ارائه اولین شبکه تحویل محتوا(cdn)، شتابدهنده وب و سامانه ابری ایران ( ابر آروان )

[ArvanCloud]

خیلی خوشحالم چنین سرویسی در ایران راه اندازی شده؛
جسارتا این سوال را به عنوان یک همکار می پرسم؛ سرویس شما چگونه از حملات DDoS لایه 3 و 4 محافظت می نماید؟

سلام
ممنون از لطف شما
جزئیات این خدمت در این مقاله به طور کامل توضیح داده شده است

[yastheme]

سلام
ممنون از لطف شما
جزئیات این خدمت در این مقاله به طور کامل توضیح داده شده است

تقریبا اکثر بازدید کنندگان از ایران هستند؛ در خصوص حملات DDoS لایه 3 و 4 که تقریبا می دونیم تو ایران چه خبره؛ شما یعنی دارید ضمانت میدید که در خصوص این حملات تو دیتا سنتر های ایرانی ذکر شده ضمانت میکنید؟
یا اینکه موقع حملات سایت فقط از OVH (تنها دیتاسنتر لیست شماکه در خصوص حملات DDoS مقاوم است) لود می شود؟ که در این صورت ماهیت CDN زیر سوال می رود.
که البته فایروال این دیتا سنتر نیز قابل بایپس شدن است تا حدودی ؛ برای همین اکثر کسانی که از OVH استفاده می کنند از اسم و تبلیغ آنتی دیداس در سایتشان معمولا استفاده نمی کنند.

در خصوص حملات لایه 7 ظاهرا کارتون خوبه و همچنین پنل و رابط کاربری و Nginx ولی در خصوص حملات لایه 3 و 4 نیاز به شفافیت بیشتری است.

[ArvanCloud]

تقریبا اکثر بازدید کنندگان از ایران هستند؛ در خصوص حملات DDoS لایه 3 و 4 که تقریبا می دونیم تو ایران چه خبره؛ شما یعنی دارید ضمانت میدید که در خصوص این حملات تو دیتا سنتر های ایرانی ذکر شده ضمانت میکنید؟
یا اینکه موقع حملات سایت فقط از OVH (تنهای دیتاسنتر لیست شماکه در خصوص حملات DDoS مقاوم است) لود می شود؟ که در این صورت ماهیت CDN زیر سوال می رود.
که البته این فایروال این دیتا سنتر نیز قابل بایپس شدن است تا حدودی برای همین اکثر کسانی که از OVH استفاده می کنند از اسم و تبلیغ آنتی دیداس در سایتشان معمولا استفاده نمی کنند.

در خصوص حملات لایه 7 ظاهرا کارتون خوبه و همچنین پنل و رابط کاربری و Nginx ولی در خصوص حملات لایه 3 و 4 نیاز به شفافیت بیشتری است.

هیچ سرویس دهنده ای در دنیا مدعی نمی شود که می تواند به طور قطع از کلیه حملات منع سرویس جلوگیری کند، بلکه تلاش می شود تا تحمل اینگونه حملات افزایش پیدا کند، اَبر آروان نیز از دیگر مدافعان حملات منع سرویس جدا نیست اما جهت روشن شدن برخی جنبه های فنی این موارد آورده شده است:


