Технологии: Обратный TCP-прокси

Обратный TCP-прокси перенаправляет трафик от пользователя на апстрим клиента и наоборот.

Обратный TCP-прокси схож по принципу действия с обратным HTTP-прокси, но работает на транспортном уровне сетевой модели OSI/ISO и анализирует TCP-трафик. Вредоносный TCP-трафик отсекается и не попадает на апстрим. Таким образом обратный TCP-прокси от Qrator Labs защищает сайты от DDoS-атак на транспортном уровне (L4).

TCP-прокси также может использоваться и для защиты от DDoS-атак на уровне приложения (L7), выступая в качестве альтернативы обратному HTTP-прокси. Для этого необходимо настроить автоматическую отправку логов с вашего сервера на сервер Qrator Labs.

Важно

Обратите внимание, что это не эквивалентно полной обработке трафика на уровне приложения (TCP-прокси не работает на этом уровне), поэтому с помощью такого прокси нельзя организовать работу Web Application Filter или защиты от ботов. Эти продукты работают строго на уровне приложения и требуют использования обратного HTTP-прокси.

Поэтому обратный TCP-прокси подходит для обработки трафика во многих ситуациях, в которых обратный HTTP-прокси или туннель не могут быть использованы, например:

  • когда серверу необходимо видеть заголовки TCP-сегментов пользователя;
  • когда необходимо защитить от DDoS-атак ресурс, работающий по протоколам, отличным от HTTP и HTTPS;
  • когда необходимо установить соединение типа точка—точка с сервером под управлением Windows.

Обратный TCP-прокси Qrator Labs поддерживает работу как в режиме Proxy Protocol для апстримов, поддерживающих этот протокол, так и в режиме Raw TCP Proxy для любых апстримов.

Режим Proxy Protocol

Если программное обеспечение вашего апстрима поддерживает Proxy Protocol, то обратный TCP-прокси может направлять ему как содержимое пользовательских TCP-сегментов, так и информацию об IP-адресах, с которых они пришли. Апстрим должен направлять ответный трафик также с использованием Proxy Protocol через сеть Qrator Labs, откуда они будут перенаправлены пользователю.

Пример

Поддержка Proxy Protocol встроена в торговую платформу для финансовых брокеров MetaTrader, поэтому обратный TCP-прокси может защищать торговые шлюзы на этой платформе от DDoS-атак. В данном случае вместо того, чтобы принимать TCP-трафик от пользователей напрямую, шлюз MetaTrader в сети брокера принимает его только от обратного TCP-прокси в сети Qrator Labs. Нелегитимный трафик от пользователей не передаётся в сеть брокера и не угрожает работоспособности шлюза.

В рамках Proxy Protocol в начале каждого TCP-соединения апстрим получает заголовок с информацией об IP-адресах отправителя и получателя исходного сегмента. Все остальные данные он может получить непосредственно из пересланного сегмента. Это означает, что после правильной обработки заголовка программное обеспечение на стороне апстрима может реализовать все те же функции, что и при получении TCP-трафика напрямую без обратного прокси: например, логировать IP-адрес отправителя или выполнять другие действия.

На рисунке апстрим подставляет полученный отдельно заголовок к каждому сегменту, полученному в рамках этого соединения, воссоздавая таким образом всю информацию, отправленную пользователем:

Proxy Protocol

О том, как подключить обратный TCP-прокси в режиме Proxy Protocol, читайте в соответствующем разделе.

Режим Raw TCP Proxy

Для защиты апстримов, не поддерживающих Proxy Protocol, используйте обратный TCP-прокси в режиме Raw TCP Proxy. В таком режиме, получив TCP-сегмент от пользователя, обратный TCP-прокси просто проксирует этот сегмент, выступая для апстрима в качестве отправителя сегмента. Дополнительная информация об исходном отправителе не передается на апстрим

Raw TCP Proxy

При использовании Raw TCP Proxy апстрим не может получить информацию об IP-адресе пользователя, если это не предусмотрено протоколом более высокого уровня. Поэтому такой режим используется в основном для протоколов, которые предусматривают способ авторизации, не полагающийся на IP-адрес отправителя. Например, с помощью Raw TCP Proxy вы можете защититься от DDoS-атак, направленных на находящийся за апстримом сервер SSH.

Основным преимуществом Raw TCP Proxy по сравнению с использованием Proxy Protocol является отсутствие необходимости в дополнительной настройке на стороне апстрима. Апстрим принимает легитимные TCP-сегменты из сети Qrator Labs так же, как принимал бы их напрямую от пользователей.

Raw TCP Proxy от Qrator Labs защищает ресурсы от DDoS-атак не выше транспортного уровня (L4).

О том, как подключить Raw TCP proxy, читайте в соответствующем разделе.

expand_less