vDDoS Proxy Protection，Master（主節點）和 Sliver（從節點）

雲端運算與程式碼 2024年10月13日 16:07 1.7K+ 品悟

本

文

摘

要

本文主要介紹了 vDDoS Proxy Protection 系統中的 Master 主節點和 Sliver 從節點。主節點負責策略管理、數據匯總分析與協調決策；從節點進行流量監測過濾、局部攻擊檢測並反饋信息。外部流量通常經從節點進入過濾後轉至後端服務器，主從節點互動確保系統有效防護外部威脅。

1. Master（主節點）的功能與特性

vDDoS Proxy Protection，Master（主節點）和 Sliver（從節點）第1张

- 策略管理中心

- Master節點在vDDoS Proxy Protection系統中充當策略管理的核心。它負責制定、存儲和更新整個防護系統的安全策略。這些策略涵蓋了流量過濾規則（如針對不同協議的流量閾值設置，對於HTTP可能設置每秒允許的最大請求數，對於TCP設置每秒允許的最大連接數等）、IP黑白名單管理（確定哪些IP被允許或禁止訪問受保護的網絡或服務器）以及攻擊檢測與防護規則（例如識別SYN洪水攻擊、UDP洪水攻擊、HTTP慢速攻擊等的規則）。

- 數據匯總與分析

- 它接收來自各個Sliver（從節點）的監控數據，包括流量統計信息（如入站和出站流量的大小、來源和目的地等）、攻擊檢測報告（是否檢測到某種類型的攻擊、攻擊的規模等）以及節點自身的運行狀態（如CPU和內存使用情況等）。通過對這些數據的匯總和分析，Master節點能夠全面了解整個防護系統的運行狀況，識別出潛在的安全威脅趨勢，例如發現某個時間段內多個Sliver節點報告的特定類型攻擊頻率增加，從而判斷可能存在大規模的針對性攻擊正在醞釀。

- 協調與決策

- 根據數據分析結果，Master節點做出決策並協調各個Sliver節點的行動。例如，如果檢測到某種新型的DDoS攻擊正在蔓延，Master節點可以制定新的防護策略（如更新攻擊特征庫中的特定攻擊模式識別規則），並將這些策略分發給所有相關的Sliver節點。它還可以協調Sliver節點之間的負載均衡，當某個Sliver節點負載過重（如處理的流量接近其處理能力上限）時，Master節點可以調整流量分配，將部分流量引導至負載較輕的Sliver節點。

2. Sliver（從節點）的功能與特性

- 流量監測與過濾

- Sliver節點位於網絡的關鍵位置，負責直接監測和過濾外部流入的網絡流量。它根據Master節點下發的策略對流量進行檢查。例如，按照設定的流量閾值檢查每個IP的連接數或請求數，如果發現某個IP的流量超過閾值，就按照規則采取措施（如限制該IP的流量或者暫時阻斷其連接）。對於IP黑白名單中的IP，Sliver節點會直接執行允許或禁止訪問的操作。

- 局部攻擊檢測

- Sliver節點能夠獨立檢測局部的攻擊行為。它利用自身的資源和預定義的攻擊檢測規則，對經過的流量進行深度分析。例如，它可以在本地識別出一些簡單的攻擊模式，如本地網絡中突然出現的大量來自單個IP的異常UDP包（可能是UDP洪水攻擊的跡象），並及時采取初步的防護措施（如丟棄這些可疑的UDP包並記錄相關信息）。

- 反饋機制

- 將本地的流量監測數據、攻擊檢測結果以及自身的運行狀態等信息反饋給Master節點。例如，Sliver節點會定期（如每隔幾分鐘）向Master節點發送本地的流量統計報表，或者在檢測到異常攻擊時立即向Master節點報告攻擊的類型、規模以及可疑的攻擊源IP等信息，以便Master節點能夠全面掌握整個防護系統的情況並做出相應的決策。

