Schutz vor DDoS-Angriffen
Es wird auf die Website des Kunden gebracht, um Lasttests und Verteidigungstests durchzuführen und Angriffe abzuwehren. Oft beobachten Sie eine Situation, in der sich die Diagramme in verschiedenen Systemen im selben Verkehr unterscheiden. Eine kurze Erklärung von „anders denken“ schafft kein Vertrauen. Daher beschrieb er die Gründe für einen separaten Artikel. Dieser Artikel ist hilfreich für Anfänger, die mit dem Betrieb des Netzwerks vertraut sind, und für diejenigen, die sich mit Zeitplänen befassen müssen.
Die Gründe für die Diskrepanz der Zeugnisse wurden in drei Gruppen eingeteilt:
1. Zählen2. Sammlung und Lagerung3. Anzeige1. Zählen
Ich beginne mit dem Hauptgrund für die Diskrepanz, der am häufigsten übersehen wird.
1. Ingenieure glauben oft, dass die minimale "Paket" -Größe 64 Bytes beträgt.
2. Netzwerkgeräte berücksichtigen die Menge der übertragenen Informationen unterschiedlich.
Die Fehlerquellen und Antworten finden Sie in diesem Bild.
1.1 RTFM
Rufen Sie die
Ethernet-Header-Struktur auf
Zum Beispiel werden wir Berechnungen für 10 GbE durchführen. Über eine 10-GbE-Schnittstelle werden maximal
1.000.000.000 Bits übertragen (10 ^ 10).
Konvertieren Sie die Größe der Header von Oktetten in Bits
| Bytes | Bits |
|---|
| L1 Headergröße | 20 | 160 |
| L2 MAC Header Größe | 14 | 112 |
| L2 FCS Größe | 4 | 32 |
| L2 VLAN-Größe | 4 | 32 |
| Nutzlast min | 46 | 368 |
| Nutzlast max | 1500 | 12000 |
| Insgesamt |
| Min. Nutzlast ohne VLAN | 84 | 672 |
| Min. Nutzlast mit VLAN | 88 | 704 |
| Maximale Nutzlast ohne VLAN | 1538 | 12304 |
| Maximale Nutzlast mit VLAN | 1542 | 12336 |
* Die Verwendung von Overlay-Technologien im Transportnetzwerk wirkt sich auf die anfängliche Größe der
PDU aus , wodurch die maximale Geschwindigkeit verringert wird.
** Als Beispiel nahm VLAN. Die Verarbeitung von Frames mit VLAN-IDs auf Netzwerkschnittstellen kann variieren. Einige erhöhen die MTU, andere verringern die zulässige maximale Nutzlastgröße.
Wir berechnen die maximale und minimale Geschwindigkeit in der
PDU pro Sekunde unter vollständiger Auslastung der Schnittstelle (Wirespeed).
| Max pps | 14880952.38 |
| Max pps w VLAN | 14204545.45 |
| Min pps | 812743 .8231 |
| Min pps w VLAN | 810635.5383 |
Das heißt, Über die 10-GbE-Schnittstelle erreicht das Maximum ~ 14,88 Mpps. Um das Erinnern zu erleichtern, nennen wir es ein Zigapack.
Ich mache auch darauf aufmerksam, dass sich max pps und min pps mehr als
18 Mal unterscheiden . Aus diesem Grund müssen Sie bei der Betrachtung von Anti-DDoS-Lösungen auf die Leistung in Mpps achten. Häufig beanspruchen Anbieter Leistung in Gbit / s, in Paketen stumm. Die Beschreibung von Methoden zur Bewertung der Leistung von Schutzsystemen ist ein Thema für einen separaten großen Artikel.
1.2 Funktionen der PDU-Größenzählung
Netzwerkgeräte können die
PDU- Größe auf verschiedenen Ebenen lesen und Felder von der Zählung ausschließen. Häufige Sätze von Feldern zum Zählen:
- L2 Daten- oder IP-Paketlänge
- L2 Daten + MAC Header
- L2-Daten + MAC-Header + FCS (CRC-Prüfsumme)
Jetzt berechnen wir die Messwerte in der Grafik, wenn wir TCP SYN Flood mit Wirespeed ohne und mit VLAN angreifen.
