В докладе отражены общая архитектура сети Cloudflare и обзор технических решений, которые помогают справиться с самыми крупными на сегодняшний день атаками. В частности:
- общий обзор сети Cloudflare
- Anycast и BGP и управление трафиком
- внутри датацентра Cloudflare: програмный стек
- эффективная фильтрация пакетов в Linux в обход ядра ОС
- автоматическая система управления состоянием firewall на серверах Cloudflare
2. Agenda
● краткий обзор сетей доставки контента и
их места в современном программном
стеке
3. Agenda
● краткий обзор сетей доставки контента и
их места в современном программном
стеке
● что такое DDoS и почему традиционные
средства борьбы с сетевыми атаками
больше не работают
4. Agenda
● краткий обзор сетей доставки контента и
их места в современном программном
стеке
● что такое DDoS и почему традиционные
средства борьбы с сетевыми атаками
больше не работают
● защита от DDoS на уровне
распределенной сети
5. Agenda
● краткий обзор сетей доставки контента и
их места в современном программном
стеке
● что такое DDoS и почему традиционные
средства борьбы с сетевыми атаками
больше не работают
● защита от DDoS на уровне
распределенной сети
● защита от DDoS на уровне сервера
6. Краткий обзор сетей доставки контента
и их места в современном
программном стеке
14. Почему коробочные решения не работают?
● атакующие могут наращивать силу атаки
путем горизонтального масштабирования
15. Почему коробочные решения не работают?
● атакующие могут наращивать силу атаки
путем горизонтального масштабирования
● атакующие постоянно изобретают более
сложные методы атаки, трафик которых
пропускается даже дорогими файрволами
16. Почему коробочные решения не работают?
● атакующие могут наращивать силу атаки
путем горизонтального масштабирования
● атакующие постоянно изобретают более
сложные методы атаки, трафик которых
пропускается даже дорогими файрволами
● как правило, атакующие не платят за
трафик
28. DDoS в anycast сети
● трафик распределен между всеми
участниками сети
29. DDoS в anycast сети
● трафик распределен между всеми
участниками сети
● сеть легко масштабируется горизонтально
30. DDoS в anycast сети
● трафик распределен между всеми
участниками сети
● сеть легко масштабируется горизонтально
● легко корректировать транспортные
потоки с помощью BGP
31. DDoS в anycast сети
● трафик распределен между всеми
участниками сети
● сеть легко масштабируется горизонтально
● легко корректировать транспортные
потоки с помощью BGP
● но отдельные сервера все равно могут
получать достаточно много пакетов
34. Сетевой путь до приложения
● используется стандартный фаервол
Linux (iptables) и BPF
35. Сетевой путь до приложения
● используется стандартный фаервол
Linux (iptables) и BPF
● правила генерируются автоматически
централизованной системой
распознавания атак (codename Gatebot)
37. Почему BPF?
● создание правила фильтрации пакетов
практически произвольной сложности
● эффективная фильтрация пакетов на всех
сетевых уровнях
38. Почему BPF?
● создание правила фильтрации пакетов
практически произвольной сложности
● эффективная фильтрация пакетов на всех
сетевых уровнях
● сервис остается доступным для обычных
пользователей
39. Почему BPF?
● создание правила фильтрации пакетов
практически произвольной сложности
● эффективная фильтрация пакетов на всех
сетевых уровнях
● сервис остается доступным для обычных
пользователей
● возможность автоматической генерации
правил файрвола
43. Достоинства Gatebot
● быстрое автоматическое распознавание и
блокировка атак
● умение анализировать трафик на всех
сетевых уровнях
44. Достоинства Gatebot
● быстрое автоматическое распознавание и
блокировка атак
● умение анализировать трафик на всех
сетевых уровнях
● защита от новых типов атак автоматически
доступна для всех клиентов Сети
45. Достоинства Gatebot
● быстрое автоматическое распознавание и
блокировка атак
● умение анализировать трафик на всех
сетевых уровнях
● защита от новых типов атак автоматически
доступна для всех клиентов Сети
● возможность ручной корректировки в
экстренных случаях
62. Выводы
● победить масштабные распределенные
атаки можно только масштабируемой
распределенной сетью
● коробочные решения не эффективны для
защиты от современных DDoS атак
● эффективная защита включает в себя
несколько уровней обработки трафика
● CDN находятся в выгодном положении для
предоставления услуг защиты от DDoS