Subscribe to receive notifications of new posts:

วิธีปรับแต่งการตั้งค่าการป้องกัน DDoS 3/4 ของเลเยอร์ของคุณ

12/09/2021

2 min read
How to customize your layer 3/4 DDoS protection settings

หลังจากให้บริการลูกค้าในเบื้องต้นให้สามารถควบคุมการตั้งค่าการป้องกัน DDoS ของ HTTP-layer ไปเมื่อต้นปีนี้ เรารู้สึกตื่นเต้นที่จะขยายการควบคุมที่ลูกค้าของเรามีไปยังเลเยอร์ของแพ็กเก็ต เมื่อใช้การควบคุมใหม่เหล่านี้ ลูกค้า Cloudflare Enterprise ที่ใช้บริการ Magic Transit และ Spectrum จะสามารถปรับและปรับแต่งการตั้งค่าการป้องกัน L3/4 DDoS ได้โดยตรงจากแดชบอร์ด Cloudflare หรือผ่าน Cloudflare API

ฟังก์ชันใหม่นี้ช่วยให้ลูกค้าสามารถควบคุมชุดกฎ DDoS หลักสองชุด:

  1. ชุดกฎการป้องกัน DDoS ระดับเครือข่าย — ชุดกฎนี้รวมกฎเพื่อตรวจจับและลดการโจมตี DDoS บนเลเยอร์ 3/4 ของโมเดล OSI เช่น UDP floods, การโจมตีสะท้อน SYN-ACK, SYN Floods และ DNS floods ชุดกฎนี้พร้อมใช้งานสำหรับลูกค้า Spectrum และ Magic Transit ในแผน Enterprise
  2. ชุดกฎการป้องกัน TCP ขั้นสูง — ชุดกฎนี้รวมถึงกฎเพื่อตรวจจับและลดการโจมตี TCP นอกสถานะที่ซับซ้อน เช่น ACK Floods ที่ปลอมแปลง, SYN Floods แบบสุ่ม และการโจมตี SYN-ACK Reflection แบบกระจาย ชุดกฎนี้พร้อมใช้งานสำหรับลูกค้า Magic Transit เท่านั้น

หากต้องการข้อมูลเพิ่มเติม โปรดดูเอกสารสำหรับนักพัฒนา DDoS Managed Ruleset เราได้รวบรวมคำแนะนำบางส่วนที่น่าจะเป็นประโยชน์สำหรับคุณ:

  1. การเตรียมความพร้อมและการเริ่มต้นใช้งานการป้องกัน Cloudflare DDoS
  2. การจัดการเชิงลบที่เป็นเท็จ
  3. การจัดการเชิงบวกที่เป็นเท็จ
  4. แนวทางปฏิบัติที่ดีที่สุดเมื่อใช้ VPN, VoIP และบริการของบุคคลที่สามอื่ น ๆ
  5. วิธีจำลองการโจมตี DDoS

การป้องกัน DDoS ของ Cloudflare

การโจมตีแบบ Distributed Denial of Service (DDoS) เป็นประเภทของการโจมตีทางอินเทอร์เน็ตที่มีจุดมุ่งหมายเพื่อขัดขวางบริการอินเทอร์เน็ตของเหยื่อ มีการโจมตี DDoS หลายประเภท และสามารถสร้างขึ้นได้โดยผู้โจมตีที่เลเยอร์ต่าง ๆ ของอินเทอร์เน็ต ตัวอย่างหนึ่งคือ HTTP flood จุดมุ่งหมายเพื่อขัดขวางเซิร์ฟเวอร์แอปพลิเคชัน HTTP เช่น เซิร์ฟเวอร์ที่ขับเคลื่อนแอปมือถือและเว็บไซต์ อีกตัวอย่างหนึ่งคือ UDP flood แม้ว่าการโจมตีประเภทนี้สามารถใช้เพื่อขัดขวางเซิร์ฟเวอร์ HTTP ได้ แต่ก็นำมาใช้เพื่อพยายามขัดขวางแอปพลิเคชันที่ไม่ใช่ HTTP ได้ด้วย ซึ่งรวมถึงแอปพลิเคชันที่ใช้ TCP และ UDP รวมถึงบริการเครือข่ายเช่น บริการ VoIP, เซิร์ฟเวอร์เกมพนัน เงินคริปโต และอีกมากมาย

