GRE tunneling อุโมงค์แห่งความหวัง

สวัสดีทุกคน พบกันอีกแล้วหลังจากที่ห่างหายไปนาน วันนี้เราจะมาคุยกันเรื่อง GRE Tunneling (Generic Routing Encapsulation) ซึ่งในบทความนี้ท่านจะได้รู้ว่า GRE เกี่ยวข้องอย่างไรกับการจัดการ DDoS เราเริ่มกันเลยดีกว่า

สำหรับใครศึกษาหรือทำงานอยู่สายระบบเครือข่าย ก็พอจะทราบบ้างอยู่แล้วว่า GRE คือ VPN ชนิดหนึ่งเอาไว้สำหรับเชื่อมต่อ Site to Site โดยเจ้าตัว GRE นี่แหละที่เป็นตัวกุญแจสำคัญเพื่อใช้ส่ง Clean Traffic ไปสู่ ISP/Enterprise network โดยไม่จำเป็นต้องแก้ไข DNS Record เลย

 

แต่กระนั้นสิ่งที่จำเป็นสำหรับการให้บริการ DDoS Protection ด้วยเทคนิคนี้จำเป็นต้องมีส่วนประกอบสำคัญ 4 สิ่งด้วยกันคือ

1. มีการใช้งาน BGP

2. ปลายทางจำเป็นต้องมี AS Number เป็นของตนเอง

3. มี IP Address เป็นของตนเอง(หรืออาจจะยืม/เช่าจาก ISP) เป็นจำนวนอย่างน้อย 1 Class C

4. GRE Tunneling/MPLS เชื่อมต่อมายัง Scrubbing Center

 

CaptureGRE

และหลังจากที่ Enterprise ได้ทำการประกาศ BGP Prefix ผ่านทาง DDoS Protection จึงมีการไหลเวียนของแพคเกตตามลำดับดังนี้ (Packet Flow)

1. ISP/Gateway/Upstream ของเครื่องที่โจมตี DDoS และผู้ใช้งานทั่วไปทำการ Look up routing table (โดยได้รับการเรียนรู้จาก BGP) พบว่าเมื่อต้องการส่งแพคเกตไปหา 99.99.99.0/24 และ 99.99.100.0/24 ต้องวิ่งไปทาง Snoc DDoS Protection

2. Snoc ทำการ Scrubbing DDoS และส่ง Clean Traffic ถึงยัง Enterprise ผ่านทาง GRE Tunneling

3. Enterprise ตอบกลับ/ส่งข้อมูลกลับไปยังต้นทางที่ร้องขอข้อมูลมาผ่านทาง ISP/Upstream

 

ซึ่ง Packet Flow จะทำให้เป็น Asymmetric routing (incoming via Snoc and outgoing via ISP/Upstream) ซึ่งก็ไม่ส่งผลต่อการใช้งานเท่าไหร่เพราะโดยปกติแล้วการทำ GRE จะทำกันที่ฝั่งหน้าบ้านของ Firewall/IPS

เห็นหรือยังว่า GRE สำคัญต่อการ Mitigation DDoS ขนาดไหน สุดท้ายแล้วสำหรับวันนี้ขอรับใช้ทุกท่านเพียงเท่านี้ สวัสดีครับ

Share Button

Comments

comments