DOTS، روشی جدید در مواجهه با حملات DDoS؟

این روزها حملات DDoS به بخش لاینفکی از دنیای اینترنت مبدل شده‌اند و روز به روز نیز در حال پیچیده‌تر و قوی‌تر شدن می باشند.
طبعاً شرکت‌های مختلفی وجود دارند که سرویس‌های DDoS Protection/Mitigation ارائه کرده و هر یک از آن‌ها نیز راهکارها و روش های خاص خود را دارند (گاهی نیز شبیه به هم).

جدای از بحث استفاده از تجهیزات مقابله با DDoS در شبکه‌ها، زمانی که از یک سرویس‌دهنده‌ی بیرونی استفاده می‌شود، بطور خیلی کلی، معمولا دو حالت پیاده‌سازی (با استفاده از BGP و Tunnel) وجود دارد (معروف به Diversion/Reinjection یا Offramping/Onramping):

  • کل ترافیک دائماً از طریق آن سرویس‌دهنده عبور داده شود و اگر حمله‌ای وجود داشته باشد، همانجا مانده و تنها (به اصطلاح) ترافیک پاک به شبکه برسد (Scrubbing).
  • فقط زمانی که شبکه تحت حمله قرار می‌گیرد، طی یکسری عملیات و تغییر routing، ترافیک ورودی به شبکه بجای آن که مستقیم از اینترنت به شبکه وارد شود، مانند مدل قبل به سمت یک سرویس‌دهنده هدایت شده و توسط آن بررسی شده و تنها ترافیک پاک به شبکه می‌رسد. این روش، به نوعی On-demand محسوب می شود و کل عملیات و تغییر روتینگ می تواند به صورت خودکار و یا بصورت دستی توسط یک اپراتور رخ دهد.

شبکه ها - DOTS - DDoS Protection Mitigation

در کنار مدل‌های کلی پیاده‌سازی، برخی Enterprise‌ها افزونگی را در استفاده از راه‌کارهای DDoS Protection/Mitigation نیز رعایت کرده و نه تنها ممکن است همزمان از چند سرویس‌دهنده مختلف استفاده کنند، بلکه پیاده‌سازی داخلی (توسط ابزارهای Open Source یا تجهیزات مختلف) را نیز داشته باشند (Hybrid).

یکی از نکات مهم در این رابطه که استفاده از سرویس‌‌های DDoS Protection/Mitigation را پیچیده نموده، بحث سیگنالینگ (تبادل اطلاعات، دستورات، درخواست ها، اعلام وضعیت و شرایط و…) با سرویس‌دهنده یا تجهیزات می‌باشد.

تاکنون هیچ پروتکل استانداردی برای سیگنالینگ به جهت استفاده‌ی سرویس‌دهنده‌ها از آن، طراحی نشده و به همین سبب، استفاده از این سرویس‌ها گاهی پیچیده شده است (مخصوصا در شرایط افزونگی سرویس‌دهنده و پیاده‌سازی‌های Hybrid) و گاهی نیز منجر به سخت‌شدن تغییر سرویس‌دهنده برای مشتریان بزرگتر گشته است (Vendor Lock-in).

اما به تازگی متخصصین شبکه در IETF با تشکیل یک Working Group جدید تحت نام DOTS بر آن شده‌اند تا یک سیگنالینگ استاندارد بنام DDoS Open Threat Signaling ایجاد کرده و معماری مشخصی برای آن پیشنهاد دهند تا مشکلات ذکر شده را حل کرده و شرایط تعامل این سرویس‌های مختلف (Interoperability) را فراهم کند.

اگر علاقمند به این موضوع هستید پیشنهاد میکنم دو مستند زیر (که هنوز در حال بروزرسانی و در وضعیت Draft می باشند) را مطالعه نمایید:

Distributed-Denial-of-Service Open Threat Signaling (DOTS) Architecture

Use cases for DDoS Open Threat Signaling (DDoS) Open Threat Signaling

نویسنده: محمّد مقدّس‌

یک عکاس آماتور، علاقمند به شبکه ها و IP، ساکن اینترنت!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *