DDoS攻撃を検出して撃退するFastNetMonの著者であるPavel OdintsovとSD podCastでのインタビュー

みなさんこんにちは！ 少し前に、 ksdaemonが私をSD podCastポッドキャストに招待しました。 それは私たちのプロジェクトの荒野を通る非常に興味深い旅であることが判明し、誰も聞いたことのないコーナーが開かれました:)フレーズの優れたデモンストレーション-あなたが理解したい場合（あなた自身の製品！）あなた自身-他の人に説明してください



通常、Habrの視聴者はテキストニュースを好むため、事前に準備された会話計画を立てることにしました。 会話で言われた内容とはわずかに異なりますが、共有したいすべての有用な情報が含まれています。



製品に慣れていない人のために、私たちのサイトとGitHubプロジェクトから始めることをお勧めします。

ポッドキャストソフトウェア開発podCast 58の会話のテキスト。

あなた自身についてのいくつかの言葉

私の名前はPavel Odintsovです。DDoS攻撃を検出するFastNetMonプロジェクトの著者です。 現在、私はロンドンに住んでおり、主にネットワーク関連システムの設計とプログラミングに関連する問題を扱っています。

標準的な質問は、どのようにITに参入したのですか？ どれくらいやっているの？

ITに入るのは偶然ではありません。彼は父親から技術への愛、細部への注意、特定の問題に集中する能力を母親から受け継ぎました。



私の幼少期は主にテクニクス誌の山の中で過ごしました-青少年、ラジオでは、自分でパソコンを組み立てる方法が非常に頻繁に説明されていました。 当時はもちろん私の能力を超えていましたが、それでも興味が生じ、手頃な価格のコンピューター（32Mb RAMを搭載したCeleron 266）の登場により、ようやく雑誌を読んで実際にすべてを試すことが可能になりました！



その後、さまざまな本、雑誌（主にPC World、時にはHacker）を読んで、IRCチャット（こんにちはRusnetとDalNet！）に座って、インターネットで技術文書を勉強しました。 33kの速度で。



しばらくして、私の街、サマラに手頃な価格のGPRSと衛星インターネットプロバイダーが現れ、おそらくその瞬間から私の専門的な練習が始まりました。 それはすべて、ICQを介した知り合いから、Perlで簡単なスクリプトを書くように依頼され、それを教えたという事実から始まりました。 このプロジェクトに加えて、Windowsで開発するのはかなり難しく、Linuxに切り替えるという決定が下されたという理解が得られました。



時間が経つにつれて、私の趣味はPerlとLinuxの両方についてかなり自信のある知識に変わり、PerlプログラマーとしてREG.RU Domain Registrarに就職しました。 しかし実際には、プログラミングだけでなく、Linuxに関連する多くのタスクに従事していました。

攻撃の種類、サブタイプとは何か、攻撃が通常どのように発生するか、どのように組織化されているのか、なぜ必要なのかについてのいくつかの言葉

ポッドキャストのメイントピックはFastNetMonプロジェクトであるため、そのコンテキストで説明します。 多くのDoS / DDoS攻撃があり、すべての種類からユーザーを保護するタスクを設定していません。



まず、L3 / L4プロトコルを使用したボリューメトリック攻撃に焦点を当てています。



これらの攻撃は、サービスの正しい機能を中断するために、チャネル容量または機器の性能を使い果たすことを目的としています。



多くの場合、これは特定のサイトに対する攻撃であり、特定のオペレーターまたは会社全体のインフラストラクチャに対する攻撃がある場合もあります。これははるかに危険です。



現在の種類の攻撃について説明すると、チャネル容量に対する攻撃に使用される主な種類は、NTP、SSDP、SNMP、DNS増幅です。 彼らの本質は非常に単純で、ハッカーによって制御される中間ホストを使用します。このホストは、このタイプの攻撃に対して脆弱なサービスを備えた数千（場合によっては数十万）のインターネットノードに自分のアドレスの代わりに被害者のアドレスを使用して偽のリクエストを送信します これらの要求を受信した後、これらの（多くの場合、非常に正当な）サービスは応答を生成し、指定された被害者ノードへの大量の要求で応答し、それを無効にします。



