その日の午前3時、私の携帯電話は救命胴衣のように振動していた。必死で携帯電話を手に取ると、画面には運行とメンテナンスの兄から送られてきたアラームのスクリーンショットの数々と、すすり泣くような口調の声が映し出されていた。“兄さん、渋滞が吹き荒れ、入り口は真っ赤、営業はもう持ちません”。”
私は即座に目を覚まし、コンピューターに駆け寄った。コンソールにログインすると、ピーク時のトラフィックがほぼ一直線に並んでいた。UDPフラッド.
その夜、紙粘土のような私たちの伝統的なハードウェアファイアウォールは、帯域幅に毎秒ゴミメッセージの数百万人が水をブロックし、実際のビジネスの要求もドアに絞ることはできません。その瞬間から、私は完全に今日のネットワーク環境では、あなたの “高セキュリティ ”は、HTTP / HTTPSのためだけである場合、それは唯一のセキュリティドアをインストールした玄関と同じであることを理解したが、裏庭のフェンスはきれいに取り壊した。
UDP攻撃は、DDoS攻撃ファミリーの中で最も「不正」であり、最も「非倫理的」な攻撃と言える。
スリーハンドシェイクのような礼儀正しいゲームすらしないのだ。攻撃者は大量のUDPメッセージを偽装し、無情にもあなたのサーバーのポートにゴミのように叩き込む。DNSプロトコルそしてNTPプロトコルそしてSSDPプロトコル通常のゲームポートでさえ、この攻撃の踏み台や標的になる。あなたのサーバーは、これらの無意味な「挨拶」に対処するために、解析、応答、あるいは存在しない接続タイムアウトを待つなど、多くのリソースを費やさなければならない。
もっと嫌なのは、この攻撃のトラフィックの製造効率が非常に高いということです、小さなコンソールが簡単にトラフィックの数十または数百Gbpsを打つことができる、コストは法外に低いです。私はあまりにも多くの企業を見てきましたが、Gの防衛の公称数百を購入するために多くのお金を費やす “高セキュリティ”、純粋なUDPフラッドはすぐに彼らの防衛システムはまだ、セッション状態の検出の底部に依存する可能性があるため、元のフォームに遭遇したUDPフラッドは、正確にステートレスですが、直接バイパスされます。
では、何が本当にUDP攻撃を「無視」するのか?DDoS対策サーバー?
それは間違いなく、コントロールパネルの単純な「保護をオンにする」ボタンではありません。長年、ブラック企業チェーンと戦ってきて、私は、防衛戦略の端から核心に至るまで、3次元のセットこそが、命を救うわらのビジネスであることを発見した。単一のデバイスや単一のアルゴリズムに期待することは、純粋な自己欺瞞である。
防衛の第一線は、事業者の交通清掃センターでなければならない。これは、国道の入り口に検問所を設置するのと同じことだ。真に信頼性の高い高防御サービスは、オペレータのクリーニングノードに接続されたIPアドレスセグメントを持っています。異常なトラフィック(特にUDPトレント)が検出されると、トラフィックは直接サーバーに殺到するのではなく、これらの分散型クリーニングセンターに引き込まれます。
ここでは、特にステートレスフラッドクリーニング機器のために配置され、彼らは分析、レート制限、フィンガープリントの学習や他の技術の特性を介して、ネットワークトラフィックの数万人で、金鉱のように、通常のパケットをふるいにかける。あなたは、機器の帯域幅インターフェイスとコンピューティングパワーの任意の単一のポイントは、カマキリである何百ものGのUDPフラッドの前で、“抵抗するのは難しいローカルファイアウォール ”ナンセンスと言う人々を信じてはならない。
クレンジングセンターの核となる利点は、「帯域幅の後背地」と専用ハードウェアであり、これはローカルのサーバールームでは到底かなわない。
第二の防御線は、ブラックホール・メカニズムによるスマート・ルーティングだ。浄化は完全ではなく、常に極端な状態が存在する。攻撃トラフィックが、基礎となるネットワーク全体の安定性を脅かす恐怖の所定の閾値(例えばTレベル)を超えると、責任あるオペレーターは「ブラックホール・ルーティング」を起動する。
簡単に言えば、ネットワークの最上位に位置し、世界中のルーターに「このIPアドレスで発生したすべてのデータは、ブラックホールに直接投げ込んでください。“
サーバーを放棄するような残酷な行為に聞こえるが、実際はサーバールームにいる何千人ものユーザーをネットワークインフラの麻痺から守るための英雄的な行動なのだ。
