Variti yana haɓaka kariya daga bots da hare-haren DDoS, kuma yana gudanar da gwaji da damuwa. A taron HighLoad ++ 2018 mun yi magana game da yadda za a kare albarkatun daga nau'ikan hare-hare daban-daban. A takaice: ware sassan tsarin, yi amfani da sabis na girgije da CDNs, da sabuntawa akai-akai. Amma har yanzu ba za ku iya kula da kariya ba tare da kamfanoni na musamman :)
Kafin ka karanta rubutun, zaka iya karanta gajerun bayanan .
Kuma idan ba ku son karantawa ko kawai kuna son kallon bidiyon, rikodin rahotonmu yana ƙasa ƙarƙashin ɓarna.
Rikodin bidiyo na rahoton
Kamfanoni da yawa sun riga sun san yadda ake yin gwajin lodi, amma ba duka suna yin gwajin damuwa ba. Wasu abokan cinikinmu suna tunanin cewa rukunin yanar gizon su ba shi da rauni saboda suna da tsarin ɗaukar kaya, kuma yana ba da kariya sosai daga hare-hare. Mun nuna cewa wannan ba gaskiya bane.
Tabbas, kafin gudanar da gwaje-gwaje, muna samun izini daga abokin ciniki, sanya hannu da hatimi, kuma tare da taimakonmu ba za a iya kai harin DDoS akan kowa ba. Ana gudanar da gwaji a lokacin da abokin ciniki ya zaɓa, lokacin da zirga-zirga zuwa albarkatunsa ba su da yawa, kuma matsalolin samun damar ba za su shafi abokan ciniki ba. Bugu da ƙari, tun da wani abu na iya faruwa koyaushe a lokacin gwajin gwaji, muna da lamba tare da abokin ciniki akai-akai. Wannan yana ba ku damar ba da rahoton sakamakon da aka samu kawai, amma har ma don canza wani abu yayin gwaji. Bayan kammala gwaji, koyaushe muna fitar da rahoto inda muke nuna gazawar da aka gano tare da ba da shawarwari don kawar da raunin rukunin yanar gizon.
Yadda muke aiki
Lokacin gwaji, muna yin koyi da botnet. Tun da muna aiki tare da abokan ciniki waɗanda ba sa cikin hanyoyin sadarwar mu, don tabbatar da cewa gwajin ba ya ƙare a cikin minti na farko saboda iyaka ko kariya da ake jawowa, muna ba da kaya ba daga IP ɗaya ba, amma daga namu subnet. Ƙari ga haka, don ƙirƙirar kaya mai mahimmanci, muna da sabar gwaji mai ƙarfi ta mu.
Postlates
Yawa mai yawa baya nufin mai kyau
Ƙananan nauyin da za mu iya kawo albarkatu zuwa gazawar, mafi kyau. Idan za ku iya sanya rukunin yanar gizon ya daina aiki akan buƙatu ɗaya a sakan daya, ko ma buƙatu ɗaya a cikin minti ɗaya, yana da kyau. Domin bisa ga ka'idar rashin hankali, masu amfani ko masu kai hari za su fada cikin wannan rashin lafiyar da gangan.
Rashin gazawar juzu'i ya fi cikakkiyar gazawa
Kullum muna ba da shawarar yin tsarin iri-iri. Bugu da ƙari, yana da daraja a raba su a matakin jiki, kuma ba kawai ta hanyar kwantena ba. A cikin yanayin rabuwar jiki, ko da wani abu ya kasa a kan shafin, akwai babban yiwuwar cewa ba zai daina aiki gaba daya ba, kuma masu amfani za su ci gaba da samun damar yin amfani da akalla wani ɓangare na aikin.
Kyakkyawan gine-gine shine tushen dorewa
Haƙurin kuskuren albarkatun da ikonsa na jure wa hare-hare da lodi ya kamata a ɗora su a matakin ƙira, a zahiri, a matakin zana zane-zane na farko a cikin littafin rubutu. Domin idan kurakurai masu kisa suka shiga, za a iya gyara su nan gaba, amma yana da wahala.
