این روزها حملات DDoS به بخش لاینفکی از دنیای اینترنت مبدل شدهاند و روز به روز نیز در حال پیچیدهتر و قویتر شدن می باشند.
طبعاً شرکتهای مختلفی وجود دارند که سرویسهای DDoS Protection/Mitigation ارائه کرده و هر یک از آنها نیز راهکارها و روش های خاص خود را دارند (گاهی نیز شبیه به هم).
جدای از بحث استفاده از تجهیزات مقابله با DDoS در شبکهها، زمانی که از یک سرویسدهندهی بیرونی استفاده میشود، بطور خیلی کلی، معمولا دو حالت پیادهسازی (با استفاده از BGP و Tunnel) وجود دارد (معروف به Diversion/Reinjection یا Offramping/Onramping):
- کل ترافیک دائماً از طریق آن سرویسدهنده عبور داده شود و اگر حملهای وجود داشته باشد، همانجا مانده و تنها (به اصطلاح) ترافیک پاک به شبکه برسد (Scrubbing).
- فقط زمانی که شبکه تحت حمله قرار میگیرد، طی یکسری عملیات و تغییر routing، ترافیک ورودی به شبکه بجای آن که مستقیم از اینترنت به شبکه وارد شود، مانند مدل قبل به سمت یک سرویسدهنده هدایت شده و توسط آن بررسی شده و تنها ترافیک پاک به شبکه میرسد. این روش، به نوعی On-demand محسوب می شود و کل عملیات و تغییر روتینگ می تواند به صورت خودکار و یا بصورت دستی توسط یک اپراتور رخ دهد.
در کنار مدلهای کلی پیادهسازی، برخی Enterpriseها افزونگی را در استفاده از راهکارهای DDoS Protection/Mitigation نیز رعایت کرده و نه تنها ممکن است همزمان از چند سرویسدهنده مختلف استفاده کنند، بلکه پیادهسازی داخلی (توسط ابزارهای Open Source یا تجهیزات مختلف) را نیز داشته باشند (Hybrid).
یکی از نکات مهم در این رابطه که استفاده از سرویسهای DDoS Protection/Mitigation را پیچیده نموده، بحث سیگنالینگ (تبادل اطلاعات، دستورات، درخواست ها، اعلام وضعیت و شرایط و…) با سرویسدهنده یا تجهیزات میباشد.
تاکنون هیچ پروتکل استانداردی برای سیگنالینگ به جهت استفادهی سرویسدهندهها از آن، طراحی نشده و به همین سبب، استفاده از این سرویسها گاهی پیچیده شده است (مخصوصا در شرایط افزونگی سرویسدهنده و پیادهسازیهای Hybrid) و گاهی نیز منجر به سختشدن تغییر سرویسدهنده برای مشتریان بزرگتر گشته است (Vendor Lock-in).
اما به تازگی متخصصین شبکه در IETF با تشکیل یک Working Group جدید تحت نام DOTS بر آن شدهاند تا یک سیگنالینگ استاندارد بنام DDoS Open Threat Signaling ایجاد کرده و معماری مشخصی برای آن پیشنهاد دهند تا مشکلات ذکر شده را حل کرده و شرایط تعامل این سرویسهای مختلف (Interoperability) را فراهم کند.
اگر علاقمند به این موضوع هستید پیشنهاد میکنم دو مستند زیر (که هنوز در حال بروزرسانی و در وضعیت Draft می باشند) را مطالعه نمایید:
Distributed-Denial-of-Service Open Threat Signaling (DOTS) Architecture
Use cases for DDoS Open Threat Signaling (DDoS) Open Threat Signaling