Forbraíonn Variti cosaint i gcoinne róbónna agus ionsaithe DDoS, agus déanann sé tástáil struis agus ualaigh freisin. Ag comhdháil HighLoad++ 2018 labhair muid faoi conas acmhainní a fháil ó chineálacha éagsúla ionsaithe. I mbeagán focal: aonraigh codanna den chóras, bain úsáid as seirbhísí néal agus CDNanna, agus nuashonraigh go rialta. Ach ní bheidh tú fós in ann cosaint a láimhseáil gan cuideachtaí speisialaithe :)
Sula léann tú an téacs, is féidir leat na hachoimrí gearra a léamh .
Agus más rud é nach maith leat a bheith ag léamh nó díreach ag iarraidh féachaint ar an bhfíseán, tá taifeadadh ár dtuairisc thíos faoin spoiler.
Taifeadadh físe den tuarascáil
Tá a fhios ag go leor cuideachtaí cheana féin conas tástáil ualaigh a dhéanamh, ach ní dhéanann gach ceann acu tástáil struis. Ceapann cuid dár gcustaiméirí go bhfuil a suíomh dosháraithe toisc go bhfuil córas ard-ualaigh acu, agus go gcosnaíonn sé go maith ó ionsaithe. Léirímid nach bhfuil sé seo fíor go hiomlán.
Ar ndóigh, sula ndéantar tástálacha, faighimid cead ón gcustaiméir, sínithe agus stampáilte, agus lenár gcabhair ní féidir ionsaí DDoS a dhéanamh ar aon duine. Déantar an tástáil ag am a roghnaíonn an custaiméir, nuair nach mbíonn mórán tráchta ar a acmhainn, agus ní dhéanfaidh fadhbanna rochtana difear do chliaint. Ina theannta sin, ós rud é go bhféadfadh rud éigin a bheith mícheart i gcónaí le linn an phróisis tástála, tá teagmháil leanúnach againn leis an gcustaiméir. Ligeann sé seo duit ní hamháin na torthaí a baineadh amach a thuairisciú, ach freisin rud éigin a athrú le linn tástála. Nuair a bhíonn an tástáil críochnaithe, déanaimid tuarascáil a dhréachtú i gcónaí ina léirímid na heasnaimh a aimsítear agus ina dtugann muid moltaí maidir le deireadh a chur le laigí an tsuímh.
Conas atáimid ag obair
Nuair a dhéantar tástáil, déanaimid aithris ar botnet. Ós rud é go n-oibrímid le cliaint nach bhfuil lonnaithe ar ár líonraí, d'fhonn a chinntiú nach dtiocfaidh deireadh leis an tástáil sa chéad nóiméad mar gheall ar theorainneacha nó cosaint a bheith á spreagadh, soláthraímid an t-ualach ní ó IP amháin, ach ónár bhfolíon féin. Ina theannta sin, chun ualach suntasach a chruthú, tá ár bhfreastalaí tástála measartha cumhachtach féin againn.
Postulates
Ní chiallaíonn an iomarca go maith
Dá lú ualach is féidir linn acmhainn a thabhairt chun teip, is amhlaidh is fearr. Más féidir leat an suíomh a stopadh ag feidhmiú ar iarratas amháin in aghaidh an tsoicind, nó fiú iarratas amháin in aghaidh an nóiméid, tá sé sin iontach. Toisc de réir dlí na meanness, beidh úsáideoirí nó ionsaitheoirí titim de thaisme leis an leochaileacht áirithe.
Is fearr teip pháirteach ná teip iomlán
Molaimid i gcónaí córais ilchineálacha a dhéanamh. Thairis sin, is fiú iad a scaradh ar an leibhéal fisiceach, agus ní hamháin trí choimeádú. I gcás scaradh fisiceach, fiú má theipeann ar rud éigin ar an suíomh, tá dóchúlacht ard ann nach stopfaidh sé ag obair go hiomlán, agus leanfaidh úsáideoirí de rochtain a bheith acu ar chuid den fheidhmiúlacht ar a laghad.
Tá dea-ailtireacht mar bhonn le hinbhuanaitheacht
Ba cheart lamháltas locht acmhainne agus a cumas chun ionsaithe agus ualaí a sheasamh a leagan síos ag an gcéim deartha, go deimhin, ag an gcéim ina ndéantar na chéad sreabhchairteacha a tharraingt i leabhar nótaí. Toisc má creep earráidí marfach i, is féidir iad a cheartú sa todhchaí, ach tá sé an-deacair.
Ní hamháin gur chóir go mbeadh an cód go maith, ach freisin an config
Síleann go leor daoine gur ráthaíocht ar sheirbhís locht-fhulangach é foireann forbartha maith. Tá gá le foireann forbartha maith i ndáiríre, ach ní mór go mbeadh oibríochtaí maithe, DevOps maith ann freisin. Is é sin, ní mór dúinn speisialtóirí a chumrú i gceart Linux agus an líonra, scríobh configs i gceart i nginx, teorainneacha socraithe, etc. Seachas sin, ní oibreoidh an acmhainn go maith ach amháin i dtástáil, agus ag pointe éigin beidh gach rud briste i dtáirgeadh.
Difríochtaí idir tástáil ualaigh agus struis
Ligeann tástáil ualaigh duit teorainneacha feidhmiú an chórais a aithint. Tá tástáil struis dírithe ar laigí i gcóras a aimsiú agus úsáidtear é chun an córas seo a bhriseadh agus a fheiceáil conas a iompróidh sé i bpróiseas teip codanna áirithe. Sa chás seo, de ghnáth ní bhíonn eolas ag an gcustaiméir ar nádúr an ualaigh sula gcuirtear tús le tástáil struis.
Gnéithe sainiúla ionsaithe L7
De ghnáth roinnimid cineálacha ualaigh ina ualaí ag na leibhéil L7 agus L3&4. Is ualach é L7 ar leibhéal an iarratais, is minic nach gciallaíonn sé ach HTTP, ach is éard atá i gceist againn aon ualach ag leibhéal prótacail TCP.
Tá gnéithe sainiúla áirithe ag ionsaithe L7. Ar an gcéad dul síos, tagann siad go díreach chuig an bhfeidhmchlár, is é sin, ní dócha go léireofar iad trí mhodhanna líonra. Úsáideann ionsaithe den sórt sin loighic, agus mar gheall air seo, ídíonn siad LAP, cuimhne, diosca, bunachar sonraí agus acmhainní eile go han-éifeachtach agus gan mórán tráchta.
Tuilte HTTP
I gcás aon ionsaí, tá an t-ualach níos éasca a chruthú ná a láimhseáil, agus i gcás L7 tá sé seo fíor freisin. Níl sé éasca i gcónaí trácht ionsaithe a idirdhealú ó thrácht dhlisteanach, agus is minic is féidir é seo a dhéanamh de réir minicíochta, ach má tá gach rud pleanáilte i gceart, ansin ní féidir a thuiscint ó na logaí cá bhfuil an t-ionsaí agus cá bhfuil na hiarratais dhlisteanacha.
Mar chéad shampla, smaoinigh ar ionsaí HTTP Flood. Léiríonn an graf go mbíonn ionsaithe den sórt sin an-chumhachtach de ghnáth; sa sampla thíos, sháraigh buaiclíon na n-iarratas 600 míle in aghaidh an nóiméid.
Is é HTTP Flood an bealach is éasca chun ualach a chruthú. De ghnáth, glacann sé uirlis tástála ualaigh de chineál éigin, mar ApacheBench, agus socraíonn sé iarratas agus sprioc. Le cur chuige simplí den sórt sin, tá dóchúlacht ard ann go n-imeoidh tú isteach i dtaisce freastalaí, ach is furasta é a sheachbhóthar. Mar shampla, teaghráin randamach a chur leis an iarratas, a chuirfidh iallach ar an bhfreastalaí leathanach úr a sheirbheáil i gcónaí.