Ba wai kawai lambar ya kamata ta kasance mai kyau ba, har ma da daidaitawa
Mutane da yawa suna tunanin cewa ƙungiyar ci gaba mai kyau ita ce garantin sabis na haƙuri. Ƙungiya mai kyau na ci gaba yana da mahimmanci, amma dole ne a sami ayyuka masu kyau, DevOps masu kyau. Wato, muna buƙatar ƙwararrun ƙwararrun waɗanda za su daidaita Linux da hanyar sadarwa daidai, rubuta saiti daidai a cikin nginx, saita iyaka, da sauransu. In ba haka ba, albarkatun za su yi aiki da kyau kawai a gwaji, kuma a wani lokaci duk abin da zai karya a cikin samarwa.
Bambance-bambance tsakanin lodi da gwajin damuwa
Gwajin kaya yana ba ku damar gano iyakokin aiki na tsarin. Gwajin damuwa yana nufin gano rauni a cikin tsarin kuma ana amfani dashi don karya wannan tsarin kuma a ga yadda zai kasance a cikin tsarin gazawar wasu sassa. A wannan yanayin, yanayin nauyin yawanci ya kasance ba a sani ba ga abokin ciniki kafin gwajin damuwa ya fara.
Musamman fasali na harin L7
Mu yawanci muna rarraba nau'ikan kaya zuwa kaya a matakan L7 da L3&4. L7 kaya ne a matakin aikace-aikacen, galibi yana nufin HTTP kawai, amma muna nufin kowane kaya a matakin yarjejeniya na TCP.
Hare-haren L7 suna da wasu siffofi na musamman. Da fari dai, suna zuwa kai tsaye zuwa aikace-aikacen, wato, da wuya a nuna su ta hanyar hanyar sadarwa. Irin waɗannan hare-haren suna amfani da dabaru, kuma saboda wannan, suna cinye CPU, ƙwaƙwalwar ajiya, faifai, bayanai da sauran albarkatu cikin inganci kuma tare da ɗan zirga-zirga.
HTTP Ambaliyar
A cikin yanayin kowane hari, nauyin ya fi sauƙi don ƙirƙirar fiye da rikewa, kuma a cikin yanayin L7 wannan ma gaskiya ne. Ba koyaushe ba ne mai sauƙi don rarrabe zirga-zirgar kai hari da zirga-zirgar halal, kuma galibi ana iya yin hakan ta mita, amma idan an tsara komai daidai, to ba shi yiwuwa a fahimta daga rajistan ayyukan inda harin yake da kuma inda buƙatun halal suke.
A matsayin misali na farko, la'akari da harin Ambaliyar HTTP. Jadawalin ya nuna cewa irin waɗannan hare-haren yawanci suna da ƙarfi sosai; a cikin misalin da ke ƙasa, adadin buƙatun ya wuce dubu 600 a cikin minti ɗaya.
Ambaliyar HTTP ita ce hanya mafi sauƙi don ƙirƙirar kaya. Yawanci, yana ɗaukar wani nau'in kayan aikin gwajin lodi, kamar ApacheBench, kuma yana saita buƙatu da manufa. Tare da irin wannan hanya mai sauƙi, akwai yuwuwar shiga cikin caching uwar garken, amma yana da sauƙi a ketare shi. Misali, ƙara bazuwar kirtani zuwa buƙatun, wanda zai tilasta uwar garken yin hidimar sabon shafi koyaushe.
Har ila yau, kar a manta game da wakilin mai amfani a cikin tsarin samar da kaya. Yawancin wakilai masu amfani da shahararrun kayan aikin gwaji ana tace su ta hanyar masu gudanar da tsarin, kuma a wannan yanayin kayan ƙila kawai ba zai kai ga ƙarshen baya ba. Kuna iya inganta sakamako sosai ta hanyar shigar da wani abu mai inganci ko žasa daga mai binciken cikin buƙatun.
