[LINUX] Über AntiDDoS Premium und Sonderfunktion TOA
1. Zuallererst
Spiele, die mit dem Server kommunizieren, sind immer Angriffen aus dem Netzwerk ausgesetzt. Am problematischsten ist der DDoS-Angriff. In diesem Artikel wird durch einen Vertrag mit Alibaba Cloud Folgendes beschrieben:
-Einführung von AntiDDoS Premium, das andere Systeme als Alibaba Cloud schützen kann,
- Über die Sonderfunktion TOA von AntiDDoS Premium
vorstellen.
2. Was ist ein DDoS-Angriff?
Ein DDoS-Angriff ist ein Angriff, der einen bestimmten Dienst stört, indem er einer großen Menge an Kommunikation mit einer großen Menge an IT-Geräten auf der ganzen Welt ausgesetzt wird. Die für den Angriff verwendete Kommunikation ist
――Verwenden Sie etwas, das die Nachricht selbst zu einer Fehlfunktion des Dienstes führt.
- Normalerweise ist die Dienstleitung für Hunderte von Gbit / s harmloser oder ungültiger Kommunikation ausgesetzt, um die Leitung zu sättigen und den Dienst zum Stoppen zu zwingen.
es gibt.
Da die angegriffene Seite weiterhin einer großen Menge an Kommunikation ausgesetzt ist, die nicht weiß, von welcher IP-Adresse sie stammt, ist es nicht möglich, die IP-Adresse und die Leitungsausrüstung (Leitungsausrüstung mit zu vielen ungültigen Paketen) ordnungsgemäß zu schützen. Da die Firewall, der Router usw. überlastet sind, kann der ursprüngliche Dienst überhaupt nicht bereitgestellt werden.
3. Der DDoS-Angriffsschutzdienst von Alibaba Cloud
In der Alibaba Cloud stehen mehrere DDoS-Angriffsschutzdienste zur Verfügung. Ich werde das auf den Tisch legen.
| Dienstname | Überblick |
|---|---|
| Anti DDoS Basic | Ein Dienst, der Systeme in der Alibaba Cloud durch DDoS schützt. |
| Anti DDoS Premium | Ein Dienst, der außerhalb der Alibaba Cloud installierte Systeme vor DDoS schützen kann |
| Anti DDoS Pro | DDoS-Schutzdienst, der für Benutzer mit Servern in China verwendet werden kann |
| Game Shield | Es kann sich gegen verschiedene Angriffe verteidigen, die auf Spieleanwendungen spezialisiert sind. DDoS-Schutz ist ebenfalls enthalten. (Es muss jedoch mit der Anwendung verknüpft sein) |
Dieses Mal möchte ich Anti DDoS Premium vorstellen.
4. Wie verwende ich Anti DDoS Premium?
Anti DDoS Premium ist ein Dienst, der vor DDoS-Angriffen auf Systeme schützen kann, die außerhalb der Alibaba Cloud ausgeführt werden. Wie bei anderen Cloud-Diensten handelt es sich nicht um einen engen Dienst, den nur das Cloud-System, das den Dienst bereitstellt, vor DDoS-Angriffen schützen kann. Sie können sich auf den DDoS-Schutz verlassen, da Sie das externe System vollständig schützen können.
Zeichnen wir ein Diagramm, wie Anti DDoS Premium von der Seite des geschützten Systems aus betrachtet wird.
Wie in der Abbildung gezeigt, wird das zu schützende System geschützt, indem die vordere Stufe des Systems als Proxyserver betreten wird.
Außerdem wird die IP-Adresse des Clients wie in der folgenden Tabelle gezeigt gespeichert. Natürlich wird WebSocket auch für HTTP / HTTPS unterstützt. Leider gibt es für UDP derzeit keine Möglichkeit, die IP-Adresse des Clients so zu kennen, wie sie ist. Die einzige Möglichkeit, die IP-Adresse des Clients in UDP zu ermitteln, besteht darin, dass die Clientanwendung die IP-Adresse des Clients in die UDP-Nachricht einbezieht.
