[LINUX] À propos d'AntiDDoS Premium et de la fonction spéciale TOA
1.Tout d'abord
Les jeux qui communiquent avec le serveur sont toujours exposés aux attaques du réseau. Le plus gênant est l'attaque DDoS. Dans cet article, en contractant avec Alibaba Cloud,
-Introduction d'AntiDDoS Premium qui peut protéger les systèmes fonctionnant autre que Alibaba Cloud, --À propos de la fonction spéciale TOA d'AntiDDoS Premium
Présenter.
2. Qu'est-ce qu'une attaque DDoS?
Une attaque DDoS est une attaque qui interfère avec un service spécifique en l'exposant à une grande quantité de communication en utilisant une grande quantité d'équipements informatiques dans le monde. La communication utilisée pour l'attaque est
――Utilisez quelque chose dont le message lui-même induit un dysfonctionnement du service, --Une communication généralement inoffensive ou une communication invalide est exposée à la ligne de service pendant des centaines de Gbit / s pour saturer la ligne et forcer le service à s'arrêter.
il y a.
Étant donné que le côté attaqué continue d'être exposé à une grande quantité de communication qui ne sait pas de quelle adresse IP il provient, il n'est pas possible de protéger correctement en utilisant l'adresse IP et l'équipement de ligne (équipement de ligne avec trop de paquets invalides) Étant donné que le pare-feu, le routeur, etc.) seront surchargés, le service d'origine ne peut pas du tout être fourni.
3. Service de protection contre les attaques DDoS d'Alibaba Cloud
Il existe plusieurs services de protection contre les attaques DDoS disponibles sur Alibaba Cloud. Je vais mettre cela sur la table.
| Nom du service | Aperçu |
|---|---|
| Anti DDoS Basic | Un service qui protège les systèmes sur Alibaba Cloud par DDoS. |
| Anti DDoS Premium | Un service capable de protéger les systèmes installés en dehors d'Alibaba Cloud contre DDoS |
| Anti DDoS Pro | Service de protection DDoS pouvant être utilisé pour ceux qui ont des serveurs en Chine |
| Game Shield | Il peut se défendre contre diverses attaques spécialisées pour les applications de jeu. La protection DDoS est également incluse. (Cependant, il doit être lié à l'application) |
Cette fois, je voudrais vous présenter Anti DDoS Premium.
4. Comment utiliser Anti DDoS Premium?
Anti DDoS Premium est un service qui peut protéger contre les attaques DDoS sur les systèmes fonctionnant en dehors du cloud Alibaba. Comme d'autres services cloud, ce n'est pas un service restreint que seul le système cloud qui fournit le service peut protéger contre les attaques DDoS. Vous pouvez avoir confiance en la protection DDoS car vous pouvez protéger entièrement le système externe.
Voyons comment entrer dans Anti DDoS Premium du point de vue du système protégé.
Comme le montre la figure, le système à protéger est protégé en entrant dans la première étape du système en tant que serveur proxy.
De plus, l'adresse IP du client est enregistrée comme indiqué dans le tableau ci-dessous. Bien entendu, WebSocket est également pris en charge pour HTTP / HTTPS. Malheureusement, UDP n'a actuellement aucun moyen de connaître l'adresse IP du client telle quelle. La seule façon de connaître l'adresse IP du client dans UDP est que l'application cliente agisse comme si elle incluait l'adresse IP du client dans le message UDP.
| protocole | Type(※1) | Où l'adresse IP du client est-elle stockée? |
|---|---|---|
| HTTP/WebSocket(※2) | Website | X-Forwarded-Pour en-tête |
| HTTPS(TLS1.2e année)/HTTP/2/WebSockets(※2) | Website | X-Forwaded-Pour en-tête |
| Tout TCP | Non-Website | Stocké dans le champ Option TCP. Vous pouvez restaurer un noyau Linux spécifique avec la fonction TOA activée. |
| Tout UDP(※2) | Non-Website | Actuellement non enregistré. (Si vous voulez savoir, vous devez intégrer les informations d'adresse IP dans le message UDP dans l'application cliente) |
-
- Sur l'écran de réglage Anti DDoS Premium, l'écran de réglage «Site Web» ou «Non-site Web» est séparé.
-
- Les numéros de port qui peuvent être spécifiés sont limités même pour le protocole HTTP / HTTPS. Pour plus d'informations Protection of non-standard ports https://www.alibabacloud.com/help/doc-detail/127448.htm
Pour HTTP / HTTPS uniquement, Anti DDoS Premium enregistre l'adresse IP du client dans l'en-tête X-Forwarded-For. Pour une communication TCP arbitraire, l'adresse IP du client peut être connue côté serveur en utilisant TOA, qui est une fonction spéciale d'Anti DDoS Premium, qui sera décrite plus loin. Malheureusement pour UDP, il n'y a aucun moyen de connaître l'adresse IP du client.
5. Utilisez Anti DDoS Premium
Utilisons-le maintenant.
Étape 1. Tout d'abord, sélectionnez le menu Anti DDoS Premium et effectuez l'opération d'achat. C'est facile à acheter car il suffit d'appuyer sur un bouton!
Étape 2. Ensuite, définissez la communication HTTP / HTTPS que vous souhaitez protéger. Si une communication HTTP / HTTPS doit être protégée contre DDoS, définissez-la ici. Pour le régler, suivez la procédure indiquée sur la figure.