An illustration of a DDoS attack

เพื่อปกป้ององค์กรจากการโจมตี DDoS เราได้สร้างและดำเนินการระบบที่กำหนดโดยซอฟต์แวร์ที่ทำงานโดยอัตโนมัติ ซอฟต์แวร์จะทำหน้าที่ตรวจจับและบรรเทาการโจมตี DDoS ทั่วทั้งเครือข่ายของเราโดยอัตโนมัติ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับระบบป้องกัน DDoS แบบอัตโนมัติของเราและวิธีการทำงานได้ในบล็อกโพสต์ด้านเทคนิคเชิงลึก

A diagram of Cloudflare’s DDoS protection system

การป้องกัน DDoS ที่ไม่มีการวัดปริมาณข้อมูลและไม่จำกัดการใช้งาน

ระดับการป้องกันที่เรานำเสนอคือไม่มีการวัดปริมาณข้อมูลและไม่จำกัดการใช้งาน ซึ่งการป้องกันระดับนี้ไม่ถูกจำกัดด้วยขนาดของการโจมตี จำนวนครั้งของการโจมตี หรือระยะเวลาของการโจมตี นี่เป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งในทุกวันนี้ เพราะอย่างที่เราได้เห็นเมื่อเร็ว ๆ นี้ว่า การโจมตีเริ่มมีขนาดใหญ่ขึ้นและบ่อยขึ้น กล่าวคือ ในไตรมาสที่ 3 การโจมตีระดับเครือข่ายเพิ่มขึ้น 44% เมื่อเทียบกับไตรมาสก่อนหน้า นอกจากนี้ เมื่อเร็ว ๆ นี้ ระบบของเราได้ตรวจพบและลดการโจมตี DDoS โดยอัตโนมัติซึ่งมีระดับสูงสุดที่ต่ำกว่า 2 Tbps เท่านั้น ซึ่งถือว่าใหญ่ที่สุดที่เราเคยเห็นมาจนถึงปัจจุบัน

Graph of an almost 2 Tbps DDoS attack launched by a Mirari-variant botnet
botnet ของ Mirai ทำการโจมตี DDoS ขนาดเกือบ 2 Tbps

อ่านเพิ่มเติมเกี่ยวกับแนวโน้มล่าสุดของ DDoS

ชุดกฎที่มีการจัดการ

คุณสามารถนึกถึงระบบการป้องกัน DDoS แบบอัตโนมัติของเราในรูปของกลุ่ม (ชุดกฎ) ของกฎอัจฉริยะ มีชุดของกฎที่ประกอบด้วยกฎการป้องกัน HTTP DDoS, กฎการป้องกัน DDoS เลเยอร์เครือข่าย และกฎการป้องกัน TCP ขั้นสูง ในบล็อกโพสต์นี้ เราจะกล่าวถึงชุดกฎสองข้อหลัง ส่วนชุดกฎแรกนั้น เราได้พูดถึงในบล็อกโพสต์วิธีปรับแต่งการตั้งค่าการป้องกัน HTTP DDoS ของคุณแล้ว

A screenshot of the DDoS Protection Managed Rulesets in the Cloudflare dashboard
กฎที่มีการจัดการสำหรับ Cloudflare L3/4 DDoS

แต่ละกฎที่อยู่ในชุดกฎการป้องกัน DDoS ระดับเครือข่ายจะมีชุดลายนิ้วมือตามเงื่อนไขที่ไม่ซ้ำกัน การมาสก์ฟิลด์แบบไดนามิก ขีดจำกัดการเปิดใช้งาน และการดำเนินการบรรเทา กฎเหล่านี้ได้รับการจัดการ (โดย Cloudflare) ซึ่งหมายความว่าผู้เชี่ยวชาญ DDoS ของเราดูแลจัดการกฎแต่ละข้อโดยเฉพาะ ก่อนที่จะปรับใช้กฎใหม่ สิ่งที่เราจะทำเป็นอันดับแรกคือการทดสอบอย่างเข้มงวดและปรับให้เหมาะสมเพื่อความถูกต้องและประสิทธิภาพในการบรรเทาผลกระทบทั่วทั้งเครือข่ายในทั่วโลก

