클라우드 호스트 투자율

DDo (Distributed Delivery Services) 는 분산 서비스 거부 공격입니다. 즉, 해커가 여러 육계나 서버로 구성된 좀비 네트워크를 제어하여 타겟에 합법적으로 보이는 대량의 요청을 전송함으로써 대량의 네트워크 리소스를 사용하여 네트워크를 마비시키고 사용자가 네트워크 리소스에 정상적으로 액세스하지 못하도록 하는 것을 말합니다.

각 보안 업체의 DDoS 분석 보고서에서 DDoS 공격의 규모와 추세가 두 배로 증가하고 있음을 알 수 있습니다. 공격 비용 절감, 기술 문지방 요구 사항 감소, 공격 도구의 무분별한 전파로 인터넷 곳곳에서 육계 떼를 볼 수 있어 DDoS 공격을 쉽게 시작할 수 있다.

DDoS 공격 기술에는 일반적인 직접 트래픽 공격 (예: SYN/ACK/ICMP/UDP FLOOD), 특정 어플리케이션 또는 프로토콜을 사용하는 반사 트래픽 공격 (예: NTP/DNS/SSDP 반사 공격, 2065438+2008 년 2 월 20 일) 이 포함됩니다 이러한 공격 기술의 원리와 도구에 대하여 인터넷에는 많은 자원이 있는데, 여기서는 군말을 하지 않는다.

1..1DDOS 방어 루틴

DDoS 를 방어하는 일반적인 루틴으로는 로컬 장치 정리, 운영자 정리 및 클라우드 정리가 있습니다.

1. 로컬 장치 청소

DDoS 장치 (업계 속칭 ADS 장치) 는 일반적으로 네트워크 출구에 상자로 배치되며, 직렬로 배포하거나 우회하여 배포할 수 있습니다. 우회 배치는 공격이 발생할 때 흐름 견인이 필요하며 기본 배포 시나리오는 그림 18- 1 에 나와 있습니다.

그림 18- 1 ADS 장치 배포 모드

그림 18- 1 의 감지 장치는 미러 트래픽을 분석하고 DDoS 공격이 감지되면 정리 장치에 알립니다. 청소 장치는 BGP 또는 OSPF 프로토콜을 통해 트래픽을 청소 장치로 끌어들이고 정책 라우팅 또는 MPLS LSP 를 통해 깨끗한 트래픽을 네트워크에 주입합니다. 감지 장치가 DDoS 공격 중지를 감지하면 정리 장치에 흐름 견인을 중지하라고 알립니다.

ADS 디바이스가 로컬에 배포되면 기업 사용자는 몇 가지 내장된 방어 알고리즘과 모델에 의존하여 소규모 공통 트래픽 공격에 효과적으로 저항할 수 있습니다. 동시에 상자에서 제공하는 맞춤형 전략과 서비스를 결합하여 숙련된 기업 사용자가 공격 패키지를 분석하고 맞춤형 방어 전략을 수립할 수 있도록 합니다. 현재 국내 시장은 주로 그린리그 블랙홀을 대표해 공식 홈페이지에 접속해 자세히 알 수 있다.

로컬 정리의 가장 큰 문제는 DDoS 공격 트래픽이 엔터프라이즈 출구 대역폭을 초과할 경우 ADS 장치가 처리할 수 있더라도 이 문제를 해결할 수 없다는 것입니다. 일반 금융증권과 같은 회사 사용자의 출력 대역폭은 수백 메가바이트에서 몇 기가바이트 범위 내에 있을 수 있습니다. 십여 기가바이트, 심지어 100 메가바이트의 유량을 만나면 정말 번거로울 것이다. 하물며 T 급 DDoS 공격은 말할 것도 없다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 도전명언)

-응? 2. 운영자 청소

현지 장비 청소로 트래픽이 수출 대역폭을 초과하는 문제를 해결할 수 없는 경우 통신업체 능력의 도움이 필요한 경우가 많습니다. 긴급 확장 또는 청소 서비스 시작은 적절한 청소 서비스를 구매하면 일반적으로 전화나 메일 확인이 필요하며 팩스도 필요할 수 있습니다.