これらの攻撃に加えて、スプーフィングを使用する攻撃に注目する価値があります。多くの場合、ホスティングプロバイダーとデータセンターの誤って構成された機器、または闇市場でこのサービスを提供する特別なホスティングサービスを使用して実行されます。 彼らと戦うことはより困難です。彼らは非常に洗練されている可能性があります。

そのような攻撃に対処する方法は何ですか？ 可能な解決策

これらのチャネル枯渇攻撃に対処するための典型的なシナリオは、かなり悲しいです。 通常、サイト、VPS、またはサーバーの所有者ではなく、データセンターまたはホスティング会社のシステムおよびネットワーク管理者が直面します。



会社にトラフィックの透過的な監視を保証する手段がない場合、最初のステップは、すべてが存在し、何が起こったのかが明確でない場合にパニックに似たものになります。



通常、これに続いて、通常tcpdumpを使用するルーター、サーバー、スイッチ、または特定のベンダーの組み込みソリューションからトラフィックパターンをキャプチャしようとします。



ダンプからほとんど常にネットワーク上の特定のIPアドレスに攻撃があり、特定のパターンを特定できることがよくあります（たとえば、攻撃はポート53からのUDPパケット-明るいDNS増幅マーカーによって実行されます）。



その後、通常、BGPブラックホールは、上位のオペレーターのレベルでスプリアストラフィックを遮断するために攻撃されているホストのアナウンスとしてアナウンスされます。 同時に、会社のネットワークが十分に大きく、容量とBGP Flow Specをサポートする最新の設備が十分にある場合、ホスト全体をブロックするのではなく、偽のトラフィックを遮断してサービスの機能を維持することができます。



そのような攻撃に対する可能な保護の1つは「トラフィックフィルタリングセンター」の使用ですが、その使用には多くの問題が伴います。特に、誰かがまだどのトラフィックをいつフィルタリングセンターに転送するかを決定する必要があります。



FastNetMonの目標は、攻撃の事実を特定し、その種類を特定し、対策を展開することから、すべての手順を完全に自動化することだけです。 通常、人間の介入がまったくなくても5秒しかかかりません。 もちろん、クライアントが保護のためにトラフィックフィルタリングセンターを使用する場合のオプションもサポートします。FastNetMonは、攻撃の場合にそれを使用してトラフィックをフィルタリングセンターに切り替えることができます。

どのようにしてアイデアを書きましたか？

このアイデアは、ホスティング業界で働いていたときに生まれました。前の段落で説明したタスクを手動で何十回、または何百回も解決しなければならず、そのたびに攻撃の種類を判別し、この同じ攻撃を手動で撃退したからです。

以前の実装/代替手段は何でしたか？

主要なエンジニアとして、私のタスクには、タスクに適合して予算に適合するソリューションを見つけることほど、ソリューションを書くことは含まれませんでした。



多くのソリューションが試されましたが、これらの決定の主な要因は価格でした-それは絶対に耐えられず、ネットワーク機器の全体のコストよりも10倍高かったため、実装が完全に不当になりました。

DDoSに対する保護は以前どのように解決されましたか？

手動で、夜間勤務中の管理者への電話で:)

システムの原理

FNMの基礎となる重要な原則は、トラフィックのしきい値の概念です。 しきい値は、ネットワーク内のノードに出入りするトラフィックの量（メガビット、フロー秒またはパケット/秒）であり、その後トラフィックは異常と見なされ、ネットワークに脅威を与えます。 いずれの場合も、これらは異なる値であり、多くの場合、同じネットワーク内の異なるノードでも異なる値です。



このしきい値に達した後、ノードの無条件のブロッキングが実行されるか、特定のノードのすべてのトラフィックがキャプチャおよび分析されて、攻撃のターゲットとスプリアスパケットのパラメーターが決定されます。

内部デバイス

内部では、FastNetMonは入力用のほぼすべての形式でトラフィックを受信するコンベヤーです。



今、我々はサポートしています：

• sFlow v4
• sFlow v5
• Netflow v5
• Netflow v9
• IPFIX
• スパン
• 鏡
• Pf_ring
• ネットマップ
• スナブスイッチ