Duk da sauƙi kamar yadda harin Ambaliyar HTTP yake, suma suna da illa. Da fari dai, ana buƙatar babban adadin iko don ƙirƙirar kaya. Na biyu, irin wadannan hare-haren suna da matukar saukin ganowa, musamman idan sun fito daga adireshi daya. Sakamakon haka, nan da nan za a fara tace buƙatun ko dai ta masu gudanar da tsarin ko ma a matakin mai bayarwa.
Abin da za a bincika
Don rage yawan buƙatun daƙiƙa ɗaya ba tare da rasa inganci ba, kuna buƙatar nuna ɗan tunani kaɗan kuma bincika rukunin yanar gizon. Don haka, zaku iya lodawa ba kawai tashoshi ko uwar garken ba, har ma da sassa daban-daban na aikace-aikacen, misali, bayanan bayanai ko tsarin fayil. Hakanan zaka iya nemo wurare akan rukunin yanar gizon da ke yin manyan ƙididdiga: ƙididdiga, shafukan zaɓin samfur, da sauransu. A ƙarshe, yakan faru sau da yawa cewa rukunin yanar gizon yana da wasu nau'ikan rubutun PHP waɗanda ke haifar da shafi na layukan dubu ɗari da yawa. Irin wannan rubutun kuma yana ɗaukar nauyin uwar garke kuma yana iya zama makasudin kai hari.
Inda za a duba
Lokacin da muka bincika kayan aiki kafin gwaji, zamu fara duba, ba shakka, a rukunin yanar gizon da kansa. Muna neman kowane nau'in filayen shigarwa, fayiloli masu nauyi - gabaɗaya, duk abin da zai iya haifar da matsala ga albarkatun kuma rage aiki. Kayan aikin haɓaka Banal a cikin Google Chrome da Firefox suna taimakawa anan, suna nuna lokutan amsa shafi.
Muna kuma bincika subdomains. Misali, akwai wani kantin sayar da kan layi, abc.com, kuma yana da yankin yanki admin.abc.com. Mafi mahimmanci, wannan kwamiti ne mai kulawa tare da izini, amma idan kun sanya kaya akan shi, zai iya haifar da matsala ga babban albarkatun.
Shafin na iya samun reshen yanki api.abc.com. Mafi mahimmanci, wannan hanya ce ta aikace-aikacen hannu. Ana iya samun aikace-aikacen a cikin Store Store ko Google Play, shigar da wurin shiga na musamman, rarraba API da rajistar asusun gwaji. Matsalar ita ce sau da yawa mutane suna tunanin cewa duk wani abu da aka kiyaye shi ta hanyar izini ba shi da kariya daga hana harin sabis. Ana tsammanin, izini shine mafi kyawun CAPTCHA, amma ba haka bane. Yana da sauƙi don yin asusun gwaji na 10-20, amma ta hanyar ƙirƙirar su, muna samun damar yin amfani da hadaddun ayyuka marasa tsari.
A zahiri, muna kallon tarihi, a robots.txt da WebArchive, ViewDNS, kuma muna neman tsoffin nau'ikan albarkatun. Wani lokaci yakan faru cewa masu haɓakawa sun yi birgima, a ce, mail2.yandex.net, amma tsohuwar sigar, mail.yandex.net, ta kasance. Wannan mail.yandex.net baya tallafawa, ba a ware albarkatun ci gaba gare shi ba, amma yana ci gaba da cinye bayanan. Dangane da haka, ta amfani da tsohuwar sigar, zaku iya amfani da ingantaccen kayan aikin baya da duk abin da ke bayan shimfidar wuri. Tabbas, wannan ba koyaushe yana faruwa ba, amma har yanzu muna fuskantar wannan sau da yawa.
A zahiri, muna nazarin duk sigogin buƙatun da tsarin kuki. Kuna iya, a ce, zubar da ƙima a cikin tsararrun JSON a cikin kuki, ƙirƙirar gida mai yawa kuma sanya albarkatun suyi aiki na dogon lokaci mara ma'ana.
