Bidh Variti a’ leasachadh dìon an aghaidh botaichean agus ionnsaighean DDoS, agus bidh e cuideachd a’ dèanamh deuchainn cuideam is luchd. Aig co-labhairt HighLoad ++ 2018 bhruidhinn sinn mu mar as urrainn dhut goireasan fhaighinn bho dhiofar sheòrsaichean ionnsaighean. Ann an ùine ghoirid: dealaich pàirtean den t-siostam, cleachd seirbheisean sgòthan agus CDNn, agus ùraich gu cunbhalach. Ach cha bhith e comasach dhut dìon a làimhseachadh às aonais chompanaidhean sònraichte :)
Mus leugh thu an teacsa, faodaidh tu na geàrr-chunntasan goirid a leughadh .
Agus mura h-eil thu dèidheil air leughadh no dìreach airson a’ bhidio fhaicinn, tha clàradh na h-aithisg againn gu h-ìosal fon spoiler.
Clàradh bhidio den aithisg
Tha fios aig mòran chompanaidhean mu thràth mar a nì iad deuchainn luchdan, ach chan eil iad uile a’ dèanamh deuchainn cuideam. Tha cuid den luchd-ceannach againn den bheachd gu bheil an làrach aca so-leònte leis gu bheil siostam luchdan àrd aca, agus tha e a’ dìon gu math bho ionnsaighean. Tha sinn a’ sealltainn nach eil seo gu tur fìor.
Gu dearbh, mus dèan sinn deuchainnean, bidh sinn a’ faighinn cead bhon neach-ceannach, air a shoidhnigeadh agus air a stampadh, agus le ar cuideachadh chan urrainnear ionnsaigh DDoS a dhèanamh air duine sam bith. Thèid deuchainnean a dhèanamh aig àm a thaghas an neach-ceannach, nuair nach eil mòran trafaic chun ghoireas aige, agus nach toir duilgheadasan ruigsinneachd buaidh air teachdaichean. A bharrachd air an sin, leis gum faod rudeigin a dhol ceàrr an-còmhnaidh tron phròiseas deuchainn, tha conaltradh cunbhalach againn leis an neach-ceannach. Leigidh seo leat chan ann a-mhàin cunntas a thoirt air na toraidhean a chaidh a choileanadh, ach cuideachd rudeigin atharrachadh rè deuchainn. Nuair a bhios an deuchainn deiseil, bidh sinn an-còmhnaidh a’ deasachadh aithisg anns am bi sinn a’ comharrachadh nan easbhaidhean a chaidh a lorg agus a’ toirt seachad molaidhean airson cuir às do laigsean na làraich.
Mar a tha sinn ag obair
Nuair a bhios sinn a’ dèanamh deuchainn, bidh sinn a’ dèanamh atharrais air botnet. Leis gu bheil sinn ag obair le teachdaichean nach eil suidhichte air na lìonraidhean againn, gus dèanamh cinnteach nach tig an deuchainn gu crìch sa chiad mhionaid air sgàth crìochan no dìon a bhith air a phiobrachadh, bidh sinn a’ toirt seachad an luchd chan ann bho aon IP, ach bhon subnet againn fhèin. A bharrachd air an sin, gus eallach mòr a chruthachadh, tha an frithealaiche deuchainn meadhanach cumhachdach againn fhèin.
Postulates
Chan eil cus a’ ciallachadh math
Mar as lugha de luchd as urrainn dhuinn goireas a thoirt gu fàiligeadh, ’s ann as fheàrr. Mas urrainn dhut toirt air an làrach stad ag obair air aon iarrtas gach diog, no eadhon aon iarrtas gach mionaid, tha sin sgoinneil. Oir a rèir lagh meanness, bidh luchd-cleachdaidh no luchd-ionnsaigh gun fhiosta a’ tuiteam a-steach don chugallachd shònraichte seo.
Tha fàilligeadh pàirteach nas fheàrr na fàilligeadh iomlan
Tha sinn an-còmhnaidh a’ comhairleachadh a bhith a’ dèanamh shiostaman ioma-ghnèitheach. A bharrachd air an sin, is fhiach an sgaradh aig an ìre chorporra, agus chan ann a-mhàin le bhith a 'gabhail a-steach. A thaobh dealachadh corporra, eadhon ged a dh’ fhailicheas rudeigin air an làrach, tha coltas ann nach stad e ag obair gu tur, agus bidh cothrom aig luchd-cleachdaidh air co-dhiù pàirt den ghnìomhachd.