その後、ベンダー固有の形式から、トラフィックは内部のユニバーサル表現に変換されます。



その後、ネットワーク内のノードごとに、プロトコルの粒度（TCP、UDP、ICMP）、フラグの粒度（TCP SYNなど）またはIPオプション（断片化）、および速度が上がるとすぐに個別の追跡サブプロセスレコードを使用して、多くのカウンターが作成されます単位時間あたりの特定のトラフィックカウンターがユーザー定義のしきい値を超えました。



しかし、その後、攻撃の種類を確立し、最も適切な対策を選択するための統計的手法であるDPIが関与する小さな魔法が始まります。



そして最後に、スクリプトが呼び出されるか、BGPアナウンスが生成されて、BGP Flow Specを使用してすべてのトラフィックが完全にブロックされるか、または偽のトラフィックのみがブロックされます。

外部API

ほとんどの場合、APIの通常の理解ではありません。



FastNetMonは、InfluxDBのGraphiteに情報をエクスポートして、トラフィックを視覚化できます。



情報を受信するには、sFlow、IPFIX、NetFlowなどのかなり標準化されたプロトコルを使用し、ベンダーがそれらを正しく実装していれば、自動的にサポートを保証します。

プラグインシステム

彼女は、世界が非常に複雑であり、1つのプロトコル（当時はミラー/ミラーインターフェイスからのトラフィックキャプチャ）を実行できなかったことを理解した後、sFlow、Netflow、および4つ目を追加して、深刻なリファクタリングを実施し、各トラフィックキャプチャモジュールを外部APIが固定された個別のライブラリに厳重に分離しました。 誰でも簡単にトラフィックテレメトリを削除する独自の特別な方法を実装するプラグインを開発できます。

ドキュメント

これは本当に痛い点です。 多くのオープンソースプロジェクトについてもほぼ間違いないでしょう。 通常、ドキュメントを作成する時間はありませんが、今後参照する最も詳細な回答を提供するために、GitHubとニュースレターに関するすべてのリクエストを慎重に検討するよう努めています。 残念ながら、プロジェクトの各段階を説明する包括的なドキュメントはありません。

テスト中

プロジェクトの長年にわたって、ほぼ数百の異なるデバイスモデルに対して非常に多くのpcapダンプを蓄積してきました。 パーサーに変更を加える場合、内部テストシステムでそれらを使用します。



残念なことに、これらのダンプにはほとんどの場合、顧客の機密情報が含まれており、オープンソースとして公開することは不可能であるため、この情報の保存には非常に注意し、アクセスは非常に慎重に制御されています。



さらに、重要で本質的に複雑なプロトコル（BGP Flow Specなど）には、ユニットテストがあります。

異なるプラットフォームで動作する適応

現在、ほぼすべてのLinuxディストリビューションをサポートしており、FreeBSDに公式の移植版があり、公式のDebianパッケージベースに追加できます。 少し前に、ラップトップでプレイしたかったからという理由だけでMacOSのサポートを追加しました:)



プラットフォームで利用可能なAPIを使用して、最も移植性の高い形式でコードを記述します。たとえば、FreeBSDへの移植では、文字通り4つの関数を変更する必要がありました（他の定数名が使用されました）。



主な問題は、サポートされている非常に広範なディストリビューションと、リポジトリに必要なバージョンのライブラリが頻繁に存在しないことです。 今ではあまりうまく決定されていません-各プラットフォームで、インストール時にソースコードから依存関係が収集されます。 これは好きではありませんが、残念ながら、サポートされているほぼ20のディストリビューションのバイナリプロジェクトを組み立てることは、私たちにとって不可能な作業です。 試してみましたが、かなりあきらめました-非常に複雑なシステムであることが判明しました。

どのテクノロジー（言語、フレームワーク、モジュール）に基づいて構築されているのか、そしてなぜ選ばれたのか

C ++プロジェクトの主要言語。 STLがソリューションを提供していない場合、STLとBoostを非常に積極的に使用しています。 プロジェクトの仕様とオープンフォームで利用可能な開発の数が少ないため、コードには外部依存関係はあまりありません。最も必要なコネクタまたはデータベースコネクタのみです。