| PDU-Größe
(Bytes) | Gbit / s-Multiplikator |
|---|
| 10 9 | 2 30 |
|---|
| Pps ohne VLAN = 14880952,38 | | | |
| L1 | 84 | 10 | 9.313225746 |
| L2 | 64 | 7.6190 47619 | 7.095791045 |
| L2 ohne FCS | 60 | 7.1428 57143 | 6.652304104 |
| L2-Daten (IP + TCP) | 40 | 4.761904762 | 4.434869403 |
| Pps w vlan = 14204545.45 | | | |
| L1 | 88 | 10 | 9.313225746 |
| L2 | 68 | 7.727272727 | 7.196583531 |
| L2 ohne FCS | 64 | 7.272727273 | 6.773255088 |
| L2-Daten (IP + TCP) | 40 | 4,545454545 | 4.23328443 |
Bei voller Auslastung der 10-GbE-Schnittstelle im Diagramm können Sie also eine Geschwindigkeit von 4,43 Gbit / s beobachten.
Wenn Sie Geschwindigkeitswerte in verschiedenen Systemen vergleichen, müssen Sie daher verstehen, wie die Größe der PDU berücksichtigt wird. Um den Vergleich zu vereinfachen, haben wir uns einen
Taschenrechner erstellt , der die Geschwindigkeit beim Zählen verschiedener Header anzeigt.
Die folgenden zwei anderen Ursachengruppen wirken sich auf die Spitzenglättung aus und gelten für alle Geschwindigkeitsdiagramme.
2. Sammlung und Lagerung
2.1 Häufigkeit der Gegenabfragen
Normalerweise abgefragte Zähler, die den absoluten Wert der verarbeiteten Bytes und Pakete anzeigen. Um die Geschwindigkeit anzuzeigen, müssen Sie die Ableitung berechnen.
Die Genauigkeit des Diagramms hängt stark von der Häufigkeit der Abfrage des Zählers ab. Je seltener, desto größer die Mittelwertbildung. Beispielsweise ist es üblich, dass Bediener alle fünf Minuten Werte annehmen. Daher sind bei Pulse Wave DDoS-Angriffen die Diagrammprofile im Überwachungssystem und im Filtersystem sehr unterschiedlich.
2.2 Datenkonsolidierung (Aufbewahrungsrichtlinie)
Oft wird der Ansatz der zyklischen Datenbank (rrd) zum Speichern von Zählerwerten verwendet. Um Ressourcen zu sparen, werden Daten für verschiedene Zeiträume mit unterschiedlicher Genauigkeit gespeichert. Je weiter in der Vergangenheit, desto spärlicher die Werte, desto größer die Mittelwertbildung.
Unterschiedliche Systeme haben möglicherweise unterschiedliche Aufbewahrungsrichtlinien. Wenn Sie also nachträglich Diagramme betrachten, können Sie unterschiedliche Werte beobachten.
3. Anzeige
3.1 Anzahl der Punkte auf dem Diagramm
Normalerweise ist die Anzahl der angezeigten Punkte im Diagramm begrenzt. Wenn während des angeforderten Zeitraums mehr Punkte vorhanden sind, werden die Punkte bei der Anzeige konsolidiert. In den meisten Fällen werden benachbarte Punkte zu einem Punkt mit einem Durchschnittswert zusammengefasst. Diese Mittelung glättet die Spitzen.
Illustratives Beispiel:
3.2 Binärkonsolen
Eine zusätzliche Diskrepanz in den Messwerten wird durch die Diagrammzeichnungswerkzeuge hinzugefügt. Für Diagramme in Bits können sie verschiedene Grade verwenden, um dasselbe Präfix anzuzeigen. Sie können mehr unter
en.wikipedia.org/wiki/ lesen.
3.3 Einheiten
Grundsätzlich zeigen die Zähler auf dem Netzwerkgerät die Menge der verarbeiteten Informationen in Bytes an. Wenn nicht konvertiert, zeigt das Diagramm die Geschwindigkeit in Bps (Bytes pro Sekunde) und nicht in Bps (Bits pro Sekunde).
Fazit
Diagramme sind ein nützliches und informatives Werkzeug. Wenn Sie sich die richtigen Diagramme ansehen, finden Sie schnell Antworten auf viele Fragen. Wenn Sie jedoch mit Diagrammen arbeiten, müssen Sie die Nuancen verstehen, insbesondere wenn Sie Diagramme aus verschiedenen Systemen korrelieren. Wenn Sie sich das Diagramm zum ersten Mal ansehen, finden Sie Folgendes heraus:
- was geht und wie;
- wie wird es gespeichert;
- wie angezeigt.