar servidores de nodos en toda la red para que los usuarios puedan acceder a los servicios en el lugar más cercano, mejorando así la velocidad de acceso y la calidad del servicio.

CDN utiliza principalmente cuatro tecnologías clave: enrutamiento de contenido, distribución de contenido, almacenamiento de memoria y gestión de contenido. Para obtener principios técnicos más detallados, consulte la explicación detallada de la tecnología CDN publicada por el Instituto de Investigación de Telecomunicaciones de China.

La intención original de la tecnología CDN es mejorar la velocidad de acceso de los usuarios de Internet a sitios web estáticos. Sin embargo, debido a las características del acceso distribuido y cercano, el tráfico de ataque puede diluirse. Por lo tanto, además de proporcionar funciones de aceleración de la nube, algunos proveedores de CDN tradicionales también han comenzado a lanzar servicios de limpieza de la nube. Por supuesto, también hay algunas empresas de seguridad que han entrado en el mercado de la limpieza de la nube basándose en sus propias ventajas. Los principios básicos son los mismos. Primero debe configurar los registros correspondientes en la nube. Cuando una empresa sufre un ataque a gran escala, puede modificar el nombre de dominio CNAME protegido por su registro DNS a un registro preconfigurado en la nube y esperar a que el DNS surta efecto.

Debe prestar atención a los siguientes problemas al utilizar la limpieza en la nube:

1.-Los proveedores de limpieza en la nube deben configurar los registros correspondientes con anticipación. Después de modificar el registro DNS, debe esperar a que surta efecto el tiempo de espera TTL. ?

2.? La limpieza de la nube no puede proteger los ataques contra las IP de origen, que deben limpiarse localmente y por parte de los operadores. ?

3. La defensa de los sitios web HTTPS también implica certificados HTTPS, y es necesario considerar los riesgos de seguridad de los datos resultantes. También existen en el mercado las correspondientes soluciones sin llave{n1}.

El entorno doméstico no es compatible con la tecnología Anycast, por lo que no entraré en detalles. Si hay sitios web de sucursales en el extranjero que necesitan protección, puede prestarles atención.

{nt1|Para obtener más información, consulte el artículo en el blog de Cloudflare, enlace: [/keyless-SSL-the-nitty-grity-technical-details/](/keyless-SSL-the- nity-grity-detalles-técnicos/).

Alguna experiencia

Combinado con la experiencia del autor, haré algunos complementos para la implementación de la protección DDoS, solo como referencia.

1. Plataforma de automatización

Debido a los requisitos de alta disponibilidad, las empresas financieras a menudo tienen múltiples centros de datos, y un centro de datos también estará conectado a múltiples líneas de operador, para que los usuarios puedan acceder a la WAN. El sistema de equilibrio de carga accede a los últimos recursos óptimos. Cuando se produce un ataque DDoS en cualquier línea de acceso, la demanda de acceso en esta línea se puede transferir a otras líneas de Internet a través del sistema de equilibrio de carga WAN. En ataques DDoS dirigidos a direcciones IP, esta solución puede proteger eficazmente el acceso de los usuarios normales para que no se vea afectado. Para lograr un cambio rápido, es necesario implementarlo a través de una plataforma de operación y mantenimiento automatizada, como se muestra en la Figura 18-2.

Figura 18-2

La coordinación de emergencia con un solo clic para el ajuste de línea permite a los miembros del equipo dominar rápidamente el método y cambiar tan pronto como ocurre un incidente, minimizando el impacto. El siguiente paso es notificar al operador que limpie y espere a que el tráfico vuelva a la normalidad antes de volver a cambiar.

Cuando se ataca la IP de un determinado servicio, se pueden llevar a cabo ataques dirigidos, como la desactivación con un clic para permitir que los usuarios normales accedan a otras IP; también se puede iniciar el servicio de limpieza con un clic;

? 2. Resistencia del equipo

Además de los equipos ADS, también hay algunos equipos que deben prestar atención a sus capacidades anti-DDoS, incluidos firewalls y equipos de equilibrio de carga.

Debido a requisitos de seguridad y controlabilidad, las empresas financieras a menudo implementan firewalls en modelos heterogéneos, como el producto A más externo, que puede utilizar el producto B. Si el producto A tiene capacidades anti-DDoS deficientes, cuando ocurre un ataque, el producto A puede tener problemas antes de que se limpie el dispositivo ADS, como conmutación HA o la incapacidad de manejar nuevas conexiones.

En las pruebas de selección de productos, debe prestar atención a esta capacidad. Combinado con la experiencia del equipo del autor, existen los siguientes puntos de referencia:

1. módulo Habrá un consumo de rendimiento extremadamente grave y se recomienda apagarlo en un entorno donde pueda haber ataques.

2. Aunque existen diferencias entre la teoría y la práctica, según las condiciones de prueba reales, se recomienda que el número máximo de conexiones de firewall sea lo mayor posible cuando hay una gran cantidad de TCP y UDP nuevos. conexiones.

3. Experimente más, compare más, encuentre mejores soluciones y lance mejores soluciones mediante los ajustes y optimizaciones adecuados.

4. Supervise la CPU del firewall y el número de conexiones. Cuando exceda un cierto valor, comience a optimizar las reglas, mueva las reglas a las que se ha accedido con más frecuencia y reduzca la cantidad de reglas.

El equipo de equilibrio de carga también debe prestar atención a los problemas anteriores. Además, dado que el equilibrio de carga es responsable de la distribución y programación de las solicitudes de acceso a las aplicaciones, puede defenderse contra ataques DDoS y ataques lentos basados ​​en la velocidad de IP y la velocidad de URL hasta cierto punto. La Figura 18-3 muestra la estrategia de protección DDoS de F5 ASM.

Figura 18-3

La función anti-DDoS de ASM en el dispositivo de equilibrio de carga

Cuando la solicitud pasa a través del firewall y el equilibrio de carga y finalmente es procesado en la máquina de destino, también requiere atención. La configuración de ajuste del rendimiento del sistema, el ajuste de los parámetros de rendimiento de Nginx, la configuración del módulo de conexión restringida, etc. están involucrados en el trabajo real.

3. Simulacros de emergencia

Implementar productos y desarrollar plataformas automatizadas de operación y mantenimiento, así como coordinar las respuestas necesarias y simulacros de emergencia. Debido a la particularidad de la industria financiera, la cantidad de ataques DDoS es mucho menor que la de la industria de Internet, y es posible que algunas empresas no encuentren uno durante varios años. Con el tiempo, mis habilidades se oxidan. Cuando realmente los necesite, es posible que olvide la cuenta y la contraseña para iniciar sesión en el dispositivo y es posible que ni siquiera pueda encontrar el dispositivo que requiere cableado en el sitio. Eso es una lástima.

Además, las capacidades de servicio de los servicios de monitoreo de periféricos, operadores y productos de limpieza de la nube adquiridos también deben probarse mediante simulacros. Si el descubrimiento de segundo nivel y la respuesta de nivel mínimo prometidos al firmar el contrato pueden resistir la prueba, primero debe poner un signo de interrogación en su mente. Se recomienda realizar el simulacro sin notificarlo con anticipación, observar y registrar los problemas durante el simulacro y enviarlo al proveedor de servicios para su rectificación después del simulacro. Estos simulacros se organizan periódicamente varias veces al año.