Cómo utilizar dispositivos de equilibrio de carga para defenderse de ataques

Como entrada a aplicaciones clave, los equipos de equilibrio de carga se han convertido naturalmente en el objetivo de varios ataques. Cómo garantizar que el dispositivo de equilibrio de carga proteja el servidor backend sin paralizarse es un problema que el equilibrador de carga debe resolver. De hecho, desde el nacimiento de los equipos de equilibrio de carga, sus altas sesiones simultáneas y su nueva tasa de conexión han eclipsado a los productos de firewall. Además, la gran mayoría de las IP objetivo de los ataques son IP virtuales (VIP) que recaen en el dispositivo de equilibrio de carga. En comparación con la forma en que el firewall procesa el tráfico que pasa, el dispositivo de equilibrio de carga comprende mejor cómo deberían ser estas aplicaciones. protegido y, naturalmente, es adecuado para aplicar direcciones IP virtuales y políticas para el servidor backend. La configuración de un firewall fuera del dispositivo de equilibrio de carga se debe a razones de administración existentes para algunos usuarios. Para aplicaciones de Internet con mucho tráfico, es raro implementar un firewall fuera del dispositivo de equilibrio de carga. La siguiente es una introducción a los diversos métodos de defensa contra ataques proporcionados por los productos AX de A10 Network. 1. En primer lugar, contra el ataque de inundación SYN más común, el dispositivo de equilibrio de carga utiliza el mecanismo ampliamente utilizado de cookies SYN para defenderse. Lo que preocupa a los usuarios es el rendimiento de la cookie SYN. El equipo de gama alta del A10 utiliza hardware para procesar SYN-Cookie, que puede defenderse contra ataques DDoS de hasta 50 M SYN/seg (aproximadamente 3 puertos 10G y 3 Gigabit llenos de tráfico de ataque), y el impacto en la CPU es de 0,2. límite. Para ataques tipo Smurf basados ​​en una gran cantidad de PING, el dispositivo de equilibrio de carga puede limitar la cantidad de paquetes ICMP procesados ​​por segundo. 3. Límite de velocidad de conexión basado en la IP de origen, aplicable a TCP y UDP. Cada vez más ataques DoS distribuidos son conexiones TCP válidas o ataques UDP. Si la velocidad de conexión de una única IP excede el valor establecido, el dispositivo de equilibrio de carga puede realizar varias acciones, como descartar la dirección IP, enviar alarmas de registro y bloquearla durante un período de tiempo determinado. 4. Defensa contra ataques anormales de IP. El dispositivo de equilibrio de carga del A10 puede detectar y descartar tipos de ataques comunes como Land-attack y Ping-of-Death. 5. Lista de control de acceso (ACL), filtrado basado en cinco tuplas de IP, no es necesario entrar en detalles. 6. Equilibrio de carga del servidor basado en políticas (PBSLB), el dispositivo de equilibrio de carga del A10 puede admitir una lista blanca y negra de hasta 8 millones de registros de host. La lista se puede actualizar automáticamente y periódicamente a través del servidor TFTP y no hay vulnerabilidad de transición durante la transición. el periodo de actualización. La cantidad de ACL o políticas de firewall es decenas de veces mayor que la de los enrutadores. Puede limitar la cantidad de conexiones para direcciones en esta lista, dividirlas en diferentes grupos y optar por descartarlas o reenviarlas a diferentes grupos de servidores. Esta función se puede combinar con otras funciones antiataques de A10 para generar dinámicamente listas blancas y negras. 7. Límite en la cantidad de servidores virtuales/conexiones de servidor. Limite la cantidad de conexiones asignadas a un solo servidor o a un servidor virtual completo, según las capacidades del servidor. Evite la parálisis del servidor debido a demasiadas conexiones. El límite puede aplicarse al servidor o a uno de sus puertos de servicio. 8. Límite de velocidad de conexión del servidor/servidor virtual. El elemento anterior limita el número de conexiones estáticas mantenidas al mismo tiempo y este elemento limita la tasa de nuevas conexiones. Para una gran cantidad de ataques de conexión corta o tráfico en ráfaga, la cantidad de conexiones simultáneas no es grande, pero una gran cantidad de conexiones nuevas también pueden paralizar el servidor. 9. Límite de solicitudes simultáneas HTTP y límite de tasa de solicitudes. Para la gran cantidad actual de ataques CC, las restricciones mencionadas anteriormente basadas en la cantidad de conexiones y las velocidades de conexión ya no son efectivas, porque los ataques CC a menudo envían una gran cantidad de solicitudes HTTP en una sola conexión TCP. El dispositivo de equilibrio de carga de A10 combina defensa contra ataques basada en solicitudes de capa 7 con poderosas funciones de lista blanca y negra, que pueden limitar la cantidad total de conexiones simultáneas desde una única fuente IP, la tasa de nuevas conexiones, la cantidad de solicitudes simultáneas y la solicitud. tasa. Las diferentes IP de usuario se pueden dividir en diferentes grupos y establecer diferentes parámetros. 10. Verificación de cumplimiento de DNS. Para DNS, que es la aplicación principal, no se puede ignorar la defensa contra ataques. Además de las características generales anteriores, el dispositivo de equilibrio de carga del A10 puede comprobar la conformidad de los paquetes DNS, filtrar o reenviar paquetes cuyo formato no cumpla con los estándares del protocolo DNS a dispositivos de seguridad especializados.

11. Función de almacenamiento en caché de DNS dinámico. Debido a la capacidad limitada del servidor DNS, cómo proteger el servidor DNS y permitir que el servicio DNS funcione normalmente cuando hay tráfico anormal es un problema que los usuarios están ansiosos por resolver. La función de almacenamiento en caché de DNS dinámico de A10 puede establecer un umbral basado en la capacidad del servidor DNS backend. Cuando el número de solicitudes para un determinado nombre de dominio alcanza un cierto número, la función de almacenamiento en caché del nombre de dominio se puede habilitar dinámicamente y un dispositivo de equilibrio de carga. responder a las solicitudes de DNS. La premisa de esta función es que la capacidad de procesamiento de DNS del dispositivo de equilibrio de carga sea lo suficientemente alta. La capacidad de procesamiento de DNS del producto básico de 64 bits de A10 puede alcanzar 1,5 millones de DNS QPS (solicitudes de DNS/segundo). 12. Guión personalizado. Los scripts personalizados basados ​​en el lenguaje tcl permiten a los usuarios definir políticas de seguridad más flexibles según sus necesidades. En particular, el script personalizado del A10 puede llamar a la lista blanca y negra mencionada anteriormente de hasta 8 millones de entradas. Lo anterior es sólo una breve descripción de cada característica de seguridad. Cada característica de seguridad tiene algunas funciones detalladas que pueden resolver los problemas de seguridad con los que muchos usuarios tienen problemas. Algunas funciones se presentarán en detalle más adelante.