ProHoster > Blog > Rianachd > Na fosgail puirt don t-saoghal - bidh thu briste (cunnartan)

Na fosgail puirt don t-saoghal - bidh thu briste (cunnartan)

Na fosgail puirt don t-saoghal - bidh thu briste (cunnartan)

Uair is uair a-rithist, às deidh dhomh sgrùdadh a dhèanamh, mar fhreagairt do na molaidhean agam gus na puirt fhalach air cùl liosta geal, tha balla mì-thuigse air mo choinneachadh. Bidh eadhon luchd-rianachd / DevOps gu math fionnar a’ faighneachd: “Carson?!?”

Tha mi a’ moladh beachdachadh air cunnartan ann an òrdugh teàrnaidh a thaobh coltas tachairt agus milleadh.

  1. Mearachd rèiteachaidh
  2. DDoS thairis air IP
  3. Feachd brùideil
  4. So-leòntachd seirbheis
  5. So-leòntachd stac kernel
  6. Meudachadh air ionnsaighean DDoS

Mearachd rèiteachaidh

An suidheachadh as cumanta agus cunnartach. Ciamar a tha e a’ tachairt. Feumaidh an leasaiche am beachd-bharail a dhearbhadh gu sgiobalta; bidh e a’ stèidheachadh frithealaiche sealach le mysql/redis/mongodb/elastic. Tha am facal-faire, gu dearbh, iom-fhillte, bidh e ga chleachdadh anns a h-uile àite. Bidh e a’ fosgladh na seirbheis don t-saoghal - tha e goireasach dha ceangal a dhèanamh bhon PC aige às aonais na VPNan sin agadsa. Agus tha mi ro leisg cuimhneachadh air co-chòrdadh iptables; tha am frithealaiche sealach co-dhiù. Latha no dhà eile de leasachadh - thionndaidh e a-mach sgoinneil, is urrainn dhuinn a shealltainn don neach-ceannach. Is toil leis an neach-ceannach e, chan eil ùine ann airson ath-dhèanamh, bidh sinn ga chuir air bhog gu PROD!

Eisimpleir air a chuir ris a dh’aona ghnothach gus a dhol tron ​​ràcan gu lèir:

  1. Chan eil dad nas maireannach na sealach - cha toil leam an abairt seo, ach a rèir faireachdainnean cuspaireil, bidh 20-40% de na frithealaichean sealach sin a’ fuireach airson ùine mhòr.
  2. Tha facal-faire uile-choitcheann iom-fhillte a tha air a chleachdadh ann an iomadh seirbheis olc. Leis gum faodadh aon de na seirbheisean far an deach am facal-faire seo a chleachdadh a bhith air a sheacadh. Aon dòigh no dòigh eile, bidh na stòran-dàta de sheirbheisean briste a’ tighinn a-steach do aon, a thathas a’ cleachdadh airson [feachd brùideil] *.
    Is fhiach a chuir ris, às deidh an stàladh, gu bheil redis, mongodb agus elastagach rim faighinn sa chumantas gun dearbhadh, agus gu tric bidh iad air an ath-lìonadh cruinneachadh de stòran-dàta fosgailte.
  3. Is dòcha gu bheil e coltach nach dèan duine sganadh air a’ phort 3306 agad ann an latha no dhà. Is e mealladh a th’ ann! Tha Masscan na sganair sàr-mhath agus is urrainn dha sganadh aig puirt 10M gach diog. Agus chan eil ach 4 billean IPv4 air an eadar-lìon. Mar sin, tha a h-uile port 3306 air an eadar-lìn suidhichte ann an 7 mionaidean. Teàrlach!!! Seachd mionaidean!
    “Cò a tha feumach air seo?” - tha thu a 'cur an aghaidh. Mar sin tha e na iongnadh dhomh nuair a choimheadas mi air staitistig pacaidean air tuiteam. Cò às a tha 40 mìle oidhirp scan bho 3 mìle IP sònraichte a’ tighinn gach latha? A-nis tha a h-uile duine a’ sganadh, bho luchd-tarraing mama gu riaghaltasan. Tha e gu math furasta sgrùdadh a dhèanamh - gabh VPS sam bith airson $ 3-5 bho chompanaidh-adhair ** aig prìs ìosal, leig le bhith a’ logadh a-steach pasganan a tha air tuiteam agus thoir sùil air a’ log ann an latha.

A 'comasachadh logadh

Ann an /etc/iptables/rules.v4 cuir ris an deireadh:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Agus ann an /etc/rsyslog.d/10-iptables.conf
:msg, tha, "[FW - " /var/log/iptables.log
& stad

DDoS thairis air IP

Ma tha eòlas aig neach-ionnsaigh air an IP agad, faodaidh e do fhrithealaiche a thoirt thairis airson grunn uairean a thìde no làithean. Chan eil dìon DDoS aig a h-uile solaraiche aoigheachd cosgais ìseal agus bidh an frithealaiche agad dìreach air a dhì-cheangal bhon lìonra. Ma dh’fhalaich thu an t-seirbheisiche agad air cùl CDN, na dìochuimhnich an IP atharrachadh, air neo nì neach-tarraing google e agus DDoS do fhrithealaiche a’ dol seachad air an CDN (mearachd mòr-chòrdte).