1- ما ترافیک خارج از کشور را به داخل ایران وارد نمی کنیم، و همان طور که می دانید حملات منع سرویس معمولاً از کشورهای خارجی و بیشتر از کشورهایی چون چین و روسیه صورت می گیرد. پهنای باند داخل کشور توانایی انجام حملات گسترده DDoS برروی ابر آروان را دارا نمی باشند.
2- سرورهای ما در هر دیتاسنتر از قدرت بالاتری نسبت به یک سرور عادی در دفاع از حملات DDoS برخوردار هستند، به کمک تنظیمات امنیتی صورت گرفته به طور مثال اگر یک سرور عادی در هر ثانیه توانایی دریافت تعداد مشخصی بسته syn را دارا باشد، سرورهای ما می توانند در هر ثانیه 10 برابر این تعداد را بررسی نمایند و از انتقال ترافیک مشکوک به کرنل سیستم عامل جلوگیری نمایند.
3- بسیاری از دیتاسنترهایی که در حال حاضر ابر آروان بر روی آن ها مستقر است به صورت اختصاصی امکان محافظت را برای آن POP ایجاد می کنند. که می توان به دیتاسنتر ژاپن اشاره کرد. همچنین در برخی نقاط دیگر به طور کلی ترافیک UDP که ممکن است به کمک تکنیک هایی مثل amplification حملات گسترده ای را به سمت ما ارسال کنند، مسدود گشته است.
4- همچنین اَبر آروان از تکنولوژی Global Service Load Balancing جهت توزیع ترافیک بین سرورهای خود در مواقع حمله استفاده می کند.
4- در آینده نزدیک امکان مسیریابی اختصاصی به صورت anycast نیز به ابر آروان افزوده خواهد شد، به این ترتیب قدرت مقابله با حملات منع سرویس باز هم افزوده می گردد.

[yastheme]

هیچ سرویس دهنده ای در دنیا مدعی نمی شود که می تواند به طور قطع از کلیه حملات منع سرویس جلوگیری کند، بلکه تلاش می شود تا تحمل اینگونه حملات افزایش پیدا کند، اَبر آروان نیز از دیگر مدافعان حملات منع سرویس جدا نیست اما جهت روشن شدن برخی جنبه های فنی این موارد آورده شده است:


1- ما ترافیک خارج از کشور را به داخل ایران وارد نمی کنیم، و همان طور که می دانید حملات منع سرویس معمولاً از کشورهای خارجی و بیشتر از کشورهایی چون چین و روسیه صورت می گیرد. پهنای باند داخل کشور توانایی انجام حملات گسترده DDoS برروی ابر آروان را دارا نمی باشند.
2- سرورهای ما در هر دیتاسنتر از قدرت بالاتری نسبت به یک سرور عادی در دفاع از حملات DDoS برخوردار هستند، به کمک تنظیمات امنیتی صورت گرفته به طور مثال اگر یک سرور عادی در هر ثانیه توانایی دریافت تعداد مشخصی بسته syn را دارا باشد، سرورهای ما می توانند در هر ثانیه 10 برابر این تعداد را بررسی نمایند و از انتقال ترافیک مشکوک به کرنل سیستم عامل جلوگیری نمایند.
3- بسیاری از دیتاسنترهایی که در حال حاضر ابر آروان بر روی آن ها مستقر است به صورت اختصاصی امکان محافظت را برای آن POP ایجاد می کنند. که می توان به دیتاسنتر ژاپن اشاره کرد. همچنین در برخی نقاط دیگر به طور کلی ترافیک UDP که ممکن است به کمک تکنیک هایی مثل amplification حملات گسترده ای را به سمت ما ارسال کنند، مسدود گشته است.
4- همچنین اَبر آروان از تکنولوژی Global Load Balancing جهت توزیع ترافیک بین سرورهای خود در مواقع حمله استفاده می کند.
4- در آینده نزدیک امکان مسیریابی اختصاصی به صورت anycast نیز به ابر آروان افزوده خواهد شد، به این ترتیب قدرت مقابله با حملات منع سرویس باز هم افزوده می گردد.

اصلا توضیح مناسبی نبود !هیچ سرویس دهنده ای مدعی نیست از تمامی حملات جلوگیری می کند اما حملات 100 مگابیتی کجا و حملات 50 گیگابیتی کجا؟
حملات TCP مثل syn که مثال زدید همیشه به اندازه ای کوچک نیستند که با فایروال نرم افزاری بتوانید آن را مهار کنید!
ترافیک UDP احتمالا از سمت دیتا سنتر مسدود کرده اید که چرا مسدود کردن ترافیک از سمت سرور تاثیری ندارد؛البته در خصوص ایران بستن UDP از دیتاسنتر هم فایده ای ندارد! چه برسد به سرور.
در صورتی که سرور شما اینترانت نباشد؛ بستن ترافیک خارج از کشور از روی سرور مفهومی برای حملات ندارد.
مسائل مربوط به Global Load Balancing مربوط به حملات لایه 7 است؛ در خصوص حملات لایه 3 و 4 ظاهرا هیچ راهکاری مناسبی ندارید,