ในชุดกฎการป้องกัน TCP ขั้นสูง เราใช้เอนจิ้นการจำแนกสถานะ TCP ใหม่เพื่อระบุสถานะของโฟลว์ TCP โดยเอนจิ้นที่ขับเคลื่อนชุดกฎนี้คือ flowtrackd  คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ในบล็อกโพสต์ประกาศของเรา คุณสมบติเฉพาะอย่างหนึ่งของระบบนี้คือ สามารถทำงานได้โดยใช้โฟลว์แพ็กเก็ตทางเข้า (ขาเข้า) เท่านั้น ระบบมองเห็นเฉพาะการรับส่งข้อมูลทางเข้า และสามารถลบทิ้ง ท้าทาย หรืออนุญาตแพ็กเก็ตตามความชอบธรรมของแพ็กเก็ต ตัวอย่างเช่น แพ็กเก็ต ACK จำนวนมากที่ไม่สอดคล้องกับการเชื่อมต่อ TCP แบบเปิดจะถูกลบทิ้ง

วิธีตรวจจับและบรรเทาการโจมตี

การสุ่มตัวอย่าง

ในขั้นต้น การรับส่งข้อมูลจะถูกส่งทางอินเทอร์เน็ตผ่าน BGP Anycast ไปยังศูนย์ข้อมูล Edge Cloudflare ที่ใกล้ที่สุด เมื่อการรับส่งข้อมูลมาถึงศูนย์ข้อมูลของเรา ระบบ DDoS จะสุ่มตัวอย่างแบบอะซิงโครนัส เพื่อให้สามารถวิเคราะห์การรับส่งข้อมูลนอกเส้นทางได้โดยไม่ทำให้เพิ่มเวลาหน่วง ชุดกฎการป้องกัน TCP ขั้นสูงจำเป็นต้องดูโฟลว์แพ็กเก็ตทั้งหมด และกำหนดให้อยู่ในบรรทัดสำหรับลูกค้า Magic Transit เท่านั้น ชุดกฎการป้องกันนี้ไม่ทำให้เพิ่มเวลาหน่วงใด ๆ

การวิเคราะห์และการบรรเทาผลกระทบ

การวิเคราะห์ชุดกฎการป้องกัน TCP ขั้นสูงนั้นตรงไปตรงมาและมีประสิทธิภาพดี ระบบมีโฟลว์ TCP และติดตามสถานะของโฟลว์เหล่านั้นได้ ด้วยวิธีนี้ แพ็กเก็ตที่ไม่สอดคล้องกับการเชื่อมต่อที่ถูกต้องและสถานะของแพ็กเก็ตจะถูกลบทิ้งหรือถูกท้าทาย การบรรเทาผลกระทบเปิดใช้ได้เหนือขีดจำกัดบางอย่างที่ลูกค้าเป็นผู้กำหนด

การวิเคราะห์ชุดกฎการป้องกัน DDoS เลเยอร์เครือข่าย ดำเนินการโดยใช้อัลกอริธึมการสตรีมข้อมูล ตัวอย่างแพ็กเก็ตจะถูกเปรียบเทียบกับลายนิ้วมือตามเงื่อนไขและลายเซ็นแบบเรียลไทม์หลายรายการถูกสร้างขึ้นตามการมาสก์แบบไดนามิก ทุกครั้งที่แพ็กเก็ตอื่นตรงกับลายเซ็นใดลายเซ็นหนึ่ง ตัวนับจะเพิ่มขึ้น เมื่อถึงเกณฑ์การเปิดใช้งานสำหรับลายเซ็นที่กำหนด กฎการบรรเทาผลกระทบจะถูกคอมไพล์และพุชแบบอินไลน์ กฎการบรรเทาผลกระทบประกอบด้วยลายเซ็นแบบเรียลไทม์และการดำเนินการบรรเทาผลกระทบ เช่น การดรอปทิ้ง