良い高防御サービスプロバイダは、非常に高いブラックホールのトリガーのしきい値を持っており、リアルタイムのブラックホールのステータスを照会し、高速なブロック解除サービスを提供することができます。私は08Hostのようないくつかのサービスプロバイダと協力して、戦略のこの作品は非常に透明性と柔軟性があり、彼らの高い防御IPはめったにネットワーク全体のブラックホールには、このステップに行くため、フロントクリーニングの容量は、十分な大きさを与えるために、私たちの操作とメンテナンス担当者が底を持っていることができます。
外部防御だけでは不十分で、ローカルサーバーの「微調整」が重要だ。多くのオペレーション兄弟はこれを無視している。
UDPサービスについては、合理的なローカル設定を行うことで、残存攻撃の圧力を効果的に軽減することができる。例えば、必要でないUDPサービスについては、しっかりとポートを閉じる。オープンでなければならないUDPサービス(DNS、ゲームなど)については、必ずオペレーティング・システム・レベルでレート制限をかけること。Linuxでは、iptables、またはより最新のnftablesがその役目を果たす。
これらのルールは、サーバーの各UDPサービスウィンドウに流量調整弁を追加するようなもので、津波には耐えられないが、クリーニング後も漏れがある場合に発生する局所的な輻輳を防ぐことができる。
建築レベルで考えることこそ、長期的な成功の基本なのだ。今の私の原則はこうだ:中核事業と外部サービスの完全分離.
攻撃を受けやすいUDPアプリケーション(ゲーム用バトルスーツ、音声リレー、DNSリゾルバなど)を真の高防御IPの背後に配置するか、あるいは高防御サーバだけを使用する。また、データベース、内部API、管理バックエンドなどのコア資産は、外部ポートのない別のプライベートネットワークセグメントに配置し、専用回線またはVPNを介してフロントエンドのハイディフェンスサーバーと通信する。
この方法では、フロントエンドのUDPの洪水は、せいぜい、唯一の外部サービスのその部分に影響を与える場合でも、コアデータと内部のビジネスは変更されません。最近では、CDNも “チームメイトを防ぐ”(いくつかの信頼性の低いサードパーティのサービスが攻撃の源になるのを防ぐという意味)、独自のアーキテクチャを持っており、その後、分離の良い仕事をしていない、それは単に運のギャンブルです。
防御力の高いサーバーを選ぶときは、もう防御力の合計値だけを見てはいけない。探偵のように尋ねなければならない:“「UDPフラッドのクリーニング戦略は?クリーニングノードは分散されていますか?Gのブラックホールのトリガーとなる閾値はどれくらいですか?” 相手が言い逃れをしたり、派手なPDFを見せるだけなら、基本的には顔を背けて立ち去ればいい。
本当の実力は技術的な詳細や運用保守プロセスに反映される。私が経験したのは300Gを超えるレベルのハイブリッド攻撃(UDPベース)で40分以上続いたが、その時に使用された高防御IPはマルチセンター・クレンジングと柔軟なトラフィック・スケジューリングに頼って持ち越し、業務では遅延のわずかな変動に加え、パケットロスがほとんどなかった。どのような広告よりも、強盗の後にそのような感覚は、問題をよりよく説明することができます。
結局のところ、サイバーセキュリティに特効薬はない。攻撃を “無視 ”することは、攻撃が存在しないことを意味するのではなく、攻撃をバックグラウンド・ノイズとして扱い、もはや実質的な脅威とならないように、ビジネス・システムが十分に堅牢であることを意味する。そのためには、キャリアのバックボーン・ネットワークのクリーニングから、インテリジェントなルート・スケジューリング、サーバー・ローカルのきめ細かな制御、そして最終的にはビジネス・アーキテクチャの深いデカップリングまで、防御システムをタマネギのように何層にも重ねる必要がある。
このような立体的な防御システムに費用と労力を費やし、特にUDPのような「低コストの殺し屋」に対して最適化されていることを確認することが、デジタル道路を行くあなたのビジネスに強力な装甲エンジンを装備する唯一の方法である。
アラームが再び鳴ったときに初めて、落ち着いてコーヒーを一口飲み、プロテクション・ステートメントのトラフィックの急上昇を簡単に和らげることができる。“