Tha deagh ailtireachd na bhunait airson seasmhachd
Bu chòir fulangas locht goireas agus a chomas seasamh an-aghaidh ionnsaighean is luchdan a chuir sìos aig ìre dealbhaidh, gu dearbh, aig ìre tarraing a’ chiad chlàran-sruth ann an notepad. Oir ma thig mearachdan marbhtach a-steach, tha e comasach an ceartachadh san àm ri teachd, ach tha e gu math duilich.
Chan e a-mhàin gum bu chòir an còd a bhith math, ach cuideachd an config
Tha mòran den bheachd gu bheil sgioba leasachaidh math na ghealladh airson seirbheis fulangach ri lochdan. Tha feum air sgioba leasachaidh math, ach feumaidh obair mhath a bhith ann cuideachd, deagh DevOps. Is e sin, feumaidh sinn eòlaichean a bhios a’ rèiteachadh Linux agus an lìonra gu ceart, a’ sgrìobhadh configs gu ceart ann an nginx, a’ suidheachadh chrìochan, msaa. Rud eile, obraichidh an goireas gu math a-mhàin ann an deuchainn, agus aig àm air choreigin brisidh a h-uile dad ann an cinneasachadh.
Eadar-dhealachaidhean eadar deuchainn luchdan agus cuideam
Leigidh deuchainn luchdan dhut crìochan gnìomhachd an t-siostaim a chomharrachadh. Tha deuchainn cuideam ag amas air laigsean ann an siostam a lorg agus tha e air a chleachdadh gus an siostam seo a bhriseadh agus faicinn mar a bhios e ga ghiùlan fhèin ann am pròiseas fàilligeadh cuid de phàirtean. Anns a ’chùis seo, mar as trice chan eil fios aig an neach-ceannach air nàdar an luchd mus tòisich deuchainn cuideam.
Feartan sònraichte de ionnsaighean L7
Mar as trice bidh sinn a’ roinn seòrsaichean luchdan gu luchdan aig ìrean L7 agus L3&4. Tha L7 na luchd aig ìre an tagraidh, mar as trice chan eil e a’ ciallachadh ach HTTP, ach tha sinn a’ ciallachadh luchd sam bith aig ìre protocol TCP.
Tha feartan sònraichte sònraichte aig ionnsaighean L7. An toiseach, thig iad gu dìreach chun tagradh, is e sin, chan eil e coltach gum bi iad air an nochdadh tro dhòighean lìonra. Bidh ionnsaighean mar seo a’ cleachdadh loidsig, agus air sgàth seo, bidh iad ag ithe CPU, cuimhne, diosc, stòr-dàta agus goireasan eile gu fìor èifeachdach agus le glè bheag de thrafaig.
Tuil HTTP
Ann an cùis ionnsaigh sam bith, tha an luchd nas fhasa a chruthachadh na bhith a 'làimhseachadh, agus a thaobh L7 tha seo fìor cuideachd. Chan eil e an-còmhnaidh furasta eadar-dhealachadh a dhèanamh air trafaic ionnsaigh bho thrafaig dhligheach, agus mar as trice faodar seo a dhèanamh le tricead, ach ma tha a h-uile càil air a dhealbhadh gu ceart, tha e do-dhèanta tuigsinn bho na logaichean far a bheil an ionnsaigh agus far a bheil na h-iarrtasan dligheach.
Mar chiad eisimpleir, beachdaich air ionnsaigh tuiltean HTTP. Tha an graf a’ sealltainn gu bheil ionnsaighean mar seo mar as trice glè chumhachdach; anns an eisimpleir gu h-ìosal, bha an àireamh as àirde de dh’iarrtasan nas àirde na 600 mìle sa mhionaid.
Is e HTTP Flood an dòigh as fhasa air luchd a chruthachadh. Mar as trice, bidh e a’ toirt seòrsa de dh’ inneal deuchainn luchdan, leithid ApacheBench, agus a’ suidheachadh iarrtas agus targaid. Le dòigh-obrach cho sìmplidh, tha coltachd àrd ann gun tèid thu a-steach do thasgadh frithealaiche, ach tha e furasta faighinn seachad air. Mar eisimpleir, cuir teudan air thuaiream ris an iarrtas, a bheir air an fhrithealaiche duilleag ùr a fhrithealadh gu cunbhalach.