​​​​ตัวอย่าง

จากตัวอย่างง่าย ๆ ลายนิ้วมือหนึ่งลายนิ้วมืออาจมีช่องข้อมูลต่อไปนี้: IP ต้นทาง, พอร์ตต้นทาง, IP ปลายทาง และหมายเลขลำดับ TCP การโจมตีด้วยการฟลัดแพ็กเก็ตที่มีหมายเลขลำดับคงที่จะตรงกับแบบแผน และตัวนับจะเพิ่มขึ้นสำหรับทุกแพ็กเก็ตที่ตรงกันจนกว่าจะเกินเกณฑ์การเปิดใช้งาน จากนั้นจะมีการดำเนินการบรรเทาผลกระทบ

อย่างไรก็ตาม ในกรณีของการโจมตีที่ปลอมแปลง โดยที่ที่อยู่ IP และพอร์ตต้นทางถูกสุ่มเลือก เราจะใช้ลายเซ็นหลายรายการสำหรับการรวมกันของ IP ต้นทางและพอร์ต สมมติว่ามีการโจมตีแบบสุ่ม/กระจายอย่างเพียงพอ การเปิดใช้งานจะไม่ตรงตามเกณฑ์และการบรรเทาผลกระทบจะไม่เกิดขึ้น ด้วยเหตุนี้ เราจึงใช้การมาสก์แบบไดนามิก กล่าวคือ ละเว้นช่องข้อมูลที่อาจไม่ใช่ตัวบ่งชี้ที่ชัดเจนของลายเซ็น ด้วยการมาส์ก (ละเว้น) IP ต้นทางและพอร์ต เราจะสามารถจับคู่แพ็กเก็ตการโจมตีทั้งหมดตามหมายเลขลำดับ TCP ที่ไม่ซ้ำกันโดยไม่คำนึงถึงว่าการสุ่ม/กระจายการโจมตีออกมาในลักษณะใด

การกำหนดค่าการตั้งค่าการป้องกัน DDoS

ปัจจุบัน เราได้เผยแพร่ข้อมูลที่เป็นประโยชน์เกี่ยวกับกฎระเบียบการป้องกัน DDoS เลเยอร์เครือข่ายที่เราได้กำหนดว่าเป็นข้อมูลที่เสี่ยงกับการปรับแต่งมากที่สุด เราจะเผยแพร่กฎเพิ่มเติมตามกระบวนการปกติ ซึ่งจะไม่ส่งผลกระทบต่อการรับส่งข้อมูลใดๆ ของคุณ

Overriding the sensitivity level and mitigation action
การเขียนทับระดับความละเอียดอ่อนและการดำเนินการลดความเสี่ยง

สำหรับชุดกฎการป้องกันเลเยอร์เครือข่าย สำหรับแต่ละกฎที่พร้อมใช้งาน คุณสามารถแทนที่ระดับความละเอียดอ่อน (ขีดจํากัดการเปิดใช้งาน) ปรับแต่งการดำเนินการลดความเสี่ยง และใช้ตัวกรองนิพจน์ เพื่อแยก/รวมการรับส่งข้อมูลจากระบบการป้องกัน DDoS โดยอิงจากช่องแพ็กเก็ตที่หลากหลาย คุณสามารถสร้างการเขียนทับจำนวนมากเพื่อปรับแต่งการป้องกันสำหรับเครือข่ายและแอปพลิเคชันที่หลากหลายของคุณได้

Configuring expression fields for the DDoS Managed Rules to match on
การกำหนดค่าช่องนิพจน์สำหรับกฎที่ได้รับการจัดการของ DDoS ให้ตรงกัน