Chomh maith leis sin, ná déan dearmad faoin úsáideoir-ghníomhaire sa phróiseas a chruthú ualach. Déanann riarthóirí córais scagadh ar go leor gníomhairí úsáideoirí uirlisí tástála a bhfuil tóir orthu, agus sa chás seo seans nach sroichfidh an t-ualach an t-inneall. Is féidir leat an toradh a fheabhsú go suntasach trí cheanntásc atá níos mó nó níos lú bailí ón mbrabhsálaí a chur isteach san iarratas.
Chomh simplí agus atá ionsaithe tuilte HTTP, tá a gcuid míbhuntáistí ag baint leo freisin. Ar an gcéad dul síos, tá gá le méideanna móra cumhachta chun an t-ualach a chruthú. Ar an dara dul síos, tá ionsaithe den sórt sin an-éasca a bhrath, go háirithe má thagann siad ó aon seoladh amháin. Mar thoradh air sin, tosaíonn riarthóirí córais nó fiú ag leibhéal an tsoláthraí ar iarratais a scagadh láithreach.
Cad atá le cuardach
Chun líon na n-iarratas in aghaidh an tsoicind a laghdú gan éifeachtúlacht a chailleadh, ní mór duit beagán samhlaíochta a thaispeáint agus an suíomh a iniúchadh. Mar sin, is féidir leat ní hamháin an cainéal nó an freastalaí a luchtú, ach freisin codanna aonair den fheidhmchlár, mar shampla, bunachair shonraí nó córais comhaid. Is féidir leat áiteanna a chuardach freisin ar an suíomh a dhéanann ríomhaireachtaí móra: áireamháin, leathanaigh roghnú táirgí, etc. Mar fhocal scoir, is minic a tharlaíonn sé go bhfuil script PHP de shaghas éigin ag an láithreán a ghineann leathanach de na céadta míle líne. Déanann script den sórt sin ualach suntasach ar an bhfreastalaí freisin agus féadfaidh sé a bheith ina sprioc le haghaidh ionsaí.
Cá háit le breathnú
Nuair a dhéanaimid scanadh ar acmhainn roimh thástáil, féachaimid ar dtús, ar ndóigh, ar an suíomh féin. Táimid ag lorg gach cineál na réimsí ionchuir, comhaid trom - go ginearálta, gach rud is féidir a chruthú fadhbanna le haghaidh an acmhainn agus moill a chur ar a oibriú. Cuidíonn uirlisí forbartha banal i Google Chrome agus Firefox anseo, ag taispeáint amanna freagartha leathanach.
Déanaimid scanadh ar fhofhearainn freisin. Mar shampla, tá siopa áirithe ar líne, abc.com, agus tá fofhearann aige admin.abc.com. Is dócha, is painéal riaracháin é seo le húdarú, ach má chuireann tú ualach air, féadann sé fadhbanna a chruthú don phríomhacmhainn.
Seans go bhfuil fofhearann ag an suíomh api.abc.com. Is dócha, is acmhainn é seo le haghaidh feidhmchláir shoghluaiste. Is féidir an feidhmchlár a fháil san App Store nó Google Play, suiteáil pointe rochtana speisialta, déan an API a dhídháil agus cuntais tástála a chlárú. Is í an fhadhb atá ann go gceapann daoine go minic go bhfuil aon rud atá faoi chosaint údaraithe díolmhaithe ó ionsaithe séanadh seirbhíse. Is dócha gurb é údarú an CAPTCHA is fearr, ach níl sé. Tá sé éasca 10-20 cuntas tástála a dhéanamh, ach trína chruthú, faigheann muid rochtain ar fheidhmiúlacht chasta agus neamhfhollasaithe.