Cuideachd, na dìochuimhnich mun neach-cleachdaidh-àidseant anns a 'phròiseas a bhith a' cruthachadh luchd. Tha mòran de luchd-cleachdaidh innealan deuchainn mòr-chòrdte air an sìoladh le luchd-rianachd an t-siostaim, agus sa chùis seo is dòcha nach ruig an luchd an deireadh-sheachdain. Faodaidh tu an toradh a leasachadh gu mòr le bhith a’ cuir a-steach bann-cinn nas dligheach no nas lugha bhon bhrobhsair a-steach don iarrtas.
Cho sìmplidh ri ionnsaighean tuiltean HTTP, tha na h-eas-bhuannachdan aca cuideachd. An toiseach, tha feum air tòrr cumhachd gus an luchd a chruthachadh. San dàrna h-àite, tha ionnsaighean mar sin gu math furasta an lorg, gu sònraichte ma thig iad bho aon sheòladh. Mar thoradh air an sin, tòisichidh iarrtasan sa bhad air an sìoladh an dàrna cuid le rianadairean an t-siostaim no eadhon aig ìre an t-solaraiche.
Dè a choimheadas tu
Gus an àireamh de dh'iarrtasan gach diog a lùghdachadh gun a bhith a 'call èifeachdas, feumaidh tu beagan mac-meanmna a shealltainn agus sgrùdadh a dhèanamh air an làrach. Mar sin, faodaidh tu chan e a-mhàin an sianal no an fhrithealaiche a luchdachadh, ach cuideachd pàirtean fa leth den tagradh, mar eisimpleir, stòran-dàta no siostaman faidhle. Faodaidh tu cuideachd coimhead airson àiteachan air an làrach a nì àireamhachadh mòr: àireamhairean, duilleagan taghadh toraidh, msaa. Mu dheireadh, bidh e tric a 'tachairt gu bheil seòrsa de sgriobt PHP aig an làrach a chruthaicheas duilleag de cheudan mìle loidhne. Bidh an leithid de sgriobt cuideachd a’ luchdachadh an fhrithealaiche gu mòr agus faodaidh e a bhith na thargaid airson ionnsaigh.
Càite an coimhead thu
Nuair a bhios sinn a’ sganadh goireas mus dèan sinn deuchainn, bidh sinn an toiseach a’ coimhead, gu dearbh, air an làrach fhèin. Tha sinn a 'coimhead airson a h-uile seòrsa de raointean cur a-steach, faidhlichean trom - san fharsaingeachd, a h-uile dad a dh' fhaodadh duilgheadasan a chruthachadh airson a 'ghoireis agus a bhith nas slaodaiche. Bidh innealan leasachaidh banal ann an Google Chrome agus Firefox a 'cuideachadh an seo, a' sealltainn amannan freagairt dhuilleagan.
Bidh sinn cuideachd a’ sgrùdadh subdomains. Mar eisimpleir, tha stòr air-loidhne sònraichte ann, abc.com, agus tha subdomain aige admin.abc.com. As dualtaiche, is e pannal rianachd a tha seo le cead, ach ma chuireas tu luchd air, faodaidh e duilgheadasan a chruthachadh don phrìomh ghoireas.
Dh’ fhaodadh gu bheil subdomain aig an làrach api.abc.com. As dualtaiche, is e goireas a tha seo airson tagraidhean gluasadach. Gheibhear an aplacaid anns an App Store no Google Play, cuir a-steach àite inntrigidh sònraichte, cuir às don API agus clàraich cunntasan deuchainn. Is e an duilgheadas a th’ ann gu bheil daoine gu tric a’ smaoineachadh gu bheil rud sam bith a tha air a dhìon le cead dìonach bho ionnsaighean diùltadh seirbheis. A rèir coltais, is e cead an CAPTCHA as fheàrr, ach chan eil. Tha e furasta 10-20 cunntasan deuchainn a dhèanamh, ach le bhith gan cruthachadh, gheibh sinn cothrom air gnìomhachd iom-fhillte agus neo-fhollaiseach.
Gu nàdarra, bidh sinn a 'coimhead air eachdraidh, aig robots.txt agus WebArchive, ViewDNS, agus a' coimhead airson seann dreachan den ghoireas. Uaireannan bidh e a 'tachairt gu bheil luchd-leasachaidh air sgaoileadh a-mach, can, mail2.yandex.net, ach tha an seann dreach, mail.yandex.net, fhathast. Chan eil am mail.yandex.net seo a’ faighinn taic tuilleadh, chan eil goireasan leasachaidh air an riarachadh dha, ach tha e fhathast ag ithe an stòr-dàta. A rèir sin, a’ cleachdadh an t-seann dreach, faodaidh tu goireasan an backend agus a h-uile càil a tha air cùl a’ chruth a chleachdadh gu h-èifeachdach. Gu dearbh, chan eil seo an-còmhnaidh a’ tachairt, ach bidh sinn fhathast a’ tighinn tarsainn air seo gu math tric.
Gu nàdarra, bidh sinn a’ sgrùdadh a h-uile paramadair iarrtas agus structar cookie. Faodaidh tu, can, beagan luach a thilgeil a-steach do raon JSON taobh a-staigh briosgaid, tòrr neadachadh a chruthachadh agus toirt air an goireas obrachadh airson ùine gu math mì-reusanta.
Lorg luchd
Is e a 'chiad rud a thig gu inntinn nuair a thathar a' rannsachadh làrach an stòr-dàta a luchdachadh, oir tha rannsachadh aig cha mhòr a h-uile duine, agus airson cha mhòr a h-uile duine, gu mì-fhortanach, tha e air a dhìon gu dona. Airson adhbhar air choireigin, chan eil luchd-leasachaidh a 'toirt aire gu leòr airson rannsachadh. Ach tha aon mholadh an seo - cha bu chòir dhut iarrtasan den aon sheòrsa a dhèanamh, oir is dòcha gun tig thu tarsainn air caching, mar a tha fìor le tuil HTTP.
Chan eil e an-còmhnaidh èifeachdach a bhith a’ dèanamh cheistean air thuaiream don stòr-dàta. Tha e fada nas fheàrr liosta de phrìomh fhaclan a chruthachadh a tha buntainneach don rannsachadh. Ma thilleas sinn chun eisimpleir de bhùth air-loidhne: canaidh sinn gu bheil an làrach a ’reic taidhrichean càr agus a’ leigeil leat radius nan taidhrichean a shuidheachadh, an seòrsa càr agus crìochan eile. Mar sin, bheir measgachadh de dh’fhaclan buntainneach air an stòr-dàta obrachadh ann an suidheachaidhean fada nas iom-fhillte.
A bharrachd air an sin, is fhiach duilleag a chleachdadh: tha e tòrr nas duilghe do rannsachadh an duilleag mu dheireadh de na toraidhean rannsachaidh a thilleadh na a’ chiad fhear. Is e sin, le cuideachadh bho dhuilleag, faodaidh tu an luchd atharrachadh beagan.
Tha an eisimpleir gu h-ìosal a’ sealltainn an luchd sgrùdaidh. Chithear gu bheil bhon chiad diog den deuchainn aig astar de dheich iarrtasan gach diog, chaidh an làrach sìos agus cha do fhreagair e.
Mura h-eil lorg ann?
Mura h-eil sgrùdadh ann, chan eil seo a’ ciallachadh nach eil raointean cur-a-steach so-leònte eile air an làrach. Dh’ fhaodadh gur e ùghdarras a th’ anns an raon seo. An-diugh, is toil le luchd-leasachaidh hashes iom-fhillte a dhèanamh gus an stòr-dàta logadh a-steach a dhìon bho ionnsaigh bòrd bogha-froise. Tha seo math, ach bidh hashes mar sin ag ithe tòrr ghoireasan CPU. Bidh sruthadh mòr de ùghdaran meallta a ’leantainn gu fàilligeadh pròiseasar, agus mar thoradh air an sin, stadaidh an làrach ag obair.
Tha làthaireachd air an làrach de gach seòrsa foirm airson beachdan agus fios air ais na adhbhar airson teacsaichean glè mhòr a chuir an sin no dìreach tuil mhòr a chruthachadh. Uaireannan bidh làraichean a' gabhail ri faidhlichean ceangailte, a' gabhail a-steach cruth gzip. Anns a 'chùis seo, bidh sinn a' gabhail faidhle 1TB, ga dhlùthadh gu grunn bytes no kilobytes a 'cleachdadh gzip agus ga chuir chun làrach. An uairsin tha e unzipped agus gheibhear buaidh gu math inntinneach.
