Estar involucrado en la protección contra ataques DDoS
Se lleva al sitio del cliente para llevar a cabo pruebas de carga, pruebas de defensa y ayuda para repeler ataques. A menudo observa una situación en la que los gráficos en diferentes sistemas difieren en el mismo tráfico. Una breve explicación de "pensar diferente" no inspira confianza. Por lo tanto, describió las razones de un artículo separado. Este artículo será útil para los ingenieros principiantes del funcionamiento de la red y para aquellos que tienen que lidiar con los horarios.
Los motivos de la discrepancia de los testimonios se dividieron en tres grupos:
1. Contando2. Recogida y almacenamiento.3. Pantalla1. Contando
Comenzaré con la razón principal de la discrepancia y que a menudo se pasa por alto.
1. Los ingenieros a menudo creen que el tamaño mínimo de "paquete" es de 64 Bytes.
2. El equipo de red considera de manera diferente la cantidad de información transmitida.
Las fuentes de error y las respuestas están en esta imagen.
1.1 RTFM
Recuperar
estructura de encabezado de Ethernet
Por ejemplo, haremos cálculos para 10 GbE. A través de una interfaz de 10 GbE, pasan un máximo de
1,000,000,000 de bits (10 ^ 10).
Convierta el tamaño de los encabezados de octetos a bits
| bytes | pedacitos |
|---|
| Tamaño de encabezado L1 | 20 | 160 |
| Tamaño del encabezado MAC L2 | 14 | 112 |
| Tamaño L2 FCS | 4 4 | 32 |
| Tamaño de VLAN L2 | 4 4 | 32 |
| Carga útil min | 46 | 368 |
| Carga útil máxima | 1500 | 12000 |
| Total |
| Carga útil mínima sin VLAN | 84 | 672 |
| Carga útil mínima con VLAN | 88 | 704 |
| Carga útil máxima sin VLAN | 1538 | 12304 |
| Carga útil máxima con VLAN | 1542 | 12336 |
* El uso de tecnologías de superposición en la red de transporte afecta el tamaño inicial de la
PDU , lo que reduce el pps máximo.
** Por ejemplo tomó VLAN. El procesamiento de tramas con ID de vlan en las interfaces de red puede variar. Algunos aumentan la MTU, otros disminuyen el tamaño máximo de carga útil permitido.
Calculamos la velocidad máxima y mínima en la
PDU por segundo con la utilización completa de la interfaz (velocidad de cable)
| Max pps | 14880952 .38 |
| Max pps con VLAN | 14204545.45 |
| Min pps | 812743 .8231 |
| Min pps con VLAN | 810635.5383 |
Es decir a través de la interfaz de 10 GbE, el pase máximo es de ~ 14.88 Mpps. Para facilidad de recordar, lo llamamos zigapack.
También llamo la atención sobre el hecho de que los pps máximos y los pps mínimos difieren en más de
18 veces . Por esta razón, al considerar las soluciones antiDDoS, debe prestar atención al rendimiento en Mpps. A menudo, los proveedores afirman el rendimiento en Gbps, silencioso en los paquetes. La descripción de los métodos para evaluar el rendimiento de los sistemas de protección es un tema para un artículo grande separado.
1.2 Características del recuento de tamaño de PDU
El equipo de red puede leer el tamaño de la
PDU en diferentes niveles y excluir el conteo de campos. Conjuntos de campos frecuentes para contar:
- Datos L2 o paquete de IP len
- Datos L2 + Encabezado MAC
- Datos L2 + Encabezado MAC + FCS (suma de verificación CRC)
Ahora calculamos las lecturas en el gráfico cuando atacamos TCP SYN Flood en velocidad de cable sin usar vlan.
| Tamaño de la PDU
(bytes) | Multiplicador de Gbps |
|---|
| 10 9 | 2 30 |
|---|
| Pps sin vlan = 14880952.38 | | | |
| L1 | 84 | 10 | 9.313225746 |
| L2 | 64 | 7.6190 47619 | 7.095791045 |
| L2 sin FCS | 60 60 | 7.1428 57143 | 6.652304104 |
| Datos L2 (IP + TCP) | 40 | 4.761904762 | 4.434869403 |
| Pps w vlan = 14204545.45 | | | |
| L1 | 88 | 10 | 9.313225746 |
| L2 | 68 | 7.727272727 | 7.196583531 |
| L2 sin FCS | 64 | 7.272727273 | 6.773255088 |
| Datos L2 (IP + TCP) | 40 | 4.545454545 | 4.23328443 |
Entonces, con la utilización completa de la interfaz de 10 GbE en el gráfico, puede observar una velocidad de 4.43 Gbps.
Por lo tanto, al comparar valores de velocidad en diferentes sistemas, debe comprender cómo se considera el tamaño de la PDU. Para simplificar la comparación, hicimos una
calculadora para nosotros mismos, que muestra la velocidad al contar diferentes encabezados.
Los siguientes otros dos grupos de causas afectan el suavizado de picos y son aplicables a todos los gráficos de velocidad.
2. Recogida y almacenamiento.
2.1 Contador de frecuencia de sondeo
Por lo general, los contadores sondeados muestran el valor absoluto de los bytes y paquetes procesados. Para mostrar la velocidad, necesita calcular la derivada.
La precisión del gráfico depende en gran medida de la frecuencia de sondeo del contador. Cuanto menos frecuente, mayor es el promedio. Por ejemplo, es habitual que los operadores tomen valores cada cinco minutos. Por lo tanto, con los ataques Pulse Wave DDoS, los perfiles de gráficos en el sistema de monitoreo y el sistema de filtrado serán muy diferentes.
2.2 Consolidación de datos (política de retención)
A menudo, el enfoque de base de datos cíclica (rrd) se usa para almacenar valores de contador. Para ahorrar recursos, los datos de diferentes períodos se almacenan con diferente precisión. Cuanto más avanzado sea el pasado, cuanto más escasos sean los valores, mayor será el promedio.
Los diferentes sistemas pueden tener diferentes políticas de retención, por lo tanto, observando retrospectivamente los gráficos, puede observar diferentes valores.
3. Pantalla
3.1 Número de puntos en el gráfico
Por lo general, en el gráfico hay un límite en el número de puntos mostrados. Si hay más puntos durante el período solicitado, cuando se muestran los puntos se consolidan. Muy a menudo, los puntos vecinos se consolidan en uno con un valor promedio. Este promedio suaviza los picos.
Ejemplo ilustrativo:
3.2 consolas binarias
Las herramientas de dibujo de gráficos agregan una discrepancia adicional en las lecturas. Para gráficos en bits, pueden usar varios grados para mostrar el mismo prefijo. Puede leer más en
en.wikipedia.org/wiki/3.3 unidades
Básicamente, los contadores en el equipo de red muestran la cantidad de información procesada en bytes. Si no se convierte, el gráfico mostrará la velocidad en Bps (bytes por segundo) y no en bps (bits por segundo).
Conclusión
Los gráficos son una herramienta útil e informativa. Al mirar el conjunto correcto de gráficos, puede encontrar rápidamente respuestas a muchas preguntas. Pero cuando se trabaja con gráficos, debe comprender los matices, especialmente cuando se correlacionan gráficos de diferentes sistemas. Por lo tanto, la primera vez que mire la tabla, descubra:
- qué va y cómo
- ¿Cómo se almacena?
- como se muestra