Master（主節點）與Sliver（從節點），ip是解析到主節點還是從節點？

1. 正常情況下

- 解析到主節點（部分場景）

- 在一些架構中，外部網絡流量的IP可能首先解析到Master（主節點）。這是因為Master節點通常負責整體的策略管理和流量調度。例如，當外部用戶請求訪問受保護的後端服務器時，DNS（域名系統）可能將域名解析到Master節點的IP地址。Master節點接收到請求後，根據預先設定的策略（如負載均衡策略、安全檢查策略等）決定如何處理該請求，可能會將請求轉發給合適的Sliver（從節點）進行進一步的處理，如深度的流量檢測和過濾。

- 解析到從節點（特定部署）

- 在某些部署場景下，IP可能直接解析到Sliver節點。特別是當Sliver節點被設計為更接近最終的後端服務器，並且具有足夠的自主性來處理初始的流量接收和基本的安全檢查時。例如，在一個分布式的網絡環境中，為了減少Master節點的負載和提高響應速度，部分請求的IP可以直接解析到靠近後端服務器的Sliver節點，Sliver節點先對流量進行初步的處理，如檢查是否存在明顯的惡意流量特征，然後再根據需要與Master節點進行交互（如獲取更高級別的策略指導或報告異常情況）。

2. 故障轉移或負載均衡情況下

- 動態調整解析目標

- 在存在故障轉移機制或負載均衡需求的情況下，IP解析的目標可能會動態調整。如果Master節點出現故障，DNS或相關的網絡設備可能會將IP解析從Master節點切換到某個可用的Sliver節點，以確保對後端服務器的持續保護和服務可用性。同樣，在負載均衡場景中，如果某個Sliver節點負載過高，流量的IP解析可能會被調整到負載較輕的Sliver節點或經過Master節點重新分配到其他合適的節點，以平衡整個系統的負載。

Master（主節點）與Sliver（從節點），意思是說即使ip解析綁定從節點，主節點一樣可以控制從節點的防護策略，是這樣嗎？

1. 策略管理與控制關系

- 是的，即使IP解析綁定到Sliver（從節點），Master（主節點）仍然可以控制Sliver節點的防護策略。

- 集中式策略管理

- Master節點在vDDoS Proxy Protection系統中承擔著集中式的策略管理功能。它負責制定整體的防護策略，這些策略涵蓋了諸如流量閾值設定、攻擊類型識別與防護規則（如針對SYN洪水攻擊、UDP洪水攻擊、HTTP慢速攻擊等）、IP黑白名單管理等多個方面。例如，Master節點可以根據對整個網絡安全態勢的分析，設定每秒允許的最大HTTP請求數為1000，並將這個策略下發到各個Sliver節點。

- 策略下發機制

- 無論IP解析的綁定情況如何，Master節點都有相應的機制將制定好的防護策略傳遞給Sliver節點。這通常通過內部的通信協議或者專門的配置管理系統來實現。例如，Master節點可以定期（如每隔5分鐘）向所有的Sliver節點推送更新後的防護策略，或者在檢測到新的安全威脅時及時將針對性的防護策略（如針對新出現的DDoS攻擊變種的防護規則）發送給Sliver節點。

2. Sliver節點的執行與反饋

- 執行策略

- Sliver節點接收到Master節點下發的防護策略後，會按照這些策略對本地的網絡流量進行防護操作。即使IP解析綁定到自身，它仍然遵循Master節點設定的規則。例如，如果Master節點將某個IP地址添加到黑名單並發給Sliver節點，Sliver節點就會拒絕來自該IP的流量，無論這個流量是直接解析到Sliver節點還是通過其他方式到達的。

- 反饋機制

- Sliver節點在執行防護策略的過程中，會將本地的相關信息（如本地流量統計數據、檢測到的異常情況等）反饋給Master節點。這樣，Master節點可以根據這些反饋進一步優化防護策略或者進行全局的協調決策。例如，Sliver節點檢測到本地有大量來自某個特定IP段的異常流量，它會將這個信息反饋給Master節點，Master節點可能會根據這個反饋調整全局的IP過濾策略，並再次下發給各個Sliver節點執行。

Master（主節點）與Sliver（從節點），意思是ip解析到從節點，外部流量由從節點進入，經從節點過濾後再轉給web後端服務器。而主節點與從節點一直都是互動的，從節點會根據進入的流量情況反饋給主節點，主節點根據從節點情況，下發相應的防護策略。是這個意思嗎？

