[LINUX] À propos d'AntiDDoS Premium et de la fonction spéciale TOA

1.Tout d'abord

Les jeux qui communiquent avec le serveur sont toujours exposés aux attaques du réseau. Le plus gênant est l'attaque DDoS. Dans cet article, en contractant avec Alibaba Cloud,

-Introduction d'AntiDDoS Premium qui peut protéger les systèmes fonctionnant autre que Alibaba Cloud, --À propos de la fonction spéciale TOA d'AntiDDoS Premium

Présenter.

2. Qu'est-ce qu'une attaque DDoS?

Une attaque DDoS est une attaque qui interfère avec un service spécifique en l'exposant à une grande quantité de communication en utilisant une grande quantité d'équipements informatiques dans le monde. La communication utilisée pour l'attaque est

――Utilisez quelque chose dont le message lui-même induit un dysfonctionnement du service, --Une communication généralement inoffensive ou une communication invalide est exposée à la ligne de service pendant des centaines de Gbit / s pour saturer la ligne et forcer le service à s'arrêter.

il y a.

Étant donné que le côté attaqué continue d'être exposé à une grande quantité de communication qui ne sait pas de quelle adresse IP il provient, il n'est pas possible de protéger correctement en utilisant l'adresse IP et l'équipement de ligne (équipement de ligne avec trop de paquets invalides) Étant donné que le pare-feu, le routeur, etc.) seront surchargés, le service d'origine ne peut pas du tout être fourni.

adv-ddos-01.png

3. Service de protection contre les attaques DDoS d'Alibaba Cloud

Il existe plusieurs services de protection contre les attaques DDoS disponibles sur Alibaba Cloud. Je vais mettre cela sur la table.

Nom du service Aperçu
Anti DDoS Basic Un service qui protège les systèmes sur Alibaba Cloud par DDoS.
Anti DDoS Premium Un service capable de protéger les systèmes installés en dehors d'Alibaba Cloud contre DDoS
Anti DDoS Pro Service de protection DDoS pouvant être utilisé pour ceux qui ont des serveurs en Chine
Game Shield Il peut se défendre contre diverses attaques spécialisées pour les applications de jeu. La protection DDoS est également incluse. (Cependant, il doit être lié à l'application)

Cette fois, je voudrais vous présenter Anti DDoS Premium.

4. Comment utiliser Anti DDoS Premium?

Anti DDoS Premium est un service qui peut protéger contre les attaques DDoS sur les systèmes fonctionnant en dehors du cloud Alibaba. Comme d'autres services cloud, ce n'est pas un service restreint que seul le système cloud qui fournit le service peut protéger contre les attaques DDoS. Vous pouvez avoir confiance en la protection DDoS car vous pouvez protéger entièrement le système externe.

Voyons comment entrer dans Anti DDoS Premium du point de vue du système protégé. adv-ddos-02.png

Comme le montre la figure, le système à protéger est protégé en entrant dans la première étape du système en tant que serveur proxy.

De plus, l'adresse IP du client est enregistrée comme indiqué dans le tableau ci-dessous. Bien entendu, WebSocket est également pris en charge pour HTTP / HTTPS. Malheureusement, UDP n'a actuellement aucun moyen de connaître l'adresse IP du client telle quelle. La seule façon de connaître l'adresse IP du client dans UDP est que l'application cliente agisse comme si elle incluait l'adresse IP du client dans le message UDP.

protocole Type(※1) Où l'adresse IP du client est-elle stockée?
HTTP/WebSocket(※2) Website X-Forwarded-Pour en-tête
HTTPS(TLS1.2e année)/HTTP/2/WebSockets(※2) Website X-Forwaded-Pour en-tête
Tout TCP Non-Website Stocké dans le champ Option TCP. Vous pouvez restaurer un noyau Linux spécifique avec la fonction TOA activée.
Tout UDP(※2) Non-Website Actuellement non enregistré. (Si vous voulez savoir, vous devez intégrer les informations d'adresse IP dans le message UDP dans l'application cliente)

Pour HTTP / HTTPS uniquement, Anti DDoS Premium enregistre l'adresse IP du client dans l'en-tête X-Forwarded-For. Pour une communication TCP arbitraire, l'adresse IP du client peut être connue côté serveur en utilisant TOA, qui est une fonction spéciale d'Anti DDoS Premium, qui sera décrite plus loin. Malheureusement pour UDP, il n'y a aucun moyen de connaître l'adresse IP du client.

5. Utilisez Anti DDoS Premium

Utilisons-le maintenant. Étape 1. Tout d'abord, sélectionnez le menu Anti DDoS Premium et effectuez l'opération d'achat. C'est facile à acheter car il suffit d'appuyer sur un bouton! adv-ddos-03.png

Étape 2. Ensuite, définissez la communication HTTP / HTTPS que vous souhaitez protéger. Si une communication HTTP / HTTPS doit être protégée contre DDoS, définissez-la ici. Pour le régler, suivez la procédure indiquée sur la figure. adv-ddos-04.png   Étape 3. Ensuite, définissez la communication qui n'est pas HTTP / HTTPS que vous souhaitez protéger. Pour le régler, suivez la procédure indiquée sur la figure. adv-ddos-05.png

Avec cela, le système sera protégé DDoS en un rien de temps.