ただし、ExaBGP、InfluxDB、Graphite、Grafana、GoBGPなどの外部プロジェクトを積極的に使用して、トラフィックの視覚化や外部との対話を提供しています。



このプロジェクトまたは統合プロジェクトを選択する主な基準の1つは、APIの可用性と開発者の使いやすさです。



たとえば、Quagga、BirdなどのBGPプロジェクトは、統合の機会が非常に乏しいため、人気があるにもかかわらず、私たちには適していませんでした。

フォールトトレランス、スケーリング、およびシステムパフォーマンスについて何が言えますか？ これらの問題はどのように解決されますか？

基本的に、高可用性の問題はアーキテクチャレベルで解決されます。これは、BGPが本質的に非常に冗長であり、この面で努力する必要がないためです。 通常、FastNetMonは、ネットワーク上で利用可能な少なくとも2つの独立したルーターで攻撃を受けているノードを通知します。



FastNetMonのフォールトトレランスを確保するには、通常、ネットワークトラフィックを2番目のインスタンスに単純に複製し（通常、ルーターとスイッチがこれをサポートし、さらにサンプリケーターを常に使用できます）、フォールトトレランスを提供します.1つのインスタンスが失われた場合、2番目のインスタンスがタスクを完了してトラフィックをブロックします。



負荷のスケーリングに関しては、ほぼ1.4Tbのトラフィックでネットワークに展開した経験があり、そのような数値はNetFlow v9コレクターに基づいて達成され、スループットを向上させる多くの機会がまだありました。



これで十分でない場合は、いつでも任意の基準に従ってトラフィックを分割し、追加のFastNetMonインスタンスをインストールできます。

なぜオープンソースなのですか？

プロジェクトは最初のステップから開いていたため、1回のコミットで数十万行のコードが読み込まれた瞬間はありません。最初から進化をたどることができます。



しかし、一般に作成時に疑問はありませんでした。目標は、特定のプロバイダーの特定のケースで問題を解決するだけでなく、詳細に立ち入らずに一般化された形式で問題を解決するプロジェクトを作成することでした。



したがって、唯一の方法がありました-オープンソース！ そうでなければ、特定の領域で非常に小さなタスクを1つ解決する、狭く専門化されたソリューションが見つかります。



プロジェクトをオープンソースで公開することにはどのような利点がありますか？ もちろん、これは大きな影響です。 あなたのソリューションがキューバを含む103か国で使用されていることがわかると、インスピレーションを得ます:)

オープンソースプロジェクトとクローズド商業開発の違いは何ですか？

「クローズド」オープンソースプロジェクトがあり、クローズドソースの非常に「オープン」な商用プロジェクトがあります。



ここで重要なのは、プロジェクトの哲学ほどコードのオープン性ではないため、変更や改善に対してもオープンです。



多くの人にとって、オープンソースは、製造業者の新しい経営陣がライセンスポリシーを変更しないこと、会社が破産しないこと、そしてサポートが役に立たない場合、いつでも自分でそれを把握するか、それを改善する専門家を見つけることができるという将来の自信の保証です。



多数のスパイウェアスキャンダルを考えると、オープンソースはさらに魅力的に見えます。 コードの参照と独立した検証の可能性により、常にセキュリティの保証を確認できます。

プロジェクトを取り巻くコミュニティは、プロジェクトの生き方と発展の仕方です。 外部貢献はいくらですか？ 新機能とバグのリクエスト。

プロジェクトへの主な貢献はいくつかの方向に向けられています。

• さまざまなベンダーとの統合（A-10ネットワーク、ラドウェア、
• Mikrotik）。
• 既存のユーザーからの新しい機能のリクエスト
• ユースケースの詳細な説明-これは非常に重要です
• プロジェクトの開発に関する情報
• 可能な限り多様なネットワークデバイスでのテスト
• そしてそれらへのソフトウェア
• さまざまなディストリビューション（AltLinux、FreeBSD、Debian）への統合
• 残念ながら、プロジェクトのコア（攻撃と分析を検出するためのモジュール）への直接的な貢献は非常に少なく、この方向での開発の大部分は単独で行われます。

