כיצד Anycast Routing הופך את ההגנה מ-DDoS באחסון ליעילה יותר

Anycast routing הוא פרט התשתית שמבדיל בין הגנה אמיתית מ-DDoS באחסון לבין הבטחות שיווקיות. כך זה עובד ולמה זה חשוב.

רוב האנשים מניחים שהגנה מ-DDoS זה עניין של חומת אש גדולה מספיק. חוסמים את התעבורה הרעה, מעבירים את הטובה. פשוט בתיאוריה. אבל בפועל, מיקום חומת האש חשוב לא פחות מחומת האש עצמה. כאן נכנס Anycast routing לתמונה - וכשמבינים אותו, כל התפיסה של הגנה מ-DDoS באחסון משתנה.

מה זה בעצם Anycast Routing

רוב תעבורת האינטרנט עובדת על עיקרון שנקרא Unicast: שולח אחד, יעד אחד. הבקשה שלך עוברת מהדפדפן לשרת אחד בכתובת IP ספציפית. זה עובד מצוין לתעבורה רגילה.

Anycast הופך את המודל. עם Anycast, אותה כתובת IP מוכרזת ממספר מיקומים פיזיים בו-זמנית. כשנכנסת בקשה, הרשת מפנה אותה אוטומטית לצומת הקרוב ביותר שזמין - לפי מרחק ברשת, לא רק לפי גיאוגרפיה.

חשבו על זה כמו רשת חנויות. עם Unicast, כל לקוח נוסע למחסן המרכזי בלי קשר למקום מגוריו. עם Anycast, כל לקוח מופנה אוטומטית לסניף הקרוב אליו. אותו מוצר, אספקה מהירה יותר, פחות לחץ על כל נקודה אחת.

למה זה חשוב להגנה מ-DDoS באחסון

מתקפות DDoS עובדות על ידי הצפת יעד בתעבורה. מתקפה נפחית יכולה לשלוח 100Gbps, 500Gbps או אפילו יותר לשרת שלך. אף מרכז נתונים, לא משנה כמה הוא מצויד, לא יכול לספוג תעבורה ללא הגבלה. אם כל התעבורה תתרכז במיקום אחד, הוא בסופו של דבר יקרוס.

Anycast פותר את זה על ידי פיזור המתקפה על פני צמתים רבים. במקום ש-500Gbps יפגעו במרכז ניקוי אחד, הם עשויים לפגוע ב-20 צמתים עם 25Gbps כל אחד. זה עומס שכל צומת בנפרד יכול לעמוד בו. התוקף בעצם נלחם מול רשת מבוזרת ולא מול נקודה בודדת.

זו הסיבה שהגנה רצינית מ-DDoS באחסון מסתמכת על תשתית Anycast. לא מדובר רק בצינורות גדולים - אלא בפיזור הלחץ על פני רשת גלובלית כדי שאף צומת לא יקבל יותר ממה שהוא יכול לעמוד בו.

מרכזי הניקוי עובדים טוב יותר כשהתעבורה כבר מפוזרת

מרכזי ניקוי הם המתקנים שבהם תעבורת DDoS נבדקת ומנוקה לפני שהתעבורה הלגיטימית ממשיכה לשרת שלך. הם מסננים חבילות מתקפה ומעבירים את הבקשות האמיתיות.

כשAnycast מנתב תעבורה למרכז הניקוי הקרוב, שני דברים קורים. ראשית, זמן התגובה יורד למשתמשים לגיטימיים כי הם פוגעים בצומת קרוב אליהם. שנית, הניקוי קורה קרוב יותר למקום שממנו המתקפה מגיעה, במקום לתת לתעבורה מלוכלכת לנסוע חצי כדור ארץ לפני הניקוי.

הנקודה השנייה לעיתים קרובות מתעלמים ממנה. כשתעבורת מתקפה צריכה לנסוע מרחק ארוך כדי להגיע לנקודת ניקוי מרכזית, היא צורכת רוחב פס על פני מקטעי רשת רבים בדרך. Anycast מצמצם את הדרך המיותרת הזו על ידי לכידת התעבורה מוקדם, קרוב למקורה.

יתרון זמן התגובה למשתמשים האמיתיים

הנה משהו שמפתיע אנשים: הגנה מ-DDoS באחסון שבנויה על Anycast יכולה בפועל לשפר את הביצועים למשתמשים לגיטימיים, לא רק להגן מפני מתקפות.

כשהתעבורה שלך מנותבת לצומת הקרוב, התשובות חוזרות מהר יותר. בתנאים רגילים (ללא מתקפה), המשתמשים מקבלים זמן תגובה נמוך יותר כי הם מתקשרים עם תשתית קרובה אליהם פיזית. בתנאי מתקפה, הם עדיין מקבלים זמן תגובה נמוך כי Anycast ממשיך לנתב אותם לצומת הנקי הקרוב.

השוו את זה למערכות הגנה שמנתבות מחדש את כל התעבורה דרך מרכז ניקוי יחיד בזמן מתקפה. משתמשים מהצד השני של העולם חווים פתאום זמן תגובה גבוה בהרבה כי התעבורה שלהם עוברת עכשיו מסלול ארוך יותר. Anycast מונע את הפשרה הזו לחלוטין.

כיצד Anycast מתמודד עם BGP Routing תחת מתקפה

Anycast מסתמך על Border Gateway Protocol (BGP) כדי להכריז על כתובות IP ממספר מיקומים. כל נקודת נוכחות (PoP) ברשת מכריזה על אותו בלוק IP. ראוטרים ברחבי האינטרנט רואים מספר נתיבים לאותה IP ובוחרים את הקצר ביותר לפי כללי BGP.