5.1. Lorsqu'il existe de nombreux paramètres de communication

Comme vous pouvez le voir en définissant réellement la communication, il est difficile de définir chaque communication que vous souhaitez protéger. Ici, vous pouvez obtenir le fichier XML des paramètres, le traiter avec votre éditeur préféré et tout spécifier en même temps. Je vais l'introduire dans la figure. C'est si facile! adv-ddos-07.png

6. À propos de la fonction spéciale TOA

Même si vous lisez le manuel d'Anti DDoS Premium d'Alibaba Cloud, il existe TOA en tant que fonction qui est réellement utilisable mais non décrite. Ici, nous décrirons TOA.

TOA est une abréviation pour TCP Option Address. Le champ Option du paquet TCP contient un ID spécial et l'adresse IP du client, qui est restauré par le module toa du noyau Linux spécial et renvoyé à la suite de l'appel système. En fait, cette fonction est disponible par défaut pour la communication TCP spécifiée sur le Non-Site Web d'Anti DDoS Premium.

Les avantages et inconvénients de cette fonction sont les suivants.

  1. Avec un programme Socket normal, l'adresse IP du client peut être obtenue par la procédure normale. Vous n'avez pas à vous soucier d'avoir Anti DDoS Premium entre les deux.

  2. Etant donné que iptables est traité avant un traitement, il est traité par l'adresse IP source de l'en-tête TCP. Par conséquent, il n'est pas affecté par l'adresse IP du client spécifiée comme TOA.

  1. Actuellement, un noyau Linux spécial est requis, il ne peut donc pas être utilisé dans un environnement (certains services cloud) qui ne peut pas être démarré avec un noyau spécial.
  2. Lorsqu'un paquet abusant de TOA est envoyé directement au serveur, le programme côté serveur obtient une adresse IP falsifiée du client.

6.1. Environnement requis pour utiliser TOA

Pour utiliser TOA, le système actuel doit être exécuté dans l'environnement suivant.

(Il n'y a pas de problème si le système que vous souhaitez protéger contre les attaques DDoS se trouve dans un environnement sur site!)

6.2. Comment utiliser TOA

En gros, suivez le manuel écrit du côté Anti DDoS Pro. Vous pouvez également télécharger le RPM du noyau à partir des destinations répertoriées dans ce manuel.

How can origins outside Alibaba Cloud get clients’ real IP addresses? https://www.alibabacloud.com/help/doc-detail/52477.htm

Étape 1. Obtenez le package de noyau suivant

$ wget http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/52477/cn_zh/1491917761209/kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm

Étape 2. Introduit avec la commande rpm.

$ sudo rpm -ivh kernel-2.6.32-220.23.2.ali_github.el6.x86_64.rpm

Étape 3. Redémarrez tel quel

$ sudo reboot

Étape 4. Confirmer uname

$ uname –r
  2.6.32-220.23.2.ali_github.el6.x86_64

Confirmez qu'il sort

Étape 5. Activer TOA

$ sudo modprobe toa 

Remarque: si vous souhaitez désactiver TOA

$ sudo modprobe -r toa

Vous pouvez le désactiver avec.

6.3. Résultats TOA

La figure ci-dessous montre la différence entre les résultats de la commande nc lorsque TOA est désactivé et lorsqu'il est activé. Oh mystérieusement, lorsque TOA est activé, vous pouvez voir que la commande nc a obtenu l'adresse IP du client.

adv-ddos-08.png

6.4. Quel type de communication est TOA?

La communication TOA réelle est indiquée sur la figure. La communication elle-même est une communication TCP normale, mais les informations TOA sont masquées dans le champ Option TCP.

adv-ddos-09.png

Utilisons en fait la commande tcpdump pour le voir.

adv-ddos-10.png

La partie entourée de rouge et la partie entourée de bleu dans la figure ci-dessus sont les valeurs TOA. Ceci est expliqué ci-dessous.

adv-ddos-11.png

adv-ddos-12.png

6.5. Structure du noyau et du module toa

La structure du noyau et du module toa est illustrée ci-dessous. Vous pouvez voir que les informations de paquet sont réécrites en fonction des informations contenues dans le TOA avant de passer à l'appel système.

adv-ddos-13.png

6.6. Description de / proc / net / toa_status

Les noyaux avec TOA activé verront désormais les statistiques dans / proc / net / toa_status. Le contenu et la signification sont indiqués sur la figure.

adv-ddos-14.png

Je n'ai pas peur d'avoir des problèmes avec TOA! : en riant:

7. Résumé

Si vous vous en souvenez bien, DDoS ne fait pas peur!

-Alibaba Cloud's Anti-DDoS Premium est facile à utiliser et protège obstinément les infrastructures non-Alibaba Cloud contre les attaques DDoS. C'est facile car vous pouvez le configurer immédiatement! -Le non-site Web d'Anti-DDoS Premium d'Alibaba Cloud est pratique car vous pouvez obtenir l'adresse IP du côté client telle qu'elle est avec l'api de socket par la fonction TOA!

c'est tout.

Recommended Posts

À propos d'AntiDDoS Premium et de la fonction spéciale TOA
À propos de _ et __
À propos de la classe et de l'instance
À propos de cumprod et cummax
À propos de la validation croisée et de la valeur F