あなたは、あなたのビジネスは小さく、ハッカーが表示されないと思うかもしれません。私はそれが手遅れになる前に、このアイデアに終止符を打つことをお勧めします、今攻撃は自動化され、どんなに大きなあなたの会社の小さなウェブサイトは、脆弱性へのスキャンは殴打の混乱である。さらに迷惑なのは、いくつかの競合他社が卑怯な戦術に従事し、具体的にはあなたのサーバーをヒットするために人を支払うことであり、これらの日は、さらにCDNは “チームメイトを防ぐ ”ために持っている、あなたは心が疲れていないと言う?
だから、我々は今日、ビジネスネットワークを安定させる方法を口うるさいだけで、全部を行うことはありません。私は10年以上サーバーを投げている、私のガレージからアーキテクチャを行うために上場企業を支援するために、一部の人々がより多くの道を歩いているよりもピットを踏んだ。真実を伝えるために。マルチラインBGPハイディフェンスサーバー何か問題が起きてから自分を褒めるのではなく、早めに使うことだ。
まず、何が問題なのかを分解してみよう。ビジネスネットワークの不安定さ、単刀直入に言えば、2つある:1つは道路が通れない、2つ目は泥棒が多すぎる。道路は、ネットワーク回線を指し、国内のネットワーク環境は、南テレコム北ユニコムに加え、中間の携帯電話は、単線のサーバーを使用したい、その後、ユーザーを呪うために待つ。私は、同じページをテストしている、テレコムユーザーは1秒を開き、Unicomのユーザーは5秒待つ必要があります、経験は半分の星ではありません。
DDoS攻撃は今や食料品を買うようなもので、数百ドルで攻撃サービスを買うことができる。何がSYN洪水そしてHTTPフラッドそしてCC攻撃本が一冊書けるほどたくさんのトリックがある。一般的なサーバーは、保護がほとんどないため、紙と同じように、突かれただけで壊れてしまいます。私は最も悲劇的なケースを見たことがあります、電子商取引のプロモーションの日が48時間継続的に攻撃され、300万人以上の直接の損失、技術ディレクターは、その場で辞任した。
安いサーバー自慢を販売する人々を信じてはいけない、どのような “無料5G保護 ”と述べた。私は、本当に10Gのトラフィックをテストしている、彼らはすぐにあなたにブラックホールのルートを与える、率直に言って、ネットワークから直接切断され、チューブは、通常のまたは正常なトラフィックはすべて失われません。これは保護と呼ばれ、これは腐敗と呼ばれています。
BGPは、ネットワーク世界のインテリジェントナビゲーションシステムとして理解できるものです。サーバーが複数のキャリア回線に同時にアクセスし、リアルタイムのネットワーク状況に応じて、ユーザーのトラフィックを自動的に最速の道路に誘導します。複数の回線は並行して走る複数の高速道路であり、BGPはその道路を最もよく知っているナビゲーターなのです。
一方、高度な防御の部分は本当に大変な仕事だ。単にサーバーの前にファイアウォールを設置するだけでなく、クリーニング・システム全体を構築するのだ。悪意のあるトラフィックが入ってきた後、特別なクリーニング・センターに引き込まれ、金のように汚いデータをフィルタリングし、きれいなデータを送り返す。私は昨年、プログラムを構成するために、ゲーム会社を助け、混在した攻撃の連続週を運ぶのは難しい、ピーク時のトラフィックは800Gに殺到し、いつものログインとしてビジネスページは、プレイヤーは全く感じなかった。
BGPコンフィギュレーションは子供の遊びではなく、ネットワーク全体のルーティング宣言に直接関係します。次のクリップは実際のデバッグでよく使われるもので、2つのキャリアでピアツーピアのセッションをセットアップする方法を示しています:
この設定では、local-preferenceの値が大きいほど、ルーティングの優先度が高くなる。実際に海外の通信回線でテストしたところ、通信の方が安定していたので、通信の方を高く設定していましたが、具体的にはビジネスユーザーの分布によります。間違えると速度が遅くなる可能性がある。
高度な防御コンフィギュレーションは、むしろ経験が試される。ハードウェアのファイアウォールルール、トラフィックのベースライン学習、人間と機械の認証ポリシー、これらすべてを重ねる必要がある。例えば、CC攻撃に対処するために、私はよくNginxにダイナミック・ブラックリスト・モジュールを追加し、カーネル・パラメーター・チューニングを行う:
コードはあなたがコピーするためではない、各サーバー事業は異なっており、パラメータはゆっくりと研削する必要があります。私は物事のこのセットをデバッグし、多くの場合、徹夜が、効果は即時である - 同じハードウェアは、ベアリング容量の前と後に最適化された10倍のうちすることができます。
