Être engagé dans la protection contre les attaques DDoS
Il est amené sur le site du client pour effectuer des tests de charge, des tests de défense et aider à repousser les attaques. Souvent, vous observez une situation où les graphiques dans différents systèmes diffèrent sur le même trafic. Une brève explication de «penser différemment» n'inspire pas confiance. Par conséquent, il a décrit les raisons d'un article séparé. Cet article sera utile aux débutants en ingénierie du fonctionnement du réseau et à ceux qui doivent gérer des plannings.
Les raisons de la divergence des témoignages ont été divisées en trois groupes:
1. Compter2. Collecte et stockage3. Affichage1. Compter
Je vais commencer par la principale raison de l'écart et qui est le plus souvent négligée.
1. Les ingénieurs pensent souvent que la taille minimale du "paquet" est de 64 octets.
2. L'équipement réseau considère différemment la quantité d'informations transmises.
Les sources d'erreur et les réponses sont dans cette image.
1.1 RTFM
Rappel de la
structure d'en-tête Ethernet
Par exemple, nous ferons des calculs pour 10 GbE. Grâce à une interface 10 GbE, un maximum de
1 000 000 000 de bits passent (10 ^ 10).
Convertir la taille des en-têtes d'octets en bits
| octets | bits |
|---|
| Taille de l'en-tête L1 | 20 | 160 |
| Taille de l'en-tête MAC L2 | 14 | 112 |
| Taille L2 FCS | 4 | 32 |
| Taille du VLAN L2 | 4 | 32 |
| Charge utile min | 46 | 368 |
| Charge utile max | 1500 | 12000 |
| Total |
| Charge utile minimale sans VLAN | 84 | 672 |
| Charge utile minimale avec VLAN | 88 | 704 |
| Charge utile maximale sans VLAN | 1538 | 12304 |
| Charge utile maximale avec VLAN | 1542 | 12336 |
* L'utilisation de technologies de superposition sur le réseau de transport affecte la taille initiale de la
PDU , ce qui réduit le maximum de pps.
** Pour un exemple a pris VLAN. Le traitement des trames avec des ID vlan sur les interfaces réseau peut varier. Certains augmentent le MTU, d'autres réduisent la taille maximale autorisée de la charge utile.
Nous calculons la vitesse maximale et minimale dans la
PDU par seconde avec l'utilisation complète de l'interface (wire-speed)
| Pps max | 14880952 .38 |
| Pps max avec VLAN | 14204545.45 |
| Min pps | 812743 .8231 |
| Min pps avec VLAN | 810635.5383 |
C'est-à-dire grâce à l'interface 10 GbE, le nombre maximal de passages ~ 14,88 Mpps. Pour faciliter la mémorisation, nous l'appelons un zigapack.
J'attire également l'attention sur le fait que les pps max et min pps diffèrent de plus de
18 fois . Pour cette raison, lorsque vous envisagez des solutions antiDDoS, vous devez faire attention aux performances dans Mpps. Souvent, les fournisseurs revendiquent des performances en Gbps, silencieux dans les paquets. La description des méthodes d'évaluation des performances des systèmes de protection fait l'objet d'un article volumineux distinct.
1.2 Caractéristiques du comptage de la taille des PDU
L'équipement réseau peut lire la taille de la
PDU à différents niveaux et exclure les champs du comptage. Ensembles fréquents de champs pour compter:
- L2 données ou paquet IP len
- Données L2 + en-tête MAC
- Données L2 + en-tête MAC + FCS (somme de contrôle CRC)
Maintenant, nous calculons les lectures sur le graphique lors de l'attaque de TCP SYN Flood sur wirepeed sans et en utilisant vlan.
| Taille PDU
(octets) | Multiplicateur Gbps |
|---|
| 10 9 | 2 30 |
|---|
| Pps sans vlan = 14880952.38 | | | |
| L1 | 84 | 10 | 9.313225746 |
| L2 | 64 | 7.6190 47619 | 7.095791045 |
| L2 sans FCS | 60 | 7.1428 57143 | 6.652304104 |
| Données L2 (IP + TCP) | 40 | 4.761904762 | 4.434869403 |
| Pps avec vlan = 14204545.45 | | | |
| L1 | 88 | 10 | 9.313225746 |
| L2 | 68 | 7.727272727 | 7.196583531 |
| L2 sans FCS | 64 | 7.272727273 | 6.773255088 |
| Données L2 (IP + TCP) | 40 | 4.545454545 | 4.23328443 |
Ainsi, avec l'utilisation complète de l'interface 10 GbE sur le graphique, vous pouvez observer une vitesse de 4,43 Gbps.
Par conséquent, lorsque vous comparez des valeurs de vitesse dans différents systèmes, vous devez comprendre comment la taille de la PDU est prise en compte. Pour simplifier la comparaison, nous avons fait une
calculatrice pour nous-mêmes, montrant la vitesse lors du comptage des différents en-têtes.
Les deux autres groupes de causes suivants affectent le lissage des pics et s'appliquent à tous les graphiques de vitesse.
2. Collecte et stockage
2.1 Fréquence de contre-interrogation
Compteurs généralement interrogés montrant la valeur absolue des octets et des paquets traités. Pour afficher la vitesse, vous devez calculer la dérivée.
La précision du graphique dépend fortement de la fréquence d'interrogation du compteur. Moins souvent, plus la moyenne est élevée. Par exemple, il est habituel pour les opérateurs de prendre des valeurs toutes les cinq minutes. Par conséquent, avec les attaques Pulse Wave DDoS, les profils de graphique dans le système de surveillance et le système de filtrage seront très différents.
2.2 Consolidation des données (politique de conservation)
Souvent, l'approche de la base de données cyclique (rrd) est utilisée pour stocker les valeurs de compteur. Afin d'économiser des ressources, les données pour différentes périodes sont stockées avec une précision différente. Plus loin dans le passé, plus les valeurs sont clairsemées, plus la moyenne est grande.
Différents systèmes peuvent avoir des politiques de rétention différentes, par conséquent, en regardant rétrospectivement les graphiques, vous pouvez observer différentes valeurs.
3. Affichage
3.1 Nombre de points sur le graphique
Habituellement, sur le graphique, il y a une limite sur le nombre de points affichés. S'il y a plus de points pendant la période demandée, alors lors de l'affichage les points sont consolidés. Le plus souvent, les points voisins sont consolidés en un seul avec une valeur moyenne. Cette moyenne lisse les pics.
Exemple illustratif:
3.2 Consoles binaires
Une différence supplémentaire dans les lectures est ajoutée par les outils de dessin de graphique. Pour les graphiques en bits, ils peuvent utiliser différents degrés pour afficher le même préfixe. Vous pouvez en savoir plus sur
en.wikipedia.org/wiki/3.3 Unités
Fondamentalement, les compteurs de l'équipement réseau affichent la quantité d'informations traitées en octets. S'il n'est pas converti, le graphique affichera la vitesse en Bps (octets par seconde) et non en bps (bits par seconde).
Conclusion
Les graphiques sont un outil utile et informatif. En regardant le bon ensemble de graphiques, vous pouvez trouver rapidement des réponses à de nombreuses questions. Mais lorsque vous travaillez avec des graphiques, vous devez comprendre les nuances, en particulier lors de la corrélation des graphiques de différents systèmes. Par conséquent, la première fois que vous regardez le tableau, découvrez:
- ce qui se passe et comment;
- comment est-il conservé;
- comme affiché.