1. 流量路徑與過濾

- 是的，當IP解析到Sliver（從節點）時，外部流量首先進入Sliver節點。Sliver節點作為靠近外部網絡的第一道防線，會對進入的流量進行過濾操作。例如，它可以根據預定義的規則檢查流量是否存在惡意特征，如是否包含已知DDoS攻擊（如SYN洪水攻擊的特定SYN包模式、UDP洪水攻擊的異常UDP包頻率等）的特征，或者流量是否超出了設定的閾值（如每秒允許的最大連接數、帶寬限制等）。經過Sliver節點過濾後的合法流量才會被轉發給Web後端服務器，這樣可以有效地防止惡意流量對後端服務器的直接沖擊。

2. 主從節點互動關系

- 從節點反饋

- Sliver節點會持續監控進入的流量情況，並將相關信息反饋給Master（主節點）。這些信息包括但不限於流量的統計數據（如流量大小、流量類型分布等）、檢測到的異常流量事件（如疑似新型攻擊的流量模式）、本地資源使用情況（如自身的CPU、內存占用情況在處理流量過程中的變化等）。例如，如果Sliver節點檢測到某個時間段內流入的UDP流量突然大幅增加且具有異常的數據包大小分布，它會將這個情況及時報告給Master節點。

- 主節點策略下發

- Master節點根據Sliver節點反饋的情況進行分析，然後下發相應的防護策略給Sliver節點。例如，如果Master節點從多個Sliver節點的反饋中發現存在一種新型的DDoS攻擊趨勢，它會制定新的防護策略（如更新攻擊特征庫、調整流量閾值等），並將這些策略分發給各個Sliver節點。Sliver節點接收到新的策略後，會按照新策略對後續進入的流量進行處理，從而不斷優化整個系統對外部威脅的防護能力。

Master（主節點）與Sliver（從節點），根據上面這種說法，外部流量是沒有從主節點進入的，主節點只是起一個防護策略作用。實際防護外部流量的，是從節點。是嗎？

1. 正常流量路徑下的情況

- 在通常的架構和工作流程中，按照上述說法，外部流量確實不直接從Master（主節點）進入，Sliver（從節點）承擔了實際對外部流量進行初步防護和過濾的工作。

- Sliver節點的前端防護

- Sliver節點位於更接近外部流量源的位置，就像網絡防護的前沿哨所。當外部流量到來時，Sliver節點首先對流量進行檢測、分析和過濾。例如，它會檢查流量是否符合預設的流量模式、是否包含惡意的攻擊特征（如常見的DDoS攻擊特征）、是否來自黑名單中的IP地址等。只有通過了Sliver節點初步篩查的合法流量才會被允許進一步流向Web後端服務器。

- Master節點的策略管理角色

- Master節點主要發揮策略管理的作用。它並不直接處理外部流入的流量，而是專註於制定防護策略並將其分發給Sliver節點。例如，Master節點根據整個網絡的安全需求、歷史攻擊數據以及從各個Sliver節點反饋回來的信息，制定諸如流量閾值、攻擊特征識別規則、IP黑白名單等防護策略。

2. 特殊情況或其他功能考慮

- 某些管理流量或特定類型交互

- 雖然外部業務流量通常不經過Master節點，但在一些特殊情況下，可能存在與管理相關的流量或者特定類型的交互會涉及Master節點。例如，在進行系統的配置更新、節點狀態監控或者某些高級的安全管理操作時，可能會有少量的管理相關流量與Master節點交互。不過，這與正常的外部業務流量的防護和處理是不同的概念。

- 整體防護體系的協調

- Master節點雖然不直接防護外部流量，但它在整個防護體系的協調方面起著關鍵作用。它通過接收Sliver節點的反饋並下發策略，確保各個Sliver節點能夠協同工作，以應對復雜的網絡安全威脅。例如，當面對大規模、分布式的DDoS攻擊時，Master節點可以根據各個Sliver節點上報的攻擊情況，調整全局的防護策略，如統一調整所有Sliver節點的流量閾值或者協調它們之間的負載均衡等操作。