Bincika kaya
Abu na farko da ya fara zuwa a zuciya yayin binciken gidan yanar gizo shine a loda ma'ajin bayanai, tunda kusan kowa yana da bincike, kuma kusan kowa, abin takaici, ba shi da kariya. Don wasu dalilai, masu haɓakawa ba sa kula da bincike sosai. Amma akwai shawarwari guda ɗaya a nan - bai kamata ku yi buƙatun nau'in iri ɗaya ba, saboda kuna iya fuskantar caching, kamar yadda lamarin ya faru da ambaliyar HTTP.
Yin tambayoyin bazuwar zuwa rumbun adana bayanai kuma ba koyaushe yake tasiri ba. Yana da kyau a ƙirƙira jerin kalmomin da suka dace da binciken. Idan muka koma misalin kantin sayar da kan layi: bari mu ce shafin yana sayar da tayoyin mota kuma yana ba ku damar saita radius na taya, nau'in mota da sauran sigogi. Saboda haka, haɗakar kalmomin da suka dace zasu tilasta ma'ajin bayanai suyi aiki a cikin yanayi masu rikitarwa da yawa.
Bugu da ƙari, yana da daraja amfani da pagination: yana da wuyar bincike don dawo da shafin yanar gizon sakamakon binciken fiye da na farko. Wato, tare da taimakon pagination za ku iya ɗan bambanta nauyin.
Misalin da ke ƙasa yana nuna nauyin bincike. Ana iya ganin cewa tun daga dakika daya na farko na jarabawar a gudun bukatu goma a cikin dakika guda, shafin ya sauka bai amsa ba.
Idan babu bincike?
Idan babu bincike, wannan baya nufin cewa rukunin yanar gizon bai ƙunshi wasu filayen shigarwa masu rauni ba. Wannan filin yana iya zama izini. A zamanin yau, masu haɓakawa suna son yin hadadden hashes don kare bayanan shiga daga harin tebur na bakan gizo. Wannan yana da kyau, amma irin waɗannan hashes suna cinye albarkatun CPU da yawa. Babban kwararar izini na ƙarya yana haifar da gazawar sarrafawa, kuma a sakamakon haka, rukunin yanar gizon yana daina aiki.
Kasancewar kowane nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i nau'i) don yin sharhi da kuma mayar da hankali shine dalili na aika manyan rubutu a can ko kuma kawai haifar da ambaliyar ruwa mai yawa. Wani lokaci shafuka suna karɓar fayilolin da aka haɗe, gami da tsarin gzip. A wannan yanayin, muna ɗaukar fayil ɗin 1TB, mu matsa shi zuwa bytes ko kilobytes da yawa ta amfani da gzip kuma aika shi zuwa rukunin yanar gizon. Sa'an nan kuma an cire shi kuma an sami sakamako mai ban sha'awa.
Sauran API
Ina so in mai da hankali kaɗan ga irin waɗannan shahararrun ayyuka kamar Rest API. Amintar da sauran API ɗin ya fi wahala fiye da gidan yanar gizo na yau da kullun. Ko da ƙananan hanyoyin kariya daga ƙarfin kalmar sirri da sauran ayyukan da ba su halatta ba ba sa aiki ga Rest API.
Sauran API ɗin yana da sauƙin karya saboda yana shiga rumbun adana bayanai kai tsaye. A lokaci guda, gazawar irin wannan sabis ɗin yana haifar da sakamako mai tsanani ga kasuwanci. Gaskiyar ita ce, ana amfani da sauran API ɗin ba kawai don babban gidan yanar gizon ba, har ma don aikace-aikacen hannu da wasu albarkatun kasuwanci na ciki. Kuma idan duk wannan ya faɗi, to, tasirin yana da ƙarfi fiye da yanayin rashin nasarar gidan yanar gizon mai sauƙi.
