التورط في الحماية ضد هجمات DDoS
يتم إحضاره على موقع العميل لإجراء اختبارات الحمل واختبارات الدفاع والمساعدة في صد الهجمات. غالبًا ما تلاحظ موقفًا عندما تختلف الرسوم البيانية في الأنظمة المختلفة على نفس الحركة. شرح موجز "التفكير بشكل مختلف" لا يوحي بالثقة. لذلك ، وصف أسباب مقالة منفصلة. ستكون هذه المقالة مفيدة لبدء المهندسين من تشغيل الشبكة وأولئك الذين يتعين عليهم التعامل مع الجداول الزمنية.
تم تقسيم أسباب تباين الشهادات إلى ثلاث مجموعات:
1. العد2. جمع وتخزين3. العرض1. العد
سأبدأ بالسبب الرئيسي لهذا التناقض والذي يتم تجاهله في أغلب الأحيان.
1. غالبًا ما يعتقد المهندسون أن الحد الأدنى لحجم "الحزمة" هو 64 بايت.
2. تعتبر معدات الشبكات بشكل مختلف مقدار المعلومات المرسلة.
مصادر الخطأ والإجابات موجودة في هذه الصورة.
1.1 RTFM
أذكر
بنية رأس الإيثرنت
على سبيل المثال ، سنفعل حسابات لمدة 10 جيجابت. من خلال واجهة 10 جيجابت إيثرنت ، يمر بحد أقصى
1،000،000،000 بت (10 ^ 10).
تحويل حجم الرؤوس من الثمانيات إلى البتات
| بايت | بت |
|---|
| حجم رأس L1 | 20 | 160 |
| حجم رأس L2 MAC | 14 | 112 |
| حجم L2 FCS | 4 | 32 |
| حجم L2 VLAN | 4 | 32 |
| الحمولة الصافية | 46 | 368 |
| الحمولة القصوى | 1500 | 12000 |
| المجموع |
| حمولة دقيقة مع شبكة محلية ظاهرية | 84 | 672 |
| حمولة دقيقة مع VLAN | 88 | 704 |
| الحمولة القصوى مع شبكة محلية ظاهرية | 1538 | 12304 |
| الحمولة القصوى مع شبكة محلية ظاهرية | 1542 | 12336 |
* يؤثر استخدام تقنيات التراكب على شبكة النقل على الحجم الأولي
لوحدة PDU ، مما يقلل من الحد الأقصى للنقاط.
** على سبيل المثال استغرق VLAN. قد تختلف معالجة الإطارات بمعرفات شبكة محلية ظاهرية على واجهات الشبكة. بعضها يزيد من وحدة الإرسال الكبرى ، والبعض الآخر يقلل من الحد الأقصى المسموح به لحجم الحمولة.
نحسب الحد الأقصى والحد الأدنى للسرعة في وحدة
PDU في الثانية الواحدة مع الاستخدام الكامل للواجهة (السرعة السلكية)
| أقصى نقطة في الثانية | 14880952 .38 |
| أقصى نقطة في الثانية مع شبكة محلية ظاهرية | 14204545.45 |
| دقيقة بالنقاط | 812743 .8231 |
| دقيقة pps مع VLAN | 810635.5383 |
أي من خلال واجهة 10 جيجابت إيثرنت يمر الحد الأقصى ~ 14.88 مليون حزمة بيانات في الثانية. لسهولة التذكر ، نسميها zigapack.
أود أيضا أن ألفت الانتباه إلى حقيقة أن الحد الأقصى لكل نقطة في الثانية ودقيقة في الثانية من النقاط تختلف بأكثر من
18 مرة . لهذا السبب ، عند النظر في حلول antiDDoS ، تحتاج إلى الاهتمام بالأداء في Mpps. غالبًا ما يطالب البائعون بالأداء في Gbps ، الصامت في الحزم. وصف أساليب تقييم أداء أنظمة الحماية هو موضوع لمقال كبير منفصل.