במהלך מתקפת DDoS, הניתוב הזה נשאר שלם. תוקפים לא יכולים בקלות לאלץ את התעבורה להתרכז במיקום אחד כי BGP מפזר אותה באופן טבעי. חלק מהמתקפות המתוחכמות מנסות להציף PoPs ספציפיים על ידי פניה לתעבורה ממקורות קרובים, אבל רשת Anycast מתוכננת היטב יש בה קיבולת מספיקה בכל צומת כדי לספוג גלים מקומיים.

כשצומת כן נעמס, המפעילים יכולים למשוך את הכרזת ה-BGP מאותו מיקום ולהפנות את התעבורה למקום אחר עד שהמתקפה שוככת. זה אחד היתרונות התפעוליים של Anycast: יש לך שליטה מדויקת על איך התעבורה זורמת ברמה גלובלית. כפי שתואר במה מתקפות DDoS נפחיות נראות באמת ברמת הרשת, מתקפות אלה פועלות בסדר גודל שבו תגובות ברמת הרשת כמו BGP הן לרוב הכלי היחיד שעובד.

מה לחפש בהגנה מ-DDoS באחסון עם Anycast

לא כל ספקים שמשתמשים ב-Anycast הם שווים. הנה מה שמבדיל בין יישומים אפקטיביים לבין כאלה שהם רק על הנייר:

  • מספר וחלוקת PoPs: יותר צמתים ביותר אזורים פירושו פיזור מתקפות טוב יותר וזמן תגובה נמוך יותר ברחבי העולם. ספק עם 5 PoPs באזור אחד לא באמת נותן לך כיסוי Anycast גלובלי.
  • קיבולת רשת כוללת: כל PoP צריך מספיק רוחב פס כדי לספוג נפחי מתקפה ריאליים. בדקו אם הספק מפרסם את קיבולת הצמצום הכוללת שלו, והיו ספקנים לגבי טענות מעורפלות.
  • עומק הצמצום בכל צומת: Anycast מביא את התעבורה למקום הנכון. אבל הצמצום בפועל - סינון חבילות המתקפה - עדיין תלוי בלוגיקת הזיהוי שרצה בכל צומת. ספקים טובים מריצים ניקוי מלא בכל PoP, לא רק במרכז מרכזי.
  • הגנה תמידית לעומת הגנה לפי דרישה: הגנה תמידית אומר שהתעבורה תמיד עוברת דרך רשת ה-Anycast. לפי דרישה אומר שאתם מוגנים רק אחרי שמתקפה מזוהה והתעבורה מנותבת מחדש. הגנה תמידית מגיבה מהר יותר, לפעמים בשניות ולא בדקות.

אנחנו מריצים הגנה תמידית על כל הרשת שלנו כדי שהצמצום יתחיל ברגע שתעבורת המתקפה מגיעה, לא אחרי שזיהוי מפעיל ניתוב ידני מחדש. לפרטים נוספים על מה לחפש, כדאי לקרוא את איך לדעת אם ההגנה מ-DDoS של ספק האחסון שלך אמיתית או רק שיווק לפני שאתם מתחייבים לתוכנית.

Anycast ומתקפות שכבת האפליקציה

כדאי להיות כנים לגבי מגבלה אחת. Anycast יעיל במיוחד נגד מתקפות נפחיות - הסוג שמנסה לרוקן רוחב פס או קיבולת רשת. למתקפות שכבת האפליקציה (Layer 7), שבהן התוקפים שולחים בקשות HTTP שנראות לגיטימיות וגורמות לשרת שלך לעבוד קשה מדי, Anycast לבדו לא מספיק.

מתקפות שכבת האפליקציה דורשות בדיקה עמוקה יותר: הגבלת קצב, ניתוח התנהגות, מנגנוני אימות, וחוקי Web Application Firewall שמבדילים בין דפוסים זדוניים למשתמשים אמיתיים. הגנה מ-DDoS באחסון ברמה גבוהה משלבת Anycast עם סינון חכם כזה בכל צומת. לפירוט מעמיק על למה מתקפות Layer 7 קשות יותר לעצור, ראו מתקפות DDoS בשכבת האפליקציה: למה קשה יותר לעצור אותן.

השילוב - Anycast לפיזור וקיבולת, WAF וניתוח התנהגות לאיומים בשכבת האפליקציה - הוא מה שמערך הגנה רציני נראה כמוהו. תוכלו לקרוא עוד על איך שכבת הסינון הזו עובדת בסקירת WAF שלנו.

מה לקחת מכאן

Anycast routing הוא אחד מאותם פרטי תשתית שרוב בעלי אתרים לא חושבים עליהם. אבל הוא אחד הגורמים החשובים ביותר שקובעים אם ההגנה מ-DDoS באחסון שלכם באמת עומדת כשמתקפה רצינית מגיעה.

ספק ללא Anycast בעצם מגן על נקודה אחת בלבד. ספק עם תשתית Anycast גלובלית אמיתית הופך כל מתקפה לבעיה מבוזרת - ובעיות מבוזרות הרבה יותר קל לספוג ולצמצם.

כשאתם בוחנים את אפשרויות האחסון שלכם, שאלו היכן התעבורה שלכם מנוקה, כמה PoPs יש ברשת, ומה קיבולת הצמצום הכוללת. השאלות האלה מספרות לכם יותר על איכות ההגנה האמיתית מכל תג שיווקי. לתמונה רחבה יותר של איך כל ההגנות האלה משתלבות יחד, סקירת הצמצום מ-DDoS שלנו מסבירה את המכלול בשפה פשוטה.