Étape 3. Ensuite, définissez la communication qui n'est pas HTTP / HTTPS que vous souhaitez protéger. Pour le régler, suivez la procédure indiquée sur la figure.
Avec cela, le système sera protégé DDoS en un rien de temps.
5.1. Lorsqu'il existe de nombreux paramètres de communication
Comme vous pouvez le voir en définissant réellement la communication, il est difficile de définir chaque communication que vous souhaitez protéger. Ici, vous pouvez obtenir le fichier XML des paramètres, le traiter avec votre éditeur préféré et tout spécifier en même temps. Je vais l'introduire dans la figure. C'est si facile!
6. À propos de la fonction spéciale TOA
Même si vous lisez le manuel d'Anti DDoS Premium d'Alibaba Cloud, il existe TOA en tant que fonction qui est réellement utilisable mais non décrite. Ici, nous décrirons TOA.
TOA est une abréviation pour TCP Option Address. Le champ Option du paquet TCP contient un ID spécial et l'adresse IP du client, qui est restauré par le module toa du noyau Linux spécial et renvoyé à la suite de l'appel système. En fait, cette fonction est disponible par défaut pour la communication TCP spécifiée sur le Non-Site Web d'Anti DDoS Premium.
Les avantages et inconvénients de cette fonction sont les suivants.
- mérite:
-
Avec un programme Socket normal, l'adresse IP du client peut être obtenue par la procédure normale. Vous n'avez pas à vous soucier d'avoir Anti DDoS Premium entre les deux.
-
Etant donné que iptables est traité avant un traitement, il est traité par l'adresse IP source de l'en-tête TCP. Par conséquent, il n'est pas affecté par l'adresse IP du client spécifiée comme TOA.
- Inaptitude:
- Actuellement, un noyau Linux spécial est requis, il ne peut donc pas être utilisé dans un environnement (certains services cloud) qui ne peut pas être démarré avec un noyau spécial.
- Lorsqu'un paquet abusant de TOA est envoyé directement au serveur, le programme côté serveur obtient une adresse IP falsifiée du client.
6.1. Environnement requis pour utiliser TOA
Pour utiliser TOA, le système actuel doit être exécuté dans l'environnement suivant.
- Le serveur doit exécuter le noyau RHEL / Centos 6 64Bit x86.
- L'environnement doit être capable d'installer et de démarrer un noyau de système d'exploitation non standard.
(Il n'y a pas de problème si le système que vous souhaitez protéger contre les attaques DDoS se trouve dans un environnement sur site!)
6.2. Comment utiliser TOA
En gros, suivez le manuel écrit du côté Anti DDoS Pro. Vous pouvez également télécharger le RPM du noyau à partir des destinations répertoriées dans ce manuel.
How can origins outside Alibaba Cloud get clients’ real IP addresses? https://www.alibabacloud.com/help/doc-detail/52477.htm
Étape 1. Obtenez le package de noyau suivant
$ wget http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/52477/cn_zh/1491917761209/kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Étape 2. Introduit avec la commande rpm.
$ sudo rpm -ivh kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm
Étape 3. Redémarrez tel quel
$ sudo reboot
Étape 4. Confirmer uname
$ uname –r
2.6.32-220.23.2.ali_github.el6.x86_64
Confirmez qu'il sort
Étape 5. Activer TOA
$ sudo modprobe toa
Remarque: si vous souhaitez désactiver TOA
$ sudo modprobe -r toa
Vous pouvez le désactiver avec.
6.3. Résultats TOA
La figure ci-dessous montre la différence entre les résultats de la commande nc lorsque TOA est désactivé et lorsqu'il est activé. Oh mystérieusement, lorsque TOA est activé, vous pouvez voir que la commande nc a obtenu l'adresse IP du client.
6.4. Quel type de communication est TOA?
La communication TOA réelle est indiquée sur la figure. La communication elle-même est une communication TCP normale, mais les informations TOA sont masquées dans le champ Option TCP.
Utilisons en fait la commande tcpdump pour le voir.
La partie entourée de rouge et la partie entourée de bleu dans la figure ci-dessus sont les valeurs TOA. Ceci est expliqué ci-dessous.
6.5. Structure du noyau et du module toa
La structure du noyau et du module toa est illustrée ci-dessous. Vous pouvez voir que les informations de paquet sont réécrites en fonction des informations contenues dans le TOA avant de passer à l'appel système.
6.6. Description de / proc / net / toa_status
Les noyaux avec TOA activé verront désormais les statistiques dans / proc / net / toa_status. Le contenu et la signification sont indiqués sur la figure.
Je n'ai pas peur d'avoir des problèmes avec TOA! : en riant:
7. Résumé
Si vous vous en souvenez bien, DDoS ne fait pas peur!
-Alibaba Cloud's Anti-DDoS Premium est facile à utiliser et protège obstinément les infrastructures non-Alibaba Cloud contre les attaques DDoS. C'est facile car vous pouvez le configurer immédiatement! -Le non-site Web d'Anti-DDoS Premium d'Alibaba Cloud est pratique car vous pouvez obtenir l'adresse IP du côté client telle qu'elle est avec l'api de socket par la fonction TOA!
c'est tout.