| Protokoll | Art(※1) | Wo ist die IP-Adresse des Kunden gespeichert? |
|---|---|---|
| HTTP/WebSocket(※2) | Website | X-Forwarded-Für den Header |
| HTTPS(TLS1.2. Klasse)/HTTP/2/WebSockets(※2) | Website | X-Forwaded-Für den Header |
| Beliebiges TCP | Non-Website | Im Feld TCP-Option gespeichert. Sie können einen bestimmten Linux-Kernel mit aktivierter TOA-Funktion wiederherstellen. |
| Beliebiges UDP(※2) | Non-Website | Derzeit nicht aufgezeichnet. (Wenn Sie wissen möchten, müssen Sie IP-Adressinformationen in die UDP-Nachricht in der Clientanwendung einbetten.) |
-
- Auf dem Einstellungsbildschirm von Anti DDoS Premium wird der Einstellungsbildschirm "Website" oder "Nicht-Website" getrennt.
-
- Die Portnummern, die angegeben werden können, sind auch für das HTTP / HTTPS-Protokoll begrenzt. Für mehr Informationen Protection of non-standard ports https://www.alibabacloud.com/help/doc-detail/127448.htm
Nur für HTTP / HTTPS zeichnet Anti DDoS Premium die IP-Adresse des Clients im X-Forwarded-For-Header auf. Für eine beliebige TCP-Kommunikation kann die IP-Adresse des Clients auf der Serverseite mithilfe von TOA bekannt sein. Dies ist eine spezielle Funktion von Anti DDoS Premium, die später beschrieben wird. Leider gibt es für UDP keine Möglichkeit, die IP-Adresse des Clients zu ermitteln.
5. Verwenden Sie Anti-DDoS Premium
Lass es uns jetzt benutzen.
Schritt 1. Wählen Sie zunächst das Menü Anti-DDoS-Premium aus und führen Sie den Kaufvorgang aus. Es ist einfach zu kaufen, weil Sie nur einen Knopf drücken!
Schritt 2. Legen Sie als Nächstes die HTTP / HTTPS-Kommunikation fest, die Sie schützen möchten. Wenn es eine HTTP / HTTPS-Kommunikation gibt, die vor DDoS geschützt werden soll, legen Sie diese hier fest. Befolgen Sie zum Einstellen die in der Abbildung gezeigten Schritte.
Schritt 3. Legen Sie als Nächstes die Kommunikation fest, die nicht HTTP / HTTPS ist und die Sie schützen möchten. Befolgen Sie zum Einstellen die in der Abbildung gezeigten Schritte.
Damit ist das System in kürzester Zeit DDoS-geschützt.
5.1. Wenn es viele Kommunikationseinstellungen gibt
Wie Sie anhand der tatsächlichen Einstellung der Kommunikation sehen können, ist es schwierig, jede Kommunikation festzulegen, die Sie schützen möchten. Hier können Sie die XML-Datei der Einstellungen abrufen, mit Ihrem bevorzugten Editor verarbeiten und alles auf einmal angeben. Ich werde es in der Abbildung vorstellen. So einfach ist das!
6. Über die Sonderfunktion TOA
Selbst wenn Sie das Handbuch von Anti DDoS Premium von Alibaba Cloud lesen, gibt es TOA als eine Funktion, die tatsächlich verwendet, aber nicht beschrieben werden kann. Hier werden wir TOA beschreiben.
TOA ist eine Abkürzung für TCP Option Address. Das Optionsfeld des TCP-Pakets enthält eine spezielle ID und die IP-Adresse des Clients, die vom toa-Modul des speziellen Linux-Kernels wiederhergestellt und als Ergebnis des Systemaufrufs zurückgegeben werden. Tatsächlich ist diese Funktion standardmäßig für die TCP-Kommunikation verfügbar, die auf der Nicht-Website von Anti DDoS Premium angegeben ist.
Die Vor- und Nachteile dieser Funktion sind wie folgt.
- Verdienst:
-
Mit einem normalen Socket-Programm kann die IP-Adresse des Clients nach dem normalen Verfahren abgerufen werden. Sie müssen sich keine Sorgen machen, dass Sie zwischendurch Anti-DDoS-Premium haben.
-
Da iptables vor einer Verarbeitung verarbeitet wird, wird es von der Quell-IP-Adresse des TCP-Headers verarbeitet. Daher wird es nicht von der als TOA angegebenen Client-IP-Adresse beeinflusst.