プロジェクトのさらなる発展の計画

主な目標は、プロジェクトの開発を加速し、コアシステム自体の開発により多くの開発者を引き付けることです。



現在、攻撃者は非常に速く動いており、新しい脅威に対抗するための対策の開発についていくのは非常に困難ですが、私たちは試みています。



この計画の実装の一環として、数か月前にFastNetMon Advancedの商用バージョンをリリースしました。これは、大企業やTIER-2クラス以上の大規模ネットワークに不可欠な多くの利点を実装しています。 これらは主に、大規模ネットワークにおける展開、運用の簡素化、およびより柔軟な管理に関するものです。 プロジェクトの主要なコアは、両方の製品で同じものが使用されます。

, ̆, ? :)

顧客からの新しい機能に対する多くのリクエストを見ると、あなたの手はただつかんで実現します！プロジェクトの最初の段階では、それだけの価値があります！明確でない場合、誰かがプロジェクトを必要とし、彼らの「ニッチ」が求められます。



しかし、それから-それは時々停止し、「普遍的にそれを行う方法？」、「そして他に誰がそれを必要とするのか？」という質問を自問する価値があります。多くの場合、アーキテクチャで必要な変更を熟考し、アイデアが正しいことを確認するために、数週間要求をわずかに凍結するのに役立ちます-そしてその後にのみ開発を進めます。



さらに、時々停止して、特定のサブシステムのコードを注意深く見て、統一または改善できる場所を探してみる価値があります。



また、一部のサブシステムが複雑さのすべての可能な制限を超えていると感じた場合（この場合、BGP Flow Specを使用した場合）、慎重な校正ではもはや十分ではないため、ユニットテストをより詳細にカバーすることを検討する必要があります。

最初からアーキテクチャを考え、プロジェクトを開発しながら将来的にどのようにそれをたどりながら、同時に怪物や松葉杖の側面に導かないことが重要ですか？ :)

当初からアーキテクチャはありませんでした。達成したい目標の漠然とした目標だけです。最初のステップでは、プロジェクトが機能し、毎秒数千万パケットの負荷に対処できるかどうかさえ明確ではありませんでした！それは多く、最初は毎秒120,000パケットを処理できませんでした！



したがって、前に言ったように、時々停止して、システムをモジュールに分割する可能性について考える価値があります。

ドキュメントとテストの重要性

多くの人が言いたいように、オープンソースプロジェクトにとって最良のドキュメントはコードです。プロジェクトの歴史の中で、コードを注意深く調べて、この方法で彼らの質問に答えたのはごく少数であるため、私は根本的に同意しません。



しかし、ドキュメントの不足は、常にレスポンシブコミュニティと開発者の迅速な対応に置き換えることができます。両方自慢できます！多くの場合、質問は特定のチケットに到達するずっと前に解決されます-コミュニティメンバーの1人が、開発者の参加なしで問題に答え、解決することに決めました:)



テストに関して-私の意見では、バランスを維持する必要があります。明白なものをテストでカバーすることは完全に無意味です;それは有用に費やすことができる時間の無駄です。しかし、システムの複雑さが非常に高い場合、または外部システムと対話するときに障害のリスクが高い場合は、テストが絶対に必要です。

オープンソース開発の社会的側面：誤ったPR、愚かな質問、間違い

特定のベンダーが彼らの問題を解決するために、私たちはしばしばユーザーに助けを求めるクールな社会的側面を持っています。



バグ修正のトピックに関するネットワーク機器の多くのベンダーの仕事のモデルは、使用中の契約/機器を持たない外部企業が、それを修正することに関するバグを得る機会を単に持たないようなものです。



その結果、「FastNetMonはXXXベンダーのYYYデバイスでは動作しません」という多数のバグが発生しました。最初は、ベンダーに問題があり、何もできないことを謝罪しました。



今-私たちは問題を可能な限り詳細に調査して切り分け、その後クライアントに依頼してバグを修正するリクエストを作成するよう依頼します。多くの人々が前進し、それによって同じベンダーの非常に多くのユーザーの問題を解決します！