Ar ndóigh, breathnaíonn muid ar an stair, ag robots.txt agus WebArchive, ViewDNS, agus lorgaimid seanleaganacha den acmhainn. Uaireanta tarlaíonn sé go bhfuil forbróirí tar éis rolladh amach, abair, mail2.yandex.net, ach tá an seanleagan, mail.yandex.net, fós. Ní thacaítear leis an mail.yandex.net seo a thuilleadh, ní leithdháiltear acmhainní forbartha air, ach leanann sé ag úsáid an bhunachair shonraí. Dá réir sin, ag baint úsáide as an seanleagan, is féidir leat úsáid éifeachtach a bhaint as acmhainní an inneall agus gach rud atá taobh thiar den leagan amach. Ar ndóigh, ní tharlaíonn sé seo i gcónaí, ach is minic a bhíonn sé seo againn go fóill.
Ar ndóigh, déanaimid anailís ar na paraiméadair iarratais go léir agus ar an struchtúr fianán. Is féidir leat, abair, luach éigin a dhumpáil isteach i sraith JSON taobh istigh d’fhianán, go leor neadaithe a chruthú agus an acmhainn a chur ag obair ar feadh tréimhse míréasúnta fada.
Lucht cuardaigh
Is é an chéad rud a thagann chun cuimhne nuair a bhíonn taighde á dhéanamh ar shuíomh ná an bunachar sonraí a luchtú, ós rud é go bhfuil cuardach ag beagnach gach duine, agus i gcás beagnach gach duine, ar an drochuair, tá sé faoi chosaint lag. Ar chúis éigin, ní thugann forbróirí aird go leor ar chuardach. Ach tá moladh amháin anseo - níor cheart duit iarratais den chineál céanna a dhéanamh, mar is féidir go dtiocfaidh tú ar thaisceadh, mar atá i gcás tuilte HTTP.
Ní bhíonn sé éifeachtach i gcónaí fiosruithe randamacha a dhéanamh ar an mbunachar sonraí. Tá sé i bhfad níos fearr liosta eochairfhocail a chruthú a bhaineann leis an gcuardach. Má fhilleann muid ar an sampla de siopa ar líne: ligean a rá go ndíolann an suíomh boinn cairr agus ligeann duit a shocrú ga na mbonn, cineál an ghluaisteáin agus paraiméadair eile. Dá réir sin, cuirfidh teaglaim de na focail ábhartha iallach ar an mbunachar sonraí oibriú i gcoinníollacha i bhfad níos casta.
Ina theannta sin, is fiú leathanach a úsáid: tá sé i bhfad níos deacra do chuardach leathanach leathdhéanach na dtorthaí cuardaigh a thabhairt ar ais ná an chéad cheann. Is é sin, le cabhair ó uimhriú is féidir leat an t-ualach a éagsúlú beagán.
Taispeánann an sampla thíos an t-ualach cuardaigh. Is féidir a fheiceáil go ndeachaigh an suíomh síos agus níor fhreagair sé ón gcéad soicind den tástáil ar luas deich n-iarratas in aghaidh an tsoicind.
Mura bhfuil aon chuardach?
Mura ndéantar cuardach, ní chiallaíonn sé seo nach bhfuil réimsí ionchuir leochaileacha eile ar an suíomh. Seans gur údarú atá sa réimse seo. Sa lá atá inniu ann, is maith le forbróirí hashes casta a dhéanamh chun an bunachar sonraí logáil isteach a chosaint ó ionsaí boird tuar ceatha. Tá sé seo go maith, ach ídíonn hashes den sórt sin go leor acmhainní LAP. Tá teip próiseálaí mar thoradh ar shreabhadh mór údaruithe bréagacha, agus mar thoradh air sin stopann an suíomh ag obair.
Is cúis í an láithreacht de gach cineál foirmeacha le haghaidh tuairimí agus aiseolais ar an suíomh le téacsanna an-mhóra a sheoladh ann nó le tuile ollmhór a chruthú. Uaireanta glacann láithreáin le comhaid ceangailte, lena n-áirítear i bhformáid gzip. Sa chás seo, glacaimid comhad 1TB, déan é a chomhbhrú le roinnt beart nó cilibheart ag baint úsáide as gzip agus é a sheoladh chuig an suíomh. Ansin tá sé unzipped agus tá éifeacht an-suimiúil a fháil.