So-leòntachd seirbheis

Bidh a h-uile bathar-bog mòr-chòrdte luath no mall a’ lorg mhearachdan, eadhon an fheadhainn as deuchainniche agus as deatamaiche. Am measg eòlaichean IB, tha leth-fealla-dhà - faodar tèarainteachd a’ bhun-structair a mheasadh gu sàbhailte ro àm an ùrachaidh mu dheireadh. Ma tha do bhun-structar làn de phuirt a’ cumail a-mach don t-saoghal, agus nach eil thu air ùrachadh airson bliadhna, innsidh eòlaiche tèarainteachd sam bith dhut gun a bhith a’ coimhead gu bheil thu ag aoidionach, agus is dòcha gu bheil thu air do sheacadh mu thràth.
Is fhiach a ràdh cuideachd nach robh fios aig a h-uile so-leòntachd aithnichte. Smaoinich air neach-tarraing a lorg a leithid de so-leòntachd agus a rinn sganadh air an eadar-lìn gu lèir ann an 7 mionaidean airson a bhith an làthair... Seo galar bhìoras ùr) Feumaidh sinn ùrachadh, ach faodaidh seo cron a dhèanamh air an toradh, tha thu ag ràdh. Agus bidh thu ceart mura h-eil na pacaidean air an stàladh bho stòran oifigeil an OS. Bho eòlas, is ann ainneamh a bhios ùrachaidhean bhon stòr oifigeil a ’briseadh an toraidh.

Feachd brùideil

Mar a chaidh a mhìneachadh gu h-àrd, tha stòr-dàta ann le leth billean facal-faire a tha furasta a sheòrsachadh bhon mheur-chlàr. Ann am faclan eile, mura do ghineadh tu facal-faire, ach gun do sgrìobh thu samhlaidhean faisg air làimh air a’ mheur-chlàr, bi cinnteach * gun cuir iad troimh-chèile thu.

So-leòntachd stac kernel.

Bidh e cuideachd a’ tachairt **** nach eil e gu diofar dè an t-seirbheis a dh’fhosglas a’ phort, nuair a tha stac an lìonra kernel fhèin so-leònte. Is e sin, gu dearbh tha socaid tcp/udp sam bith air siostam dà bhliadhna a dh’ aois buailteach do chugallachd a’ leantainn gu DDoS.

Meudachadh air ionnsaighean DDoS

Cha dèan e milleadh dìreach sam bith, ach faodaidh e do sheanal a shlaodadh, an luchd air an t-siostam àrdachadh, thig an IP agad gu crìch air liosta dhubh *****, agus gheibh thu droch dhìol bhon neach-aoigheachd.

A bheil feum agad air na cunnartan sin gu lèir? Cuir do IP dachaigh is obrach ris an liosta gheal. Fiù ma tha e fiùghantach, log a-steach tro phannal rianachd an òstair, tron ​​​​chonsól lìn, agus dìreach cuir fear eile ris.

Tha mi air a bhith a’ togail agus a’ dìon bun-structair IT airson 15 bliadhna. Tha mi air riaghailt a leasachadh a tha mi a’ moladh gu làidir don h-uile duine - cha bu chòir port sam bith cumail a-mach dhan t-saoghal gun liosta geal.

Mar eisimpleir, is e am frithealaiche lìn as tèarainte *** am fear a tha a’ fosgladh 80 agus 443 a-mhàin airson CDN / WAF. Agus bu chòir puirt seirbheis (ssh, netdata, bacula, phpmyadmin) a bhith co-dhiù air cùl an liosta gheal, agus eadhon nas fheàrr air cùl an VPN. Rud eile, tha cunnart ann gum bi thu ann an cunnart.

Sin a h-uile rud a bha mi airson a ràdh. Cùm do phuirt dùinte!

  • (1) UPD 1: tha e faodaidh tu am facal-faire fionnar uile-choitcheann agad a sgrùdadh (na dèan seo gun a bhith cuir fear air thuaiream an àite am facal-faire seo anns a h-uile seirbheis), co-dhiù an do nochd e san stòr-dàta aonaichte. Agus an seo chì thu cia mheud seirbheis a chaidh a sheacadh, far an deach am post-d agad a thoirt a-steach, agus, a rèir sin, faigh a-mach a bheil am facal-faire fionnar uile-choitcheann agad air a chuir an cunnart.
  • (2) Airson creideas Amazon, chan eil ach glè bheag de sganaidhean aig LightSail. A rèir choltais bidh iad ga shìoladh dòigh air choireigin.
  • (3) Is e frithealaiche lìn eadhon nas tèarainte am fear air cùl balla-teine ​​​​sònraichte, an WAF aige fhèin, ach tha sinn a’ bruidhinn mu dheidhinn VPS poblach / Tiomnaichte.
  • (4) Segmentsmak.
  • (5) Firehol.

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

Am bi na puirt agad a’ cumail a-mach?

  • An-còmhnaidh

  • Uaireannan

  • Na bi a-riamh

  • Chan eil fhios 'am, fuck

Bhòt 54 neach-cleachdaidh. Sheall 6 neach-cleachdaidh.

Source: www.habr.com

Cuir beachd ann