Ana loda abun ciki mai nauyi
Idan an ba mu don gwada wasu aikace-aikacen shafi guda na yau da kullun, shafin saukarwa, ko gidan yanar gizon katin kasuwanci waɗanda ba su da hadaddun ayyuka, muna neman abun ciki mai nauyi. Misali, manyan hotuna da uwar garken ke aikawa, fayilolin binary, takaddun pdf - muna ƙoƙarin zazzage duk waɗannan. Irin waɗannan gwaje-gwajen suna ɗaukar tsarin fayil ɗin da kyau kuma suna toshe tashoshi, sabili da haka suna da tasiri. Wato, ko da ba ka sanya uwar garken ba, zazzage babban fayil a ƙananan gudu, za ka kawai toshe tashar uwar garken manufa sannan kuma an hana sabis.
Misali na irin wannan gwajin ya nuna cewa a cikin gudun 30 RPS shafin ya daina amsawa ko samar da kurakuran uwar garken 500th.
Kar a manta game da kafa sabobin. Sau da yawa za ku iya gano cewa mutum ya sayi injin kama-da-wane, ya shigar da Apache a wurin, ya daidaita komai ta tsohuwa, ya shigar da aikace-aikacen PHP, kuma a ƙasa zaku iya ganin sakamakon.
Anan kaya ya tafi tushen kuma ya kai 10 RPS kawai. Mun jira mintuna 5 kuma uwar garken ta fadi. Gaskiya ne cewa ba a san dalilin da ya sa ya fadi ba, amma akwai tunanin cewa kawai yana da yawan ƙwaƙwalwar ajiya don haka ya daina mayar da martani.
Tushen igiyar ruwa
A cikin shekara ta ƙarshe ko biyu, hare-haren igiyar ruwa sun zama sananne sosai. Wannan ya faru ne saboda gaskiyar cewa ƙungiyoyi da yawa suna siyan wasu kayan aikin don kariya ta DDoS, waɗanda ke buƙatar wani ɗan lokaci don tara ƙididdiga don fara tace harin. Wato ba sa tace harin a cikin dakika 30-40 na farko, saboda suna tara bayanai suna koyo. Saboda haka, a cikin wadannan 30-40 seconds za ka iya ƙaddamar da yawa a kan shafin cewa albarkatun za su kwanta na dogon lokaci har sai an share duk buƙatun.
Dangane da harin da aka kai a kasa, an yi tazarar mintuna 10, bayan haka wani sabon bangare na harin ya zo.
Wato tsaro ya koya, ya fara tacewa, amma wani sabon bangare daban na harin ya iso, kuma tsaron ya sake koyo. A gaskiya ma, tacewa yana daina aiki, kariya ta zama mara amfani, kuma shafin ba ya samuwa.
Hare-haren Wave suna da ƙima sosai a kololuwa, yana iya kaiwa dubu ɗari ko buƙatun miliyan a sakan daya, a cikin yanayin L7. Idan muka yi magana game da L3 & 4, to, za a iya samun daruruwan gigabits na zirga-zirga, ko, bisa ga haka, daruruwan mpps, idan kun ƙidaya a cikin fakiti.
Matsalar irin waɗannan hare-haren ita ce aiki tare. Hare-haren sun fito ne daga botnet kuma suna buƙatar babban matakin aiki tare don ƙirƙirar ƙaƙƙarfan ƙaƙƙarfan lokaci ɗaya. Kuma wannan haɗin kai ba koyaushe yana aiki ba: wani lokacin fitarwa wani nau'in kololuwa ne, wanda yayi kama da abin tausayi.
Ba HTTP kadai ba
Baya ga HTTP a L7, muna son yin amfani da wasu ka'idoji. A matsayinka na mai mulki, gidan yanar gizo na yau da kullum, musamman ma na yau da kullum, yana da ka'idojin wasiƙa da MySQL yana tsayawa. Ka'idojin wasiƙa suna ƙarƙashin nauyi fiye da bayanan bayanai, amma kuma ana iya loda su da inganci kuma suna ƙarewa da CPU mai nauyi akan sabar.