Rest API
Bu mhath leam beagan aire a thoirt do sheirbheisean cho mòr-chòrdte ris an Rest API. Tha e tòrr nas duilghe API Rest a dhèanamh na làrach-lìn àbhaisteach. Chan eil eadhon dòighean dìon beag an aghaidh feachd brùideil facal-faire agus gnìomhachd mì-laghail eile ag obair airson an Rest API.
Tha an Rest API gu math furasta a bhriseadh leis gu bheil e a’ faighinn cothrom air an stòr-dàta gu dìreach. Aig an aon àm, tha fàilligeadh seirbheis mar seo a 'ciallachadh droch bhuaidh air gnìomhachas. Is e an fhìrinn gu bheil an Rest API mar as trice air a chleachdadh chan ann a-mhàin airson a ’phrìomh làrach-lìn, ach cuideachd airson an tagradh gluasadach agus cuid de ghoireasan gnìomhachais a-staigh. Agus ma thuiteas seo uile, bidh a ’bhuaidh tòrr nas làidire na ann an cùis fàilligeadh làrach-lìn sìmplidh.
A 'luchdachadh susbaint trom
Ma thèid a thabhann dhuinn deuchainn a dhèanamh air cuid de thagradh àbhaisteach aon-dhuilleag, duilleag tighinn air tìr, no làrach-lìn cairt gnìomhachais aig nach eil comas-gnìomh iom-fhillte, bidh sinn a’ coimhead airson susbaint trom. Mar eisimpleir, ìomhaighean mòra a chuireas an frithealaiche, faidhlichean binary, sgrìobhainnean pdf - bidh sinn a ’feuchainn ri seo a luchdachadh sìos. Bidh deuchainnean mar seo a’ luchdachadh an t-siostam faidhle gu math agus a’ gleusadh seanalan, agus mar sin tha iad èifeachdach. Is e sin, eadhon ged nach cuir thu sìos am frithealaiche, a ’luchdachadh sìos faidhle mòr aig astaran ìosal, bidh thu dìreach a’ gleusadh sianal an t-seirbheisiche targaid agus an uairsin thèid seirbheis a dhiùltadh.
Tha eisimpleir de dheuchainn mar seo a’ sealltainn gun do sguir an làrach aig astar 30 RPS a’ freagairt no gun tug e a-mach mearachdan frithealaiche 500th.
Na dìochuimhnich mu bhith a’ stèidheachadh frithealaichean. Gu tric gheibh thu a-mach gun do cheannaich neach inneal brìgheil, chuir e Apache a-steach an sin, shuidhich e a h-uile càil gu bunaiteach, chuir e a-steach tagradh PHP, agus gu h-ìosal chì thu an toradh.
An seo chaidh an luchd gu freumh agus cha robh ann ach 10 RPS. Dh'fheitheamh sinn 5 mionaidean agus thuit am frithealaiche. Tha e fìor nach eil fios gu tur carson a thuit e, ach tha beachd ann gu robh cus cuimhne aige agus mar sin stad e a 'freagairt.
Stèidhichte air tonn
Anns a 'bhliadhna no dhà mu dheireadh, tha ionnsaighean tonn air fàs gu math tarraingeach. Tha seo air sgàth gu bheil mòran bhuidhnean a’ ceannach pìosan bathar-cruaidh sònraichte airson dìon DDoS, a dh’ fheumas beagan ùine airson staitistig a chruinneachadh gus tòiseachadh air an ionnsaigh a shìoladh. Is e sin, chan eil iad a 'sìoladh an ionnsaigh anns a' chiad 30-40 diogan, oir bidh iad a 'cruinneachadh dàta agus ag ionnsachadh. Mar sin, anns na 30-40 diogan seo faodaidh tu uimhir a chuir air bhog air an làrach gum bi an goireas na laighe airson ùine mhòr gus am bi a h-uile iarrtas air a ghlanadh.
Ann an cùis an ionnsaigh gu h-ìosal, bha eadar-ama de 10 mionaidean ann, às deidh sin thàinig pàirt ùr, atharraichte den ionnsaigh.
Is e sin, dh'ionnsaich an dìon, thòisich iad a 'sìoladh, ach thàinig earrann ùr, gu tur eadar-dhealaichte den ionnsaigh, agus thòisich an dìon ag ionnsachadh a-rithist. Gu dearbh, bidh sìoladh a ’stad ag obair, bidh dìon a’ fàs neo-èifeachdach, agus chan eil an làrach ri fhaighinn.