ก่อนหน้านี้ คุณต้องดำเนินการผ่านช่องทางสนับสนุนของเราเพื่อปรับแต่งกฎต่างๆ ในบางกรณี การดำเนินการนี้อาจใช้เวลาในการแก้ไขมากกว่าที่คาดการณ์ไว้ ด้วยการประกาศวันนี้ คุณสามารถปรับแต่งและปรับการตั้งค่าของระบบ Autonomous Edge ให้เหมาะสมได้ด้วยตัวคุณเอง เพื่อปรับปรุงความแม่นยำของการป้องกันสำหรับความต้องการของเครือข่ายที่เฉพาะเจาะจงได้อย่างรวดเร็ว

สำหรับชุดกฎการป้องกัน TCP ขั้นสูง ขณะนี้เราได้เปิดใช้เฉพาะความสามารถในการเปิดใช้งานหรือปิดใช้งานแบบรวมทั้งหมดในแดชบอร์ด หากต้องการเปิดใช้งานหรือปิดใช้งานชุดกฎต่อคำนำหน้า IP คุณต้องใช้ API ในขณะนี้ เมื่อเริ่มเตรียมพร้อมใช้งาน Cloudflare ทีม Cloudflare ต้องสร้างนโยบายให้คุณก่อนเป็นอันดับแรก หลังจากเตรียมพร้อมใช้งานแล้ว หากคุณต้องการเปลี่ยนขีดจํากัดด้านความละเอียดอ่อน ให้ใช้โหมดการตรวจสอบ หรือเพิ่มนิพจน์ตัวกรองโดยคุณต้องติดต่อฝ่ายสนับสนุนของ Cloudflare แต่ในการเปิดตัวที่กำลังจะถึงนี้ การดำเนินการนี้จะพร้อมใช้งานผ่านแดชบอร์ดและ API โดยไม่ต้องให้ทีมสนับสนุนของเราคอยช่วยเหลือ

การปรับแต่งที่มีอยู่ก่อนหน้านี้

หากก่อนหน้านี้คุณได้ติดต่อฝ่ายสนับสนุนของ Cloudflare เพื่อใช้การปรับแต่ง ระบบจะรักษาการปรับแต่งของคุณไว้ และคุณสามารถเยี่ยมชมแดชบอร์ดเพื่อดูการตั้งค่าของชุดกฎการป้องกัน DDoS เลเยอร์เครือข่ายและทำการเปลี่ยนแปลงการตั้งค่าได้ หากจำเป็น หากคุณต้องการเปลี่ยนแปลงการปรับแต่งการป้องกัน TCP ขั้นสูงของคุณ โปรดติดต่อฝ่ายสนับสนุนของ Cloudflare

หากจนถึงตอนนี้คุณยังไม่ต้องการปรับแต่งการป้องกันนี้ คุณไม่ต้องดำเนินการสิ่งใด อย่างไรก็ตาม หากคุณต้องการดูและปรับแต่งการตั้งค่าการป้องกัน DDoS ของคุณ ให้ทำตามคำแนะนำของแดชบอร์ดนี้ หรือตรวจสอบเอกสาร API เพื่อกำหนดค่าโปรแกรมการตั้งค่าการป้องกัน DDoS

