A10網絡鏈路負載均衡:高性能和高安全的同時實現
鏈路負載均衡,由于國內 南電信,北網通的現狀和業務需求,競爭這個市場的廠商比較多,在很多地方也都在使用這種產品。但是有一次我們去訪問一個高校客戶,客戶卻表示仍舊愿意使用防火墻來做,使用靜態策略和必要時的手動修改,也不愿意使用鏈路負載均衡的設備,原因何在?
進一步了解后客戶指出,鏈路負載均衡的設備他們也測試過多個廠商,在流量調度和鏈路冗余備份上當然比現有防火墻要靈活的多,但是最大的問題是作為一個高容量的出口設備,防攻擊能力遠遠不如防火墻。
高校情況類似一個小的運營商,內部用戶可以數萬計,出口在Gbps的級別,學生求知欲強,喜歡新鮮事物,流量類型復雜,內部也容易出現中木馬的肉雞現象。最常見的SYN Flood的攻擊,對防火墻而言,可以通過連接狀態的監測過濾,而對基于四層和會話的常見鏈路負載均衡設備,則有可能迅速耗盡設備可使用session資源,造成正常流量無法處理的故障情況出現。例如下圖顯示( 帶寬信息等隱藏):
設備統計下圖上毛刺即為不定期出現的由內網發出的SYN Flood攻擊,源IP偽造,目標地址是同一個攻擊目標,由于新建連接迅速耗盡設備可創建連接數,正常用戶的請求得不到相應,設備吞吐量在攻擊時明顯下降,用戶上網受到影響。
IPS記錄:
Apr 22 19:20:47 info IPS: event: from src<235.242.124.84> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<24.155.131.131> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<121.217.252.5> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<150.183.171.150> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<111.63.169.80> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<238.81.1.192> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<213.116.80.206> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<100.213.59.43> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<201.150.168.150> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<217.121.39.9> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<213.116.80.206> to dest<123.147.240.179>: 1 times Apr 22 19:20:47 info IPS: event: from src<100.213.59.43> to dest<123.147.240.179>: 1 times
其實針對SYN Flood攻擊有一些很成熟的手段,例如SYN Cookie機制; 原理也容易理解:SYN Cookie是對TCP服務器端的三次握手協議作一些修改,專門用來防范SYN Flood攻擊的一種手段。它的原理是,在TCP服務器收到TCP SYN包并返回TCP SYN+ACK包時,不分配一個專門的數據區,而是根據這個SYN包計算出一個cookie值。在收到TCP ACK包時,TCP服務器在根據那個cookie值檢查這個TCP ACK包的合法性。如果合法,再分配專門的數據區進行處理未來的TCP連接。
通常的Linxu服務器上其實就可以把該功能打開,但是一般服務器和鏈路負載即使打開該功能,由于大量并發的請求,傳統基于軟件的處理方式仍舊會對設備造成影響。部分廠商(例如A10 Networks,Juniper等)的產品使用了自己開發的FPGA硬件作為SYN Cookie防御手段,在打開該功能后對CPU無影響,效果也相當明顯
啟用前后的現象對比:
之前內網(6509進入)的SYN Flood 攻擊會影響到電信和網通的出口鏈路;
之后SYN Flood攻擊仍舊到達設備,但已經被設備抑制,對電信和網通出口無影響,流量平滑
鏈路負載均衡設備通常對設備的性能要求高,安全性同時也一定需要考慮,最后貼一個較高流量的設備吞吐量圖:
京公網安備 11010502049343號