Tha ionnsaighean tonn air an comharrachadh le luachan fìor àrd aig an ìre as àirde, faodaidh e ruighinn ceud mìle no millean iarrtas gach diog, ann an cùis L7. Ma bhruidhneas sinn mu L3&4, faodaidh na ceudan gigabits de thrafaig a bhith ann, no, a rèir sin, ceudan de mpps, ma tha thu a’ cunntadh ann am pacaidean.
Is e an duilgheadas le ionnsaighean mar sin sioncronadh. Tha na h-ionnsaighean a 'tighinn bho botnet agus feumar ìre àrd de shioncronachadh gus spìc aon-ùine fìor mhòr a chruthachadh. Agus chan eil an co-òrdanachadh seo an-còmhnaidh ag obair a-mach: uaireannan tha an toradh mar sheòrsa de stùc parabolic, a tha a ’coimhead caran foighidneach.
Chan e HTTP a-mhàin
A bharrachd air HTTP aig L7, is toil leinn brath a ghabhail air protocolaidhean eile. Mar riaghailt, tha protocolaidhean puist agus MySQL a’ cumail a-mach air làrach-lìn cunbhalach, gu sònraichte aoigheachd cunbhalach. Tha nas lugha de luchd aig protocolaidhean puist na stòran-dàta, ach faodaidh iad cuideachd a bhith air an luchdachadh gu h-èifeachdach agus a’ tighinn gu crìch le cus CPU air an fhrithealaiche.
Bha sinn gu math soirbheachail a’ cleachdadh so-leòntachd 2016 SSH. A-nis tha an so-leòntachd seo air a shuidheachadh airson cha mhòr a h-uile duine, ach chan eil seo a’ ciallachadh nach urrainnear luchd a chuir a-steach gu SSH. Faodaidh. Tha dìreach tòrr ùghdaran ann, bidh SSH ag ithe suas cha mhòr an CPU gu lèir air an fhrithealaiche, agus an uairsin bidh an làrach-lìn a’ tuiteam bho aon iarrtas no dhà san diog. Mar sin, chan urrainnear an aon iarrtas no dhà seo a tha stèidhichte air na logaichean a chomharrachadh bho luchd dligheach.
Tha mòran cheanglaichean a dh’fhosglas sinn ann an frithealaichean fhathast buntainneach. Roimhe sin, bha Apache ciontach de seo, a-nis tha nginx ciontach de seo, leis gu bheil e gu tric air a rèiteachadh gu bunaiteach. Tha an àireamh de cheanglaichean a dh'fhaodas nginx a chumail fosgailte cuingealaichte, agus mar sin bidh sinn a 'fosgladh an àireamh seo de cheanglaichean, chan eil nginx a' gabhail ri ceangal ùr tuilleadh, agus mar thoradh air sin chan eil an làrach ag obair.
Tha CPU gu leòr aig a’ bhuidheann deuchainn againn gus ionnsaigh a thoirt air crathadh làimhe SSL. Ann am prionnsabal, mar a tha cleachdadh a 'sealltainn, uaireannan is toil le botnets seo a dhèanamh cuideachd. Air an aon làimh, tha e soilleir nach urrainn dhut a dhèanamh às aonais SSL, oir tha toraidhean Google, rangachadh, tèarainteachd. Air an làimh eile, gu mì-fhortanach tha cùis CPU aig SSL.
L3&4
Nuair a bhios sinn a 'bruidhinn mu ionnsaigh aig ìrean L3 & 4, mar as trice bidh sinn a' bruidhinn mu ionnsaigh aig ìre ceangail. Tha an leithid de eallach cha mhòr an-còmhnaidh eadar-dhealaichte bho neach dligheach, mura h-e ionnsaigh tuil SYN a th’ ann. Is e an duilgheadas le ionnsaighean tuil SYN airson innealan tèarainteachd an àireamh mhòr aca. B' e 3-4 Tbit/s an luach ab 'àirde de roinn L1,5. Tha an seòrsa trafaic seo gu math duilich a phròiseasadh eadhon dha companaidhean mòra, nam measg Oracle agus Google.