Rest API
Ba mhaith liom beagán aird a thabhairt ar sheirbhísí coitianta mar an Rest API. Tá sé i bhfad níos deacra API Rest a fháil ná láithreán gréasáin rialta. Ní oibríonn fiú modhanna fánacha cosanta i gcoinne fórsa brúidiúil pasfhocail agus gníomhaíocht neamhdhlisteanach eile don Rest API.
Tá an Rest API an-éasca a bhriseadh toisc go bhfaigheann sé rochtain dhíreach ar an mbunachar sonraí. Ag an am céanna, tá iarmhairtí tromchúiseacha go leor do ghnó i gceist le teip seirbhíse den sórt sin. Is é an bhfíric go n-úsáidtear an Rest API de ghnáth, ní hamháin don phríomhshuíomh gréasáin, ach freisin don fheidhmchlár soghluaiste agus roinnt acmhainní gnó inmheánacha. Agus má thiteann sé seo go léir, ansin tá an éifeacht i bhfad níos láidre ná i gcás teipe simplí láithreán gréasáin.
Ábhar trom á luchtú
Má thairgtear dúinn gnáthfheidhmchlár aon-leathanaigh, leathanach tuirlingthe, nó láithreán gréasáin cárta gnó a thástáil nach bhfuil feidhmiúlacht chasta acu, lorgaímid ábhar trom. Mar shampla, íomhánna móra a sheolann an freastalaí, comhaid dhénártha, doiciméadú pdf - déanaimid iarracht é seo go léir a íoslódáil. Déanann tástálacha den sórt sin an córas comhaid a luchtú go maith agus na bealaí a chlogáil, agus dá bhrí sin tá siad éifeachtach. Is é sin, fiú mura gcuireann tú an freastalaí síos, ag íoslódáil comhad mór ar luas íseal, ní dhéanfaidh tú ach cainéal an spriocfhreastalaí a chlogáil agus ansin déanfar seirbhís a dhiúltú.
Léiríonn sampla de thástáil den sórt sin gur stop an láithreán ag freagairt ar luas 30 RPS nó gur tháirg sé earráidí freastalaí 500.
Ná déan dearmad faoi fhreastalaithe a shocrú. Is féidir leat a fháil go minic gur cheannaigh duine meaisín fíorúil, shuiteáil Apache ann, chumraigh sé gach rud de réir réamhshocraithe, shuiteáil iarratas PHP, agus thíos is féidir leat an toradh a fheiceáil.
Anseo chuaigh an t-ualach go dtí an fhréamh agus b'ionann é agus 10 RPS. D'fhan muid 5 nóiméad agus an freastalaí crashed. Is fíor nach bhfuil a fhios go hiomlán cén fáth ar thit sé, ach tá toimhde ann go raibh an iomarca cuimhne aige agus dá bhrí sin stop sé ag freagairt.
Tonn bunaithe
Le bliain nó dhó anuas, tá ionsaithe tonnta tar éis éirí coitianta go leor. Tá sé seo mar gheall ar an bhfíric go gceannaíonn go leor eagraíochtaí píosaí áirithe crua-earraí le haghaidh cosanta DDoS, a éilíonn méid áirithe ama chun staitisticí a charnadh chun tús a chur le scagadh an ionsaí. Is é sin, ní dhéanann siad an t-ionsaí a scagadh sa chéad 30-40 soicind, toisc go ndéanann siad sonraí a charnadh agus a fhoghlaim. Dá réir sin, sna 30-40 soicind seo is féidir leat an oiread sin a sheoladh ar an suíomh go mbeidh an acmhainn suite ar feadh i bhfad go dtí go mbeidh gach iarratas glanta.
I gcás an ionsaí thíos, bhí eatramh de 10 nóiméad, agus ina dhiaidh sin tháinig cuid nua, modhnaithe den ionsaí.