1.2 ميزات العد حجم PDU
يمكن لمعدات الشبكة قراءة حجم
PDU بمستويات مختلفة واستبعاد الحقول من العد. مجموعات متكررة من الحقول للعد:
- L2 البيانات أو حزمة الملكية الفكرية لين
- L2 Data + MAC Header
- L2 Data + MAC Header + FCS (CRC Checksum)
الآن نقوم بحساب القراءات على الرسم البياني عند مهاجمة TCP SYN Flood على wirespeed دون واستخدام شبكة محلية ظاهرية.
| حجم PDU
(بايت) | جيجابت في الثانية مضاعف |
|---|
| 10 9 | 2 30 |
|---|
| نقاط في الثانية بدون شبكة محلية = 14880952.38 | | | |
| L1 | 84 | 10 | 9.313225746 |
| L2 | 64 | 7.6190 47619 | 7.095791045 |
| L2 ث / س FCS | 60 | 7.1428 57143 | 6.652304104 |
| بيانات L2 (IP + TCP) | 40 | 4.761904762 | 4.434869403 |
| Pps w vlan = 14204545.45 | | | |
| L1 | 88 | 10 | 9.313225746 |
| L2 | 68 | 7.727272727 | 7.196583531 |
| L2 ث / س FCS | 64 | 7.272727273 | 6.773255088 |
| بيانات L2 (IP + TCP) | 40 | 4.545454545 | 4.23328443 |
لذا ، فمع الاستخدام الكامل لواجهة 10 جيجابت على الرسم البياني ، يمكنك ملاحظة سرعة 4.43 جيجابت في الثانية.
لذلك ، عند مقارنة قيم السرعة في أنظمة مختلفة ، تحتاج إلى فهم كيفية النظر في حجم وحدة PDU. لتبسيط المقارنة ، صممنا
آلة حاسبة لأنفسنا ، ونبين السرعة عند حساب الرؤوس المختلفة.
تؤثر المجموعتان التاليتان من الأسباب الأخرى على تجانس الذروة وتنطبق على جميع الرسوم البيانية ذات السرعة.
2. جمع وتخزين
2.1 مكافحة الاقتراع تردد
عدادات الاستطلاع عادةً تظهر القيمة المطلقة للبايت والحزم التي تمت معالجتها. لعرض السرعة التي تحتاجها لحساب المشتق.
دقة الرسم البياني تعتمد إلى حد كبير على تكرار الاقتراع العداد. وكلما قل عدد المرات ، زاد المتوسط. على سبيل المثال ، من المعتاد أن يأخذ المشغلون القيم كل خمس دقائق. لذلك ، مع هجمات Pulse Wave DDoS ، ستكون ملفات تعريف الرسم البياني في نظام المراقبة ونظام التصفية مختلفة للغاية.
2.2 دمج البيانات (سياسة الاحتفاظ)
في كثير من الأحيان ، يتم استخدام نهج قاعدة البيانات الدورية (rrd) لتخزين قيم العداد. من أجل توفير الموارد ، يتم تخزين البيانات لفترات مختلفة بدقة مختلفة. كلما كان الأمر أبعد في الماضي ، كلما كانت القيم قليلة ، زاد المتوسط.
قد يكون للأنظمة المختلفة سياسات استبقاء مختلفة ، وبالتالي ، عند النظر إلى المخططات بأثر رجعي ، يمكنك ملاحظة قيم مختلفة.
3. العرض
3.1 عدد النقاط على الرسم البياني
عادة على الرسم البياني هناك حد لعدد النقاط المعروضة. إذا كان هناك المزيد من النقاط خلال الفترة المطلوبة ، فعند عرض النقاط يتم توحيدها. في معظم الأحيان ، يتم دمج النقاط المجاورة في واحدة بمتوسط قيمة. هذا المتوسط ينعم القمم.
مثال توضيحي:
3.2 لوحات المفاتيح الثنائية
تتم إضافة تباين إضافي في القراءات بواسطة أدوات الرسم التخطيطي. بالنسبة إلى الرسوم البيانية بالبت ، يمكنهم استخدام درجات مختلفة لعرض البادئة نفسها. يمكنك قراءة المزيد في
en.wikipedia.org/wiki/3.3 وحدات
بشكل أساسي ، تُظهر عدادات معدات الشبكة مقدار المعلومات المعالجة بالبايت. إذا لم يتم تحويلها ، فسيظهر الرسم البياني السرعة بالبايت في الثانية (بالبايت في الثانية) ، وليس بالبايت في الثانية (بت في الثانية).
الخاتمة
الرسوم البيانية هي أداة مفيدة وغنية بالمعلومات. من خلال النظر إلى المجموعة الصحيحة من الرسوم البيانية ، يمكنك العثور بسرعة على إجابات لكثير من الأسئلة. ولكن عند العمل مع الرسوم البيانية ، تحتاج إلى فهم الفروق الدقيقة ، وخاصة عند ربط المخططات من أنظمة مختلفة. لذلك ، في المرة الأولى التي تنظر فيها إلى المخطط ، اكتشف:
- ماذا يجري وكيف؟
- كيف يتم تخزينها ؛
- كما هو معروض.