운영자의 청소 서비스는 기본적으로 netflow 샘플링에 따라 네트워크에 DDoS 공격이 있는지, 정책의 세분성이 낮기 때문에 저트래픽 특징에 대한 DDoS 공격 유형의 감지 효과가 좋지 않은 경우가 많습니다. 전화, 메일, 팩스 등의 프로세스 작업을 추가합니다. , 진짜 공격이 올 때 처리가 느려질 수 있다는 점에 유의해야 한다.

흥미롭게도 차이나 텔레콤의 윤디 리 서비스는' 트래픽 억제' 및' 근거리 정리' 서비스를 제공하고, 사용자 작업을 위한 셀프 서비스 플랫폼을 제공하며, 트래픽을 보고 정리를 시작하는 것이 매우 편리합니다.

-응? 3. 클라우드 클리닝

콘텐츠 배포 네트워크 (CDN) 는 네트워크 전체에 노드 서버를 배치하여 사용자가 가장 가까운 곳에서 서비스에 액세스할 수 있도록 함으로써 액세스 속도와 서비스 품질을 향상시키는 것을 의미합니다. CDN 은 주로 컨텐츠 라우팅, 컨텐츠 배포, 메모리 스토리지, 컨텐츠 관리의 네 가지 핵심 기술을 사용합니다. 더 자세한 기술 원리는 중국 통신연구원이 발표한 CDN 기술 상세 설명을 참고하시기 바랍니다.

CDN 기술의 원래 의도는 인터넷 사용자가 정적 웹 사이트에 액세스하는 속도를 높이는 것이다. 그러나 분산되고 근거리 방문의 특징으로 공격 트래픽을 희석할 수 있다. 이에 따라 일부 기존 CDN 공급업체는 클라우드 가속 기능 외에도 클라우드 클리닝 서비스를 시작했습니다. 물론, 일부 보안 회사들은 자신의 장점을 바탕으로 클라우드 청소 시장에 진출한다. 기본 원리는 같습니다. 먼저 클라우드에서 해당 레코드를 구성해야 합니다. 기업이 대규모 공격을 받을 경우 DNS 레코드 보호를 위한 도메인 이름 CNAME 을 클라우드 사전 구성된 레코드로 수정하여 DNS 가 효력을 발휘할 때까지 기다릴 수 있습니다.

클라우드 클리닝을 사용하려면 다음 문제에주의를 기울여야합니다.

1.- 클라우드 클리닝 공급업체는 해당 기록을 미리 구성해야 합니다. DNS 가 레코드를 수정한 후 TTL 시간 초과를 기다려야 적용됩니다. -응?

2.? 소스 IP 공격에 대한 클라우드 정리는 보호할 수 없으며, 지역 및 통신업체에 의해 청소해야 합니다. -응?

3. HTTPS 웹 사이트 방어에는 HTTPS 인증서도 포함되므로 데이터 보안 위험을 고려해야 합니다. 시장에도 해당 무열쇠 방안 {n 1} 이 있습니다.

국내 환경은 Anycast 기술을 지원하지 않으며 군더더기는 하지 않는다. 해외 지사가 있는 사이트가 보호가 필요하면 주목해 주세요.

{nt 1| 자세한 내용은 클라우드 flare 블로그의 웹 문장, 링크: [/keyless-SSL-the-nitty-grity-technical-dee 를 참조하십시오

몇 가지 경험

필자의 경험과 결합해서 DDoS 보호 착지에 대한 약간의 보충은 참고용으로만 제공된다.

1. 자동화 플랫폼

고가용성 요구 사항으로 인해 금융 기업은 여러 개의 데이터 센터를 보유하고 있으며, 한 데이터 센터는 여러 통신업체 회선에 접속하여 사용자가 WAN 로드 밸런싱 시스템을 통해 최신 최적 리소스에 액세스할 수 있도록 합니다. 액세스 회선에서 DDoS 공격이 발생할 경우 이 회선의 액세스 요구 사항은 WAN 로드 밸런싱 시스템을 통해 다른 인터넷 회선으로 이동할 수 있습니다. IP 주소에 대한 DDoS 공격에서 이 시나리오는 일반 사용자의 액세스를 효과적으로 보호합니다. 빠른 전환을 위해서는 그림 18-2 와 같이 자동 운영 및 유지 관리 플랫폼을 통해 수행해야 합니다.

그림 18-2

회선 조정 버튼 한 번의 비상 조정으로 팀 구성원이 사건 발생 첫 순간에 방법과 전환을 신속하게 파악할 수 있어 영향을 최소화할 수 있습니다. 다음 단계는 운영자에게 정리를 통보하고 트래픽이 정상으로 돌아올 때까지 기다린 후 다시 전환하는 것입니다.