Is é sin, d'fhoghlaim an chosaint, thosaigh sé ag scagadh, ach tháinig cuid nua, iomlán difriúil den ionsaí, agus thosaigh an chosaint ag foghlaim arís. Go deimhin, stopann an scagadh ag obair, éiríonn cosaint neamhéifeachtach, agus níl an suíomh ar fáil.
Tá ionsaithe tonnta tréithrithe ag luachanna an-ard ag an mbuaic, is féidir leis céad míle nó milliún iarratas in aghaidh an tsoicind a bhaint amach, i gcás L7. Má labhraímid faoi L3&4, is féidir na céadta gigabuit tráchta a bheith ann, nó, dá réir sin, na céadta mpps, má áirítear tú i bpacáistí.
Is í an fhadhb le hionsaithe den sórt sin ná sioncrónú. Tagann na hionsaithe ó botnet agus éilíonn siad leibhéal ard sioncrónaithe chun spíc aon-uaire an-mhór a chruthú. Agus ní oibríonn an comhordú seo amach i gcónaí: uaireanta is buaic parabolic de shaghas éigin an t-aschur, rud a bhreathnaíonn sách pathetic.
Ní HTTP amháin
Chomh maith le HTTP ag L7, is maith linn leas a bhaint as prótacail eile. De ghnáth, bíonn prótacail ríomhphoist agus MySQL ag cloí le láithreán gréasáin rialta, go háirithe óstaíocht rialta. Bíonn prótacail ríomhphoist faoi réir níos lú ualach ná bunachair shonraí, ach is féidir iad a luchtú go héifeachtach go leor agus LAP ró-ualaithe a bheith acu ar an bhfreastalaí.
D'éirigh linn go leor ag baint úsáide as leochaileacht SSH 2016. Anois tá an leochaileacht seo socraithe do bheagnach gach duine, ach ní chiallaíonn sé seo nach féidir ualach a chur isteach chuig SSH. An féidir. Níl ann ach ualach mór údaraithe, itheann SSH beagnach an LAP iomlán ar an bhfreastalaí, agus ansin titeann an láithreán gréasáin ó cheann amháin nó dhá iarratas in aghaidh an tsoicind. Dá réir sin, ní féidir idirdhealú a dhéanamh idir na hiarratais nó dhó seo atá bunaithe ar na logaí agus ualach dlisteanach.
Tá go leor nasc a osclaíonn muid ar fhreastalaithe fós ábhartha freisin. Roimhe seo, bhí Apache ciontach as seo, anois tá nginx ag fulaingt ó seo, ós rud é go minic go bhfuil sé cumraithe de réir réamhshocraithe. Tá líon na naisc is féidir le nginx a choinneáil ar oscailt teoranta, agus mar sin osclaíonn muid an líon naisc seo, ní ghlacann nginx nasc nua a thuilleadh, agus mar thoradh air sin ní oibríonn an suíomh.
Tá go leor LAP ag ár mbraisle tástála chun ionsaí a dhéanamh ar chroitheadh láimhe SSL. I bprionsabal, mar a léiríonn cleachtas, uaireanta is maith le botnets é seo a dhéanamh freisin. Ar thaobh amháin, tá sé soiléir nach féidir leat a dhéanamh gan SSL, mar gheall ar thorthaí Google, rangú, slándáil. Ar an láimh eile, tá fadhb LAP ag SSL ar an drochuair.
L3&4
Nuair a labhraímid faoi ionsaí ag leibhéil L3&4, is gnách go mbímid ag caint faoi ionsaí ag an nasc. Is beagnach i gcónaí ualach den sórt sin a idirdhealú ó ualach dlisteanach, mura rud é gur ionsaí tuilte SYN é. Is í an fhadhb le SYN-ionsaithe tuilte le haghaidh uirlisí slándála a líon mór. Ba é an luach uasta L3&4 ná 1,5-2 Tbit/s. Tá an cineál tráchta seo an-deacair a phróiseáil fiú do chuideachtaí móra, lena n-áirítear Oracle agus Google.