Mun sami nasara da gaske tare da raunin SSH na 2016. Yanzu an daidaita wannan raunin ga kusan kowa da kowa, amma wannan baya nufin cewa ba za a iya ƙaddamar da kaya ga SSH ba. Can. Akwai kawai babban nauyin izini, SSH yana cinye kusan dukkanin CPU akan sabar, sannan gidan yanar gizon ya rushe daga buƙatun ɗaya ko biyu a sakan daya. Saboda haka, waɗannan buƙatun ɗaya ko biyu dangane da rajistan ayyukan ba za a iya bambanta su da madaidaicin nauyi ba.
Yawancin haɗin kai waɗanda muke buɗewa a cikin sabobin suma sun kasance masu dacewa. A baya can, Apache yana da laifin wannan, yanzu nginx shine ainihin laifin wannan, tunda galibi ana daidaita shi ta tsohuwa. Adadin haɗin da nginx zai iya ci gaba da buɗewa yana da iyaka, don haka muna buɗe wannan adadin haɗin, nginx ba ya karɓar sabon haɗin gwiwa, kuma a sakamakon haka shafin ba ya aiki.
Tarin gwajin mu yana da isasshen CPU don kai hari ga musafikar SSL. A ka'ida, kamar yadda aikin ya nuna, botnets wani lokaci suna son yin wannan kuma. A gefe guda, a bayyane yake cewa ba za ku iya yin ba tare da SSL ba, saboda sakamakon Google, matsayi, tsaro. A gefe guda, SSL rashin alheri yana da batun CPU.
L3&4
Lokacin da muke magana game da hari a matakan L3 & 4, yawanci muna magana ne game da hari a matakin haɗin gwiwa. Irin wannan nauyin kusan ana iya bambanta shi da na halal, sai dai idan harin ambaliyar ruwa na SYN ne. Matsalar hare-haren ambaliyar ruwa na SYN don kayan aikin tsaro shine girman girman su. Matsakaicin ƙimar L3&4 shine 1,5-2 Tbit/s. Irin wannan zirga-zirga yana da matukar wahala a sarrafa har ma ga manyan kamfanoni, gami da Oracle da Google.
SYN da SYN-ACK fakiti ne waɗanda ake amfani da su yayin kafa haɗin gwiwa. Saboda haka, SYN- ambaliyar ruwa yana da wuyar bambancewa daga halaltaccen nauyi: ba a sani ba ko wannan SYN ne wanda ya zo don kafa haɗin gwiwa, ko kuma wani ɓangare na ambaliya.
UDP- ambaliya
Yawanci, maharan ba su da damar da muke da su, don haka ana iya amfani da ƙarawa don tsara hare-hare. Wato wanda ya kai harin ya leka Intanet ya gano ko dai masu rauni ko kuma ba daidai ba da aka tsara sabobin da, misali, a mayar da martani ga fakitin SYN daya, ya amsa da SYN-ACKs guda uku. Ta hanyar zubar da adireshin tushen daga adireshin uwar garken manufa, yana yiwuwa a ƙara ƙarfin ta, a ce, sau uku tare da fakiti ɗaya da kuma tura zirga-zirga zuwa ga wanda aka azabtar.
Matsalar haɓakawa shine cewa suna da wahalar ganowa. Misalai na baya-bayan nan sun haɗa da al'amarin ban sha'awa na masu rauni memcached. Bugu da kari, yanzu akwai na'urorin IoT da yawa, na'urorin IP, wadanda suma galibi ana tsara su ta hanyar tsohuwa, kuma ta hanyar tsoho an tsara su ba daidai ba, wanda shine dalilin da ya sa maharan galibi ke kai hare-hare ta irin wadannan na'urori.
Wahalar SYN- ambaliyar ruwa
SYN- ambaliyar ruwa tabbas shine nau'in hari mafi ban sha'awa daga ra'ayin mai haɓakawa. Matsalar ita ce masu gudanar da tsarin galibi suna amfani da toshewar IP don kariya. Bugu da ƙari, toshewar IP yana rinjayar ba kawai masu gudanar da tsarin da ke yin amfani da rubutun ba, har ma, da rashin alheri, wasu tsarin tsaro da aka saya don kuɗi mai yawa.