Tha SYN agus SYN-ACK nam pacaidean a thathas a’ cleachdadh nuair a thathar a’ stèidheachadh ceangal. Mar sin, tha e duilich eadar-dhealachadh a dhèanamh air tuil SYN bho luchd dligheach: chan eil e soilleir an e seo SYN a thàinig gu bhith a’ stèidheachadh ceangal, no pàirt de thuil.
UDP-tuiltean
Mar as trice, chan eil na comasan a th’ aig luchd-ionnsaigh, agus mar sin faodar leudachadh a chleachdadh gus ionnsaighean a chuir air dòigh. Is e sin, bidh an neach-ionnsaigh a’ sganadh an eadar-lìn agus a’ lorg an dàrna cuid frithealaichean so-leònte no air an rèiteachadh gu ceàrr a bhios, mar eisimpleir, mar fhreagairt air aon phasgan SYN, a’ freagairt le trì SYN-ACKs. Le bhith a ’spùtadh an t-seòladh stòr bho sheòladh an t-seirbheisiche targaid, tha e comasach an cumhachd àrdachadh le, can, trì tursan le aon phacaid agus trafaic ath-stiùireadh chun neach-fulang.
Is e an duilgheadas le leudachaidhean gu bheil iad duilich an lorg. Tha eisimpleirean o chionn ghoirid a’ toirt a-steach cùis faireachail nan memcached so-leònte. A bharrachd air an sin, a-nis tha tòrr innealan IoT ann, camarathan IP, a tha sa mhòr-chuid air an rèiteachadh gu bunaiteach, agus gu bunaiteach tha iad air an rèiteachadh gu ceàrr, agus is e sin as coireach gu bheil luchd-ionnsaigh mar as trice a ’toirt ionnsaighean tro innealan mar sin.
SYN-tuil duilich
Is dòcha gur e SYN-tuiltean an seòrsa ionnsaigh as inntinniche bho shealladh leasaiche. Is e an duilgheadas a th’ ann gu bheil luchd-rianachd an t-siostaim gu tric a’ cleachdadh bacadh IP airson dìon. A bharrachd air an sin, tha bacadh IP a 'toirt buaidh chan ann a-mhàin air luchd-rianachd shiostaman a bhios a' cleachdadh sgriobtaichean, ach cuideachd, gu mì-fhortanach, cuid de shiostaman tèarainteachd a thèid a cheannach airson tòrr airgid.
Faodaidh an dòigh seo tionndadh gu bhith na thubaist, oir ma chuireas luchd-ionnsaigh an àite seòlaidhean IP, cuiridh a’ chompanaidh bacadh air a subnet fhèin. Nuair a bhios am Balla-teine a’ bacadh a bhuidheann fhèin, fàilligidh an toradh eadar-obrachadh bhon taobh a-muigh agus fàilligidh an goireas.
A bharrachd air an sin, chan eil e duilich an lìonra agad fhèin a bhacadh. Ma tha lìonra Wi-Fi aig oifis an neach-dèiligidh, no ma tha coileanadh ghoireasan air a thomhas a’ cleachdadh diofar shiostaman sgrùdaidh, an uairsin gabhaidh sinn seòladh IP an t-siostam sgrùdaidh seo no Wi-Fi oifis an neach-dèiligidh agus cleachdaidh sinn e mar stòr. Aig an deireadh, tha coltas gu bheil an goireas ri fhaighinn, ach tha na seòlaidhean IP targaid air am bacadh. Mar sin, dh’ fhaodadh gun tèid lìonra Wi-Fi co-labhairt HighLoad, far a bheilear a’ taisbeanadh toradh ùr a’ chompanaidh, a bhacadh, agus tha seo a’ ciallachadh cuid de chosgaisean gnìomhachais is eaconamach.
Rè deuchainn, chan urrainn dhuinn leudachadh a chleachdadh tro memcached le goireasan taobh a-muigh sam bith, oir tha aontaidhean ann airson trafaic a chuir a-mhàin gu seòlaidhean IP ceadaichte. Mar sin, bidh sinn a 'cleachdadh leudachadh tro SYN agus SYN-ACK, nuair a tha an siostam a' freagairt ri bhith a 'cur aon SYN le dhà no trì SYN-ACKs, agus aig an toradh tha an ionnsaigh air iomadachadh le dhà no trì thursan.
Innealan
Is e aon de na prìomh innealan a bhios sinn a’ cleachdadh airson eallach obrach L7 Yandex-tanca. Gu sònraichte, tha phantom air a chleachdadh mar ghunna, agus tha grunn sgriobtaichean ann airson cartrids a ghineadh agus airson mion-sgrùdadh a dhèanamh air na toraidhean.