Is paicéid iad SYN agus SYN-ACK a úsáidtear nuair a bhíonn nasc á bhunú. Mar sin, tá sé deacair idirdhealú a dhéanamh idir SYN-tuilte agus ualach dlisteanach: níl sé soiléir cé acu SYN é seo a tháinig chun nasc a bhunú, nó cuid de thuile.
UDP-tuilte
De ghnáth, ní bhíonn na cumais atá againn ag ionsaitheoirí, mar sin is féidir aimpliú a úsáid chun ionsaithe a eagrú. Is é sin, déanann an t-ionsaitheoir scanadh ar an Idirlíon agus aimsíonn sé freastalaithe leochaileacha nó atá cumraithe go mícheart a fhreagraíonn, mar shampla, mar fhreagra ar phaicéad SYN amháin, le trí SYN-ACK. Trí sheoladh foinse a spoofing ó sheoladh an fhreastalaí sprice, is féidir an chumhacht a mhéadú trí, abair, le paicéad amháin agus trácht a atreorú chuig an íospartach.
Is í an fhadhb le aimplithe ná go bhfuil siad deacair a bhrath. I measc na samplaí is déanaí tá cás iontach na memcached soghonta. Ina theannta sin, anois tá go leor feistí IoT, ceamaraí IP, atá cumraithe den chuid is mó freisin de réir réamhshocraithe, agus de réir réamhshocraithe tá siad cumraithe go mícheart, agus is é sin an fáth go ndéanann ionsaitheoirí ionsaithe go minic trí fheistí den sórt sin.
SYN-tuilte deacair
Is dócha gurb é SYN-tuilte an cineál ionsaí is suimiúla ó thaobh an fhorbróra de. Is í an fhadhb atá ann go n-úsáideann riarthóirí córais go minic blocáil IP le haghaidh cosanta. Thairis sin, bíonn tionchar ag blocáil IP ní hamháin ar riarthóirí córais a ghníomhaíonn ag baint úsáide as scripteanna, ach freisin, ar an drochuair, ar roinnt córais slándála a cheannaítear ar a lán airgid.
Is féidir an modh seo a iompú isteach i tubaiste, mar má chuireann ionsaitheoirí seoltaí IP in ionad, cuirfidh an chuideachta bac ar a subnet féin. Nuair a bhlocálann an Balla Dóiteáin a bhraisle féin, teipfidh ar an aschur idirghníomhaíochtaí seachtracha agus teipfidh an acmhainn.
Thairis sin, níl sé deacair do líonra féin a bhlocáil. Má tá líonra Wi-Fi ag oifig an chliaint, nó má dhéantar feidhmíocht acmhainní a thomhas ag baint úsáide as córais monatóireachta éagsúla, glacaimid seoladh IP an chórais monatóireachta seo nó Wi-Fi oifig an chliaint agus úsáidimid é mar fhoinse. Ag an deireadh, is cosúil go bhfuil an acmhainn ar fáil, ach tá na seoltaí IP sprioc blocáilte. Mar sin, d’fhéadfadh go gcuirfí bac ar líonra Wi-Fi na comhdhála HighLoad, ina bhfuil táirge nua na cuideachta á chur i láthair, agus bíonn costais ghnó agus eacnamaíocha áirithe i gceist leis seo.
Le linn na tástála, ní féidir linn aimpliú trí memcached a úsáid le haon acmhainní seachtracha, toisc go bhfuil comhaontuithe ann chun trácht a sheoladh chuig seoltaí IP ceadaithe amháin. Dá réir sin, bainimid úsáid as aimpliú trí SYN agus SYN-ACK, nuair a fhreagraíonn an córas SYN amháin a sheoladh le dhá nó trí SYN-ACK, agus ag an aschur déantar an t-ionsaí a iolrú faoi dhá nó trí huaire.