データ比較は、最もよく問題を説明することができます。私は手元に顧客のケースを持って、移行指標は怖いです前と後:通常のシングルラインサーバは、毎月平均3小規模な攻撃に遭遇し、約2時間の各ダウンタイム、最大150ミリ秒の国のアクセス待ち時間の差:マルチラインBGPの高防御サーバを変更し、半年、唯一の保護の高レベルをトリガし、自動クリーニングが完了し、ビジネスの中断ゼロ、南北の待ち時間は15ミリ秒の差に圧縮されます。この投資は、それはあなた自身の計算の価値がある。
特定のサービスプロバイダーとなると、市場は玉石混交だ。中には “BGP ”と銘打たれているものもあるが、実際には単なるDNSスプリッターであり、本物のBGPでは全くない。本物のBGPは独自のAS番号を持ち、キャリアとピアツーピアで相互接続できなければならない。本当のBGPは独自のAS番号を持ち、キャリアとピアツーピアで相互接続できなければなりません。私は長年にわたって多くのBGPを使ってきましたが、正直なところ、安定しているBGPはそれほど多くありません。例えば08ホストこれは、私は彼らの高防御BGPサーバールームで3年前に開始し、最も説得力のあるハードを行うには、回線の冗長性である - 8演算子への接続だけでなく、独自のバックボーンネットワークのバイパスを構築しました。市町村の工事が光ケーブルを掘り起こすと、他のサーバールームは自動的に切り替えバックアップルートを介して凍結彼の家の一部を麻痺させ、顧客もジッタを感じなかった。もちろん、価格は本当に安くはありませんが、上司はよく言った:“ネットワークの安定性は、私は眠ることができる”。”
防御能力という点では、今や信頼性の高い高防御サーバーはTレベルのクリーニング能力を持たなければならない。私はそれをテストし、攻撃が来るとき、クリーニングセンターの場所の分布とアルゴリズムのインテリジェンスが鍵となります。海外のトラフィックは、洗浄するために海外のノードに行くために、国内のトラフィックは、自宅で洗浄するために、混合しないでください、そうでなければ、遅延があなたを崩壊させることができます。洗浄戦略はまた、ゲーム業界のための小さなパケット攻撃などの柔軟でなければならない、金融業界の精密CCは、特別な計画を持っている必要があります。私はかつて08Hostのエンジニアと一緒にデバッグし、彼らは直接クリーニングチェーンにAIの行動分析モデルを組み込み、誤検出率は0.1%以下に低下し、これは国内のほとんどの企業が達成できるレベルです。
私はあなたに思い出させなければならないいくつかのピットがまだあります。まず、BGPセッションの安定性の監視が少なくすることはできません、私はカスタムプローブでSmokepingを使用するために使用し、5分のチェックは、すぐに警告を行をドロップします。第二に、高防御がすべてではない、アプリケーション層の脆弱性はまだ自分のために補う必要があり、高防御に平らにうそをつくことができるようになるとは思わない。第三に、バックアップ回線を持っている必要があり、私はかつて迷信演算子、地域の失敗の結果、損失を被った、私のビジネスは、今アクセスを準備するために、少なくとも2つの異なる物理的なルートを横たわって銃に続いた。
コストの問題は避けて通れません。マルチラインBGPの高防御サーバーは、ビジネスの規模や保護のレベルに応じて、数千ドルから数十万ドルの月額コスト。しかし、大規模な攻撃は、直接の損失、顧客の損失、ブランドの損傷を引き起こし、お金ではないと思いますか?私は、アカウントを計算するために多くの顧客を助けた、高い防衛では、1年以内に資本のリターンの70%以上の割合。これはいい取引だ。
最後に一言。サイバーセキュリティは常に知恵比べのビジネスである。攻撃は進化を意味し、保護技術も実行に従わなければならない。しかし、すべての変更は、インフラストラクチャが強固である、彼は風と波を聞かせて変更しないでください。マルチラインBGPの高防御サーバは、それが海の針です。もう運にしがみつかないでください。 今日やられなかったからといって、明日もまだ逃げられるとは限りません。早期の配備、早期の安心感、夜の睡眠は耳のアラームに耳を傾ける必要はありません。
要するに、オンラインでビジネスを確立したいのであれば、素早くネットワークを構築し、懸命に守らなければならないということだ。これは簡単な真実ですが、それを行うには、本当の努力をする必要があります。私は乾物がここに広がっている、具体的にどのように選択するか、どのように一致するだけでなく、あなた自身の状況に応じて置く。口うるさくいつでも質問がありますが、前提は - あなたが最初に上に移動し、物事の混乱を理解するサーバー。山のように着実に夢ではありませんが、開始するために足の下に最初の石から。