Estar envolvido na proteção contra ataques DDoS
Ele é trazido ao site do cliente para realizar testes de carga, testes de defesa e ajudar a repelir ataques. Frequentemente, você observa uma situação em que os gráficos em diferentes sistemas diferem no mesmo tráfego. Uma breve explicação de "pense diferente" não inspira confiança. Portanto, ele descreveu os motivos de um artigo separado. Este artigo será útil para engenheiros iniciantes da operação da rede e para aqueles que precisam lidar com agendas.
Os motivos da discrepância de depoimentos foram divididos em três grupos:
1. Contando2. Coleta e armazenamento3. Visor1. Contando
Começarei com o principal motivo da discrepância e que é mais frequentemente esquecido.
1. Os engenheiros geralmente acreditam que o tamanho mínimo do "pacote" é de 64 bytes.
2. O equipamento de rede considera de maneira diferente a quantidade de informação transmitida.
As fontes de erro e respostas estão nesta imagem.
1.1 RTFM
Recuperar
estrutura de cabeçalho Ethernet
Por exemplo, faremos cálculos para 10 GbE. Através de uma interface de 10 GbE, passam no máximo
1.000.000.000 de bits (10 ^ 10).
Converta o tamanho dos cabeçalhos de octetos em bits
| bytes | bits |
|---|
| Tamanho do cabeçalho L1 | 20 | 160 |
| Tamanho do cabeçalho L2 MAC | 14 | 112 |
| Tamanho L2 FCS | 4 | 32. |
| Tamanho da VLAN L2 | 4 | 32. |
| Carga útil mínima | 46. | 368 |
| Carga máxima | 1500 | 12000 |
| Total |
| Carga útil mínima sem VLAN | 84 | 672 |
| Carga útil mínima com VLAN | 88 | 704 |
| Carga útil máxima sem VLAN | 1538 | 12304 |
| Carga útil máxima com VLAN | 1542 | 12336 |
* O uso de tecnologias de sobreposição na rede de transporte afeta o tamanho inicial da
PDU , o que reduz os pps máximos.
** Por exemplo, tomou VLAN. O processamento de quadros com IDs de vlan nas interfaces de rede pode variar. Alguns aumentam a MTU, outros diminuem o tamanho máximo permitido da carga útil.
Calculamos a velocidade máxima e mínima na
PDU por segundo com a utilização completa da interface (velocidade do fio)
| Max pps | 14880952 .38 |
| Máximo pps com VLAN | 14204545.45 |
| Mín. Pps | 812743 .8231 |
| Mín. Pps com VLAN | 810635.5383 |
I.e. através da interface de 10 GbE, o número máximo passa ~ 14,88 Mpps. Para facilitar a lembrança, chamamos de zigapack.
Também chamo a atenção para o fato de que max pps e min pps diferem mais de
18 vezes . Por esse motivo, ao considerar as soluções antiDDoS, você precisa prestar atenção ao desempenho em Mpps. Frequentemente, os fornecedores alegam desempenho em Gbps, silenciosos em pacotes. A descrição de métodos para avaliar o desempenho dos sistemas de proteção é um tópico para um grande artigo separado.
1.2 Recursos da contagem de tamanho da PDU
Os equipamentos de rede podem ler o tamanho da
PDU em diferentes níveis e excluir os campos da contagem. Conjuntos frequentes de campos para contagem:
- Dados L2 ou pacote IP len
- Dados L2 + cabeçalho MAC
- Dados L2 + cabeçalho MAC + FCS (soma de verificação CRC)
Agora calculamos as leituras no gráfico ao atacar o TCP SYN Flood na velocidade do fio sem e usando vlan.
| Tamanho da PDU
(bytes) | Multiplicador de Gbps |
|---|
| 10 9 | 2 30 |
|---|
| Pps sem vlan = 14880952.38 | | | |
| L1 | 84 | 10 | 9.313225746 |
| L2 | 64 | 7.6190 47619 | 7.095791045 |
| L2 sem FCS | 60 | 7.1428 57143 | 6.652304104 |
| Dados L2 (IP + TCP) | 40. | 4.761904762 | 4.434869403 |
| Pps w vlan = 14204545.45 | | | |
| L1 | 88 | 10 | 9.313225746 |
| L2 | 68 | 7.727272727 | 7.196583531 |
| L2 sem FCS | 64 | 7.272727273 | 6.773255088 |
| Dados L2 (IP + TCP) | 40. | 4.545454545 | 4.23328443 |
Portanto, com a utilização total da interface de 10 GbE no gráfico, é possível observar uma velocidade de 4,43 Gbps.
Portanto, ao comparar valores de velocidade em diferentes sistemas, você precisa entender como o tamanho da PDU é considerado. Para simplificar a comparação, fizemos uma
calculadora para nós mesmos, mostrando a velocidade na contagem de cabeçalhos diferentes.
Os dois outros grupos de causas a seguir afetam a suavização de pico e são aplicáveis a todos os gráficos de velocidade.
2. Coleta e armazenamento
2.1 Frequência de votação
Contadores geralmente pesquisados mostrando o valor absoluto dos bytes e pacotes processados. Para exibir a velocidade, você precisa calcular a derivada.
A precisão do gráfico é altamente dependente da frequência da pesquisa no contador. Quanto menos frequentemente, maior a média. Por exemplo, é habitual que os operadores tomem valores a cada cinco minutos. Portanto, com os ataques DDoS Pulse Wave, os perfis gráficos no sistema de monitoramento e no sistema de filtragem serão muito diferentes.
2.2 Consolidação de dados (política de retenção)
Geralmente, a abordagem de banco de dados cíclico (rrd) é usada para armazenar valores de contador. Para economizar recursos, os dados para períodos diferentes são armazenados com precisão diferente. Quanto mais longe no passado, mais esparsos os valores, maior a média.
Sistemas diferentes podem ter políticas de retenção diferentes; portanto, olhando retrospectivamente para os gráficos, é possível observar valores diferentes.
3. Visor
3.1 Número de pontos no gráfico
Geralmente no gráfico, há um limite para o número de pontos exibidos. Se houver mais pontos durante o período solicitado, ao exibir os pontos serão consolidados. Na maioria das vezes, os pontos vizinhos são consolidados em um com um valor médio. Essa média suaviza os picos.
Exemplo ilustrativo:
3.2 Consoles binários
Uma discrepância adicional nas leituras é adicionada pelas ferramentas de desenho do gráfico. Para gráficos em bits, eles podem usar vários graus para exibir o mesmo prefixo. Você pode ler mais em
en.wikipedia.org/wiki/3.3 Unidades
Basicamente, os contadores no equipamento de rede mostram a quantidade de informações processadas em bytes. Se não for convertido, o gráfico mostrará a velocidade em Bps (bytes por segundo) e não em bps (bits por segundo).
Conclusão
Os gráficos são uma ferramenta útil e informativa. Observando o conjunto certo de gráficos, você pode encontrar rapidamente respostas para muitas perguntas. Porém, ao trabalhar com gráficos, você precisa entender as nuances, especialmente ao correlacionar gráficos de diferentes sistemas. Portanto, na primeira vez em que você olhar o gráfico, descubra:
- o que está acontecendo e como;
- como é armazenado;
- como exibido.