Uirlisí
Ceann de na príomhuirlisí a úsáidimid le haghaidh ualach oibre L7 ná Yandex-umar. Go háirithe, úsáidtear phantom mar ghunna, agus tá roinnt scripteanna ann chun cartúis a ghiniúint agus chun anailís a dhéanamh ar na torthaí.
Úsáidtear Tcpdump chun trácht líonra a anailísiú, agus úsáidtear Nmap chun an freastalaí a anailísiú. Chun an t-ualach a chruthú ag an leibhéal L3&4, úsáidtear OpenSSL agus beagán dár draíocht féin leis an leabharlann DPDK. Is leabharlann é DPDK ó Intel a ligeann duit oibriú leis an gcomhéadan líonra ag seachaint an chruach Linux, rud a mhéadaíonn éifeachtacht. Ar ndóigh, úsáidimid DPDK ní hamháin ag leibhéal L3&4, ach freisin ag leibhéal L7, toisc go gceadaíonn sé dúinn sreabhadh ualaigh an-ard a chruthú, laistigh de raon na roinnt milliún iarratas in aghaidh an tsoicind ó mheaisín amháin.
Bainimid úsáid freisin as gineadóirí tráchta áirithe agus uirlisí speisialta a scríobh againn le haghaidh tástálacha sonracha. Má chuimhnímid ar an leochaileacht faoi SSH, ní féidir leas a bhaint as an tacar thuas. Má ionsaíonn muid an prótacal ríomhphoist, glacaimid fóntais ríomhphoist nó scríobhaimid scripteanna orthu.
Torthaí
Mar chonclúid ba mhaith liom a rá:
- Chomh maith le tástáil ualach clasaiceach, is gá tástáil struis a dhéanamh. Tá fíorshampla againn nuair nach ndearna fochonraitheoir comhpháirtí ach tástáil ualaigh. Léirigh sé gur féidir leis an acmhainn an gnáth-ualach a sheasamh. Ach ansin bhí ualach neamhghnácha le feiceáil, thosaigh cuairteoirí an tsuímh ag baint úsáide as an acmhainn beagán difriúil, agus mar thoradh air sin leag an fochonraitheoir síos. Mar sin, is fiú leochaileachtaí a lorg fiú má tá tú cosanta cheana féin ó ionsaithe DDoS.
- Is gá roinnt codanna den chóras a leithlisiú ó chuid eile. Má tá cuardach agat, ní mór duit é a aistriú chuig meaisíní ar leithligh, is é sin, ní fiú chuig Docker. Mar má theipeann ar chuardach nó ar údarú, leanfaidh rud éigin ar a laghad ag obair. I gcás siopa ar líne, leanfaidh úsáideoirí ag aimsiú táirgí sa chatalóg, ag dul ón gcomhbhailitheoir, ag ceannach má tá siad údaraithe cheana féin, nó ag údarú trí OAuth2.
- Ná faillí gach cineál seirbhísí scamall.
- Bain úsáid as CDN ní hamháin chun moilleanna líonra a bharrfheabhsú, ach freisin mar bhealach chun cosaint a dhéanamh i gcoinne ionsaithe ar ídiú cainéal agus go simplí tuilte isteach sa trácht statach.
- Is gá seirbhísí speisialaithe cosanta a úsáid. Ní féidir leat tú féin a chosaint ar ionsaithe L3&4 ag leibhéal an chainéil, mar is dócha nach bhfuil dóthain cainéal agat. Ní dócha go mbeidh tú ag troid in aghaidh ionsaithe L7 freisin, toisc gur féidir leo a bheith an-mhór. Ina theannta sin, tá an cuardach le haghaidh ionsaithe beaga fós mar shainchumas na seirbhísí speisialta, halgartaim speisialta.
- Nuashonraigh go rialta. Baineann sé seo ní hamháin leis an eithne, ach freisin leis an deamhan SSH, go háirithe má tá tú ar oscailt don taobh amuigh. I bprionsabal, ní mór gach rud a nuashonrú, mar ní dócha go mbeidh tú in ann leochaileachtaí áirithe a rianú leat féin.
Foinse: will.com