Tha Tcpdump air a chleachdadh gus trafaic lìonra a sgrùdadh, agus tha Nmap air a chleachdadh gus an frithealaiche a sgrùdadh. Gus an luchd a chruthachadh aig ìre L3&4, thathas a’ cleachdadh OpenSSL agus beagan den draoidheachd againn fhèin leis an leabharlann DPDK. Tha DPDK na leabharlann bho Intel a leigeas leat obrachadh leis an eadar-aghaidh lìonra a ’dol seachad air stac Linux, agus mar sin a’ meudachadh èifeachdas. Gu nàdarra, bidh sinn a 'cleachdadh DPDK chan ann a-mhàin aig ìre L3 & 4, ach cuideachd aig ìre L7, oir tha e a' toirt cothrom dhuinn sruth luchdan fìor àrd a chruthachadh, taobh a-staigh raon grunn mhillean iarrtas gach diog bho aon inneal.
Bidh sinn cuideachd a’ cleachdadh gineadairean trafaic sònraichte agus innealan sònraichte a bhios sinn a’ sgrìobhadh airson deuchainnean sònraichte. Ma chuimhnicheas sinn an so-leòntachd fo SSH, cha ghabh brath a ghabhail air an t-seata gu h-àrd. Ma bheir sinn ionnsaigh air protocol a’ phuist, bidh sinn a’ gabhail goireasan puist no dìreach a’ sgrìobhadh sgriobtaichean orra.
toraidhean
Mar cho-dhùnadh bu mhath leam a ràdh:
- A bharrachd air deuchainn luchdan clasaigeach, feumar deuchainn cuideam a dhèanamh. Tha fìor eisimpleir againn far nach do rinn fo-chùmhnantaiche com-pàirtiche ach deuchainn luchdan. Sheall e gum faod an goireas seasamh ris an luchd àbhaisteach. Ach an uairsin nochd eallach neo-àbhaisteach, thòisich luchd-tadhail làraich air an goireas a chleachdadh beagan eadar-dhealaichte, agus mar thoradh air an sin laigh am fo-chunnradair sìos. Mar sin, is fhiach coimhead airson so-leòntachd eadhon ged a tha thu mu thràth air do dhìon bho ionnsaighean DDoS.
- Tha e riatanach cuid de phàirtean den t-siostam a sgaradh bho chuid eile. Ma tha rannsachadh agad, feumaidh tu a ghluasad gu innealan fa leth, is e sin, chan ann eadhon gu Docker. Oir ma dh’ fhailicheas sgrùdadh no cead, co-dhiù leanaidh rudeigin ag obair. A thaobh stòr air-loidhne, cumaidh luchd-cleachdaidh orra a’ lorg thoraidhean sa chatalog, a’ falbh bhon neach-cruinneachaidh, a’ ceannach ma tha iad ùghdarraichte mu thràth, no a’ ceadachadh tro OAuth2.
- Na cuir às do gach seòrsa seirbheis sgòthan.
- Cleachd CDN chan ann a-mhàin gus dàil lìonra a bharrachadh, ach cuideachd mar dhòigh dìon an aghaidh ionnsaighean air sgìths seanail agus dìreach tuiltean a-steach do thrafaig statach.
- Tha e riatanach seirbheisean dìon sònraichte a chleachdadh. Chan urrainn dhut thu fhèin a dhìon bho ionnsaighean L3&4 aig ìre an t-seanail, oir tha e coltach nach eil seanal gu leòr agad. Tha thu cuideachd eu-coltach ri sabaid an aghaidh ionnsaighean L7, oir faodaidh iad a bhith glè mhòr. A bharrachd air an sin, tha rannsachadh airson ionnsaighean beaga fhathast na roghainn de sheirbheisean sònraichte, algorithms sònraichte.
- Ùraich gu cunbhalach. Tha seo a’ buntainn chan ann a-mhàin ris an kernel, ach cuideachd ris an deamhan SSH, gu sònraichte ma tha iad fosgailte don taobh a-muigh. Ann am prionnsabal, feumar a h-uile càil ùrachadh, oir chan eil e coltach gum bi e comasach dhut cuid de chugallachd a lorg leat fhèin.
Source: www.habr.com