خدایی نکرده فکر نکنید نیت بدی دارم یا بخواهم مچ گیری کنم و ..؛اتفاقا خیر ! فکر کنید سرویس شما چه قدر می تواند در کاهش ترافیک از خارج به داخل کشور نیز موثر باشد! یک CDN در داخل کشور واقعا عالی است! بهتر است تمامی مسائل و شبهات را برطرف کنید؛ و اگر نه همین الان یک تاپیک در سایت آشیانه بزنید و در خصوص سایت خود توضیح دهید و بخواهید سرور شما را تست کنند؛
خواهید دید که به راحتی هر چه تمام می توانند برایتان مشکل آفرین باشند؛
الان مشکلات را برطرف کنید بسیار بهتری است از زمانی که تعداد مشتریانتان افزایش یافته است.
موفق باشید

[ArvanCloud]

اصلا توضیح مناسبی نبود !هیچ سرویس دهنده ای مدعی نیست از تمامی حملات جلوگیری می کند اما حملات 100 مگابیتی کجا و حملات 50 گیگابیتی کجا؟
حملات TCP مثل syn که مثال زدید همیشه به اندازه ای کوچک نیستند که با فایروال نرم افزاری بتوانید آن را مهار کنید!
ترافیک UDP احتمالا از سمت دیتا سنتر مسدود کرده اید که چرا مسدود کردن ترافیک از سمت سرور تاثیری ندارد؛البته در خصوص ایران بستن UDP از دیتاسنتر هم فایده ای ندارد! چه برسد به سرور.
در صورتی که سرور شما اینترانت نباشد؛ بستن ترافیک خارج از کشور از روی سرور مفهومی برای حملات ندارد.
مسائل مربوط به Global Load Balancing مربوط به حملات لایه 7 است؛ در خصوص حملات لایه 3 و 4 ظاهرا هیچ راهکاری مناسبی ندارید,

خدایی نکرده فکر نکنید نیت بدی دارم یا بخواهم مچ گیری کنم و ..؛اتفاقا خیر ! فکر کنید سرویس شما چه قدر می تواند در کاهش ترافیک از خارج به داخل کشور نیز موثر باشد! یک CDN در داخل کشور واقعا عالی است! بهتر است تمامی مسائل و شبهات را برطرف کنید؛ و اگر نه همین الان یک تاپیک در سایت آشیانه بزنید و در خصوص سایت خود توضیح دهید و بخواهید سرور شما را تست کنند؛
خواهید دید که به راحتی هر چه تمام می توانند برایتان مشکل آفرین باشند؛
الان مشکلات را برطرف کنید بسیار بهتری است از زمانی که تعداد مشتریانتان افزایش یافته است.
موفق باشید

1- من با شما موافقم که شدت حمله بسیار موثر است، من الان نمی توانم رقم دقیقی به شما اعلام کنم، اما در تلاش هستیم به کمک راهکارهای مختلف میزان تحمل خود را به استانداردهای ابرهای امنیتی جهان نزدیک کنیم.

2- به هیچ وجه Global Service Load Balancing ما فقط مربوطه به لایه 7 نمی باشد. در حال حاضر حتی در صورتی که تمام سرورهای داخلیمان نیز از دسترس خارج شود باز هم در سرویس دهی دچار اختلال نخواهیم شد.

3- فایروال نرم افزاری و سخت افزاری یک باور غلط است. به طور مثال arbor network که در مردم احتملا آن را یک محصول سخت افزاری می دانند، بر روی سیستم عامل OpenBSD سرویس دهی می کند. (می توانید رجوع کنید به مجله OpenBSD و همچنین سایت شرکت سیسکو)

4- ترافیک UDP در خارج از کشور در سطح دیتاسنتر و در داخل کشور در زیرساخت مسدود می شود. این کار قدرت تحمل آن POP خاص را تا چندین برابر تحمل عادی ترافیک یک سرور ارتقاء می بخشد.


به طور کلی از شما تشکر می کنم که نسبت به اَبر آروان لطف داشته و اشکالات احتمالی را به ما متذکر می شوید.