ช่วยสร้างสภาพแวดล้อมอินเทอร์เน็ตที่ดียิ่งขึ้น

ที่ Cloudflare เราดำเนินการทุกสิ่งโดยคำนึงถึงพันธกิจของเราในการช่วยสร้างสภาพแวดล้อมอินเทอร์เน็ตที่ดียิ่งขึ้น วิสัยทัศน์ของทีม DDoS ต่อยอดมาจากพันธกิจนี้ โดยเป้าหมายของเราคือการทำให้ผลกระทบจากการโจมตี DDoS เป็นเพียงอดีต ขั้นตอนแรกของเราคือการสร้างระบบ Autonomous เพื่อตรวจจับและลดความเสี่ยงการโจมตีที่ทำงานได้อย่างอิสระ และเราก็ทำสำเร็จแล้ว ขั้นตอนที่สองคือการเผยแพร่แผนการควบคุมระบบเหล่านี้ให้ลูกค้าของเรารับทราบ (ประกาศแล้ววันนี้) ซึ่งก็สำเร็จแล้วเช่นกัน ขั้นตอนถัดไปคือการทำให้การกำหนดค่าเป็นไปโดยอัตโนมัติอย่างเต็มรูปแบบด้วยคุณลักษณะการขับเคลื่อนอัตโนมัติ — การฝึกระบบให้เรียนรู้รูปแบบการรับส่งข้อมูลเฉพาะของคุณเพื่อเพิ่มประสิทธิภาพการตั้งค่าการป้องกัน DDoS ของคุณโดยอัตโนมัติ ทั้งนี้คุณสามารถคาดหวังการพัฒนา ระบบอัตโนมัติ และขีดความสามารถใหม่ๆ ในการรักษาพร็อพเพอร์ตี้อินเทอร์เน็ตของคุณให้ปลอดภัย พร้อมใช้งาน และมีประสิทธิภาพได้อีกมากมาย

หากยังไม่เคยใช้ Cloudflare เริ่มเลยตอนนี้

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
CIO Week (TH)DDoS (TH)dosd (TH)Spectrum (TH)Magic Transit (TH)ไทยProduct News (TH)

Follow on X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Related posts

December 11, 2021 1:59 PM

เวอร์ชันและการจัดการการกำหนดค่าการเปลี่ยนแปลงด้วยแอปพลิเคชัน HTTP เวอร์ชันเบต้า

วันนี้ เราประกาศแอปพลิเคชัน HTTP เวอร์ชันเบต้าแบบปิด ซึ่งเป็นวิธีในการทดสอบและใช้งานการเปลี่ยนแปลงได้อย่างปลอดภัยในการรับส่งข้อมูล HTTP ของคุณ แอปพลิเคชัน HTTP นำเสนอการเปลี่ยนแปลงการกำหนดค่าและความสามารถในการควบคุมว่าเมื่อใดจะเปิดใช้งานการเปลี่ยนแปลงนั้นกับการรับส่งข้อมูล ...

December 11, 2021 1:59 PM

การอัปเดตการรับรองและรายงานเรื่องความปลอดภัยและความเป็นส่วนตัวของ Cloudflare

ผลิตภัณฑ์และบริการของ Cloudflare ปกป้องลูกค้าได้มากกว่าที่เคย โดยที่มีการขยายตัวอย่างมากมายตลอดปีที่ผ่านมา เมื่อต้นสัปดาห์นี้ เราได้เปิดตัว Cloudflare Security Center เพื่อให้ลูกค้าสามารถแมปพื้นผิวการโจมตี ตรวจสอบคว...

December 11, 2021 1:59 PM

มีอะไรใหม่ในการแจ้งเตือน

ย้อนไปเมื่อปี 2019 เรา เราเขียนบล็อกเกี่ยวกับศูนย์แจ้งเตือนใหม่ของเรา เพื่อเป็นศูนย์กลางในการสร้างการแจ้งเตือนบนบัญชีของคุณ ตั้งแต่นั้นเป็นต้นมาเราได้พูดเกี่ยวกับการแจ้งเตือนแบบใหม่ที่คุณสามารถติดตั้งได้ แต่ไม่ค่อยพูดเกี่ยวกับการอัปเดตแพลตฟอร์มการแจ้งเตือน ดังนั้น มีอะไรใหม่ในการแจ้งเตือน?...

December 11, 2021 1:59 PM

การปรับปรุงแพลตฟอร์มทั้งหมดที่เราทำในปี 2021 เพื่อให้ CIO ใช้ชีวิตได้ง่ายขึ้น

CIO Week เต็มไปด้วยนวัตกรรมผลิตภัณฑ์ใหม่ ๆ เพื่อให้ CIO มีเครื่องมือที่จำเป็นในการรักษาความปลอดภัย ปกป้อง และเพิ่มความเร็วให้กับเครือข่ายของตน เราที่ Cloudflare ทราบดีว่าสิ่งที่มีความสำคัญสำหรับ CIO ไม่...