한 서비스의 IP 가 공격받을 때, 원클릭 비활성화와 같은 타겟을 공격하여 일반 사용자가 다른 IP 에 액세스할 수 있도록 할 수 있습니다. 한 번의 클릭으로 청소 서비스를 시작할 수도 있습니다.

-응? 2. 장비의 저항

ADS 장치 외에도 방화벽 및 로드 밸런싱 장치를 포함한 DDoS 방지 기능에 주의해야 하는 장치도 있습니다.

보안 및 제어 가능성에 대한 요구로 인해 금융 기업은 제품 B 를 사용할 수 있는 최외곽 제품 A 와 같은 이기종 모델을 사용하여 방화벽을 배포하는 경우가 많습니다. 제품 A 의 DDoS 내성이 좋지 않은 경우, 공격이 발생할 때 ADS 장치 정리가 완료될 때까지 기다리지 않았을 수 있습니다. 제품 A 는 이미 HA 전환이나 새로운 연결을 처리할 수 없는 것과 같은 문제가 있습니다.

제품 선택 테스트에서 이 방면의 능력에 주의를 기울여야 하며, 필자의 팀 경험과 결합해서 다음과 같은 점을 참고할 수 있습니다.

1. 일부 제품은 로그 모듈을 열면 매우 심각한 성능 소모가 발생할 수 있으므로 공격이 있을 수 있는 환경에서는 닫는 것이 좋습니다.

2. 이론과 실제는 편차가 있지만 실제 테스트 상황에 따라 대량의 신규 TCP 및 UDP 연결이 있을 경우 방화벽 연결의 최대 수를 최대한 크게 하는 것이 좋습니다.

3. 다중 실험, 다중 비교, 그중에서 더 좋은 방안을 찾아 적절한 조정과 최적화를 통해 더 좋은 방안을 내놓는다.

4. 방화벽 CPU 및 연결 수를 모니터링합니다. 특정 값을 초과하면 규칙 최적화를 시작하고 액세스 횟수가 많은 규칙을 앞으로 이동하여 규칙 수를 줄입니다.

로드 밸런싱 장치도 위의 문제에주의를 기울여야합니다. 또한 로드 밸런싱은 어플리케이션 액세스 요청의 배포 및 일정 잡기로 인해 DDoS 공격과 IP 속도 및 URL 속도를 기반으로 하는 느린 공격을 어느 정도 방어할 수 있습니다. 그림 18-3 은 F5 ASM 의 DDoS 보호 정책을 보여줍니다.

그림 18-3

로드 밸런싱 장치에서 ASM 의 안티 DDoS 기능

요청이 방화벽과 로드 밸런싱을 통해 최종적으로 대상 시스템에서 처리될 때도 주의해야 합니다. 시스템 성능 튜닝 설정, Nginx 성능 매개변수 조정, 제한된 접속 모듈 구성 등은 모두 실제 작업에 관련되어 있습니다.

3. 비상 훈련

제품 배포 및 자동화 운영 및 유지 관리 플랫폼 개발, 필요한 대응 및 비상 훈련도 지원합니다. 금융업계의 특수성으로 인해 DDoS 공격 횟수가 인터넷 업계보다 훨씬 적기 때문에 일부 기업들은 몇 년 동안 한 번도 만나지 못할 수도 있다. 시간이 길어서 기술이 서툴다. 당신이 정말로 그것들을 필요로 할 때, 당신은 로그인 설비의 계정 비밀번호를 잊어버릴 수도 있고, 심지어 현장 배선이 필요한 설비조차 찾을 수 없을 것이다. 그것은 너무 나쁘다.

또한 구매한 주변 모니터링 서비스, 운영자, 클라우드 청소 제품의 서비스 능력도 훈련을 통해 검증해야 합니다. 계약할 때 약속한 초급 발견, 분급 응답이 시련을 견딜 수 있는지, 우선 마음속에 물음표를 달아야 한다. 미리 통지하지 않고 연습을 하고, 중도에 문제를 관찰하고, 기록을 작성하고, 연습이 끝난 후 서비스 업체 정비를 제출하는 것이 좋습니다. 이런 훈련은 일 년에 몇 차례 비정기적으로 조직된다.