- Fehler:
- Derzeit ist ein spezieller Linux-Kernel erforderlich, sodass er nicht in einer Umgebung (einigen Cloud-Diensten) verwendet werden kann, die nicht mit einem speziellen Kernel gestartet werden kann.
- Wenn ein Paket, das TOA missbraucht, direkt an den Server gesendet wird, erhält das Programm auf der Serverseite eine gefälschte IP-Adresse des Clients.
6.1. Für die Verwendung von TOA erforderliche Umgebung
Um TOA verwenden zu können, muss das aktuelle System in der folgenden Umgebung ausgeführt werden.
- Auf dem Server muss der 64Bit x86-Kernel der RHEL / Centos 6-Serie ausgeführt werden.
- Die Umgebung muss in der Lage sein, einen nicht standardmäßigen Betriebssystemkernel zu installieren und zu starten.
(Es gibt kein Problem, wenn sich das System, das Sie vor DDoS schützen möchten, in einer lokalen Umgebung befindet!)
6.2 Verwendung von TOA
Befolgen Sie grundsätzlich das Handbuch auf der Anti-DDoS Pro-Seite. Sie können das RPM für den Kernel auch von den in diesem Handbuch aufgeführten Zielen herunterladen.
How can origins outside Alibaba Cloud get clients’ real IP addresses? https://www.alibabacloud.com/help/doc-detail/52477.htm
Schritt 1. Holen Sie sich das folgende Kernel-Paket
$ wget http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/52477/cn_zh/1491917761209/kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Schritt 2. Eingeführt mit dem Befehl rpm.
$ sudo rpm -ivh kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Schritt 3. Starten Sie so wie es ist neu
$ sudo reboot
Schritt 4. Bestätigen Sie die Uname
$ uname –r
2.6.32-220.23.2.ali_github.el6.x86_64
Bestätigen Sie, dass es herauskommt
Schritt 5. Aktivieren Sie TOA
$ sudo modprobe toa
Hinweis: Wenn Sie TOA deaktivieren möchten
$ sudo modprobe -r toa
Sie können es mit deaktivieren.
6.3 TOA-Ergebnisse
Die folgende Abbildung zeigt den Unterschied zwischen den Ergebnissen des Befehls nc, wenn TOA deaktiviert und aktiviert ist. Auf mysteriöse Weise können Sie bei aktivierter TOA sehen, dass der Befehl nc die IP-Adresse des Clients erhalten hat.
6.4. Welche Art von Kommunikation ist TOA?
Die tatsächliche TOA-Kommunikation ist in der Abbildung dargestellt. Die Kommunikation selbst ist eine normale TCP-Kommunikation, die TOA-Informationen sind jedoch im Feld TCP-Option ausgeblendet.
Verwenden wir den Befehl tcpdump, um ihn anzuzeigen.
Der Teil, der in der obigen Abbildung von Rot und der Teil von Blau umgeben ist, sind die TOA-Werte. Dies wird unten erklärt.
6.5. Struktur von Kernel und Toa-Modul
Die Struktur des Kernel- und Toa-Moduls ist unten dargestellt. Sie können sehen, dass die Paketinformationen basierend auf den in der TOA enthaltenen Informationen neu geschrieben werden, bevor sie an den Systemaufruf übergeben werden.
6.6. Beschreibung von / proc / net / toa_status
Kernel mit aktiviertem TOA sehen jetzt Statistiken in / proc / net / toa_status. Der Inhalt und die Bedeutung sind in der Abbildung dargestellt.
Ich habe keine Angst, Probleme mit TOA zu haben! : lacht:
7. Zusammenfassung
Wenn Sie sich so gut erinnern, ist DDoS nicht beängstigend!
-Alibaba Clouds Anti-DDoS Premium ist einfach zu verwenden und schützt die Nicht-Alibaba Cloud-Infrastruktur hartnäckig vor DDoS. Es ist einfach, weil Sie es sofort einrichten können! -Nicht-Website von Anti-DDoS Premium von Alibaba Cloud ist praktisch, da Sie die IP-Adresse der Client-Seite wie bei der Socket-API von der TOA-Funktion erhalten können!
das ist alles.