Wannan hanya za ta iya rikidewa zuwa bala'i, domin idan maharan sun maye gurbin adiresoshin IP, kamfanin zai toshe hanyar sadarwarsa. Lokacin da Firewall ya toshe gungu na kansa, fitarwar za ta kasa mu'amala ta waje kuma albarkatun za su gaza.
Bugu da ƙari, ba shi da wahala a toshe hanyar sadarwar ku. Idan ofishin abokin ciniki yana da hanyar sadarwar Wi-Fi, ko kuma idan an auna aikin kayan aiki ta amfani da tsarin kulawa daban-daban, to muna ɗaukar adireshin IP na wannan tsarin kulawa ko ofishin abokin ciniki Wi-Fi kuma mu yi amfani da shi azaman tushe. A ƙarshe, da alama albarkatun suna samuwa, amma an toshe adiresoshin IP masu niyya. Don haka, cibiyar sadarwar Wi-Fi na taron HighLoad, inda ake gabatar da sabon samfurin kamfanin, na iya toshe, kuma wannan ya ƙunshi wasu farashin kasuwanci da tattalin arziki.
Yayin gwaji, ba za mu iya amfani da ƙarawa ta hanyar memcached tare da kowane albarkatun waje ba, saboda akwai yarjejeniya don aika zirga-zirga zuwa adiresoshin IP da aka ba da izini kawai. Don haka, muna amfani da amplification ta hanyar SYN da SYN-ACK, lokacin da tsarin ya amsa aika SYN guda biyu tare da SYN-ACKs biyu ko uku, kuma a wurin fitarwa ana ninka hari sau biyu ko uku.
Kayan aiki
Ɗaya daga cikin manyan kayan aikin da muke amfani da su don aikin L7 shine Yandex-tank. Musamman, ana amfani da fatalwa azaman bindiga, kuma akwai rubutun da yawa don samar da harsashi da kuma nazarin sakamakon.
Ana amfani da Tcpdump don tantance zirga-zirgar hanyar sadarwa, kuma ana amfani da Nmap don tantance sabar. Don ƙirƙirar kaya a matakin L3&4, ana amfani da OpenSSL da ɗan sihirin mu tare da ɗakin karatu na DPDK. DPDK ɗakin karatu ne daga Intel wanda ke ba ku damar yin aiki tare da keɓancewar hanyar sadarwa ta hanyar ketare tari na Linux, ta haka ƙara haɓaka aiki. A dabi'a, muna amfani da DPDK ba kawai a matakin L3 & 4 ba, har ma a matakin L7, saboda yana ba mu damar ƙirƙirar jigilar kaya mai girma, a cikin kewayon buƙatun miliyan da yawa a sakan daya daga na'ura ɗaya.
Har ila yau, muna amfani da wasu janareta na zirga-zirga da kayan aiki na musamman waɗanda muke rubutawa don takamaiman gwaje-gwaje. Idan muka tuna da raunin da ke ƙarƙashin SSH, to ba za a iya amfani da saitin da ke sama ba. Idan muka kai hari kan yarjejeniyar wasiku, muna ɗaukar kayan aikin wasiƙa ko kuma kawai mu rubuta rubutun a kansu.
binciken
A matsayina na ƙarshe zan so in ce:
- Baya ga gwajin nauyi na gargajiya, wajibi ne don gudanar da gwajin damuwa. Muna da misali na gaske inda ɗan kwangilar abokin tarayya yayi gwajin nauyi kawai. Ya nuna cewa albarkatun na iya jure wa nauyin al'ada. Amma sai wani nauyi mai nauyi ya bayyana, maziyartan rukunin yanar gizon sun fara amfani da albarkatun kadan daban-daban, kuma sakamakon haka ma'aikacin ya kwanta. Don haka, yana da daraja neman lahani ko da an riga an kiyaye ku daga hare-haren DDoS.
- Wajibi ne a ware wasu sassan tsarin daga wasu. Idan kuna da bincike, kuna buƙatar matsar da shi zuwa injuna daban, wato, ba ma zuwa Docker ba. Domin idan bincike ko izini ya gaza, aƙalla wani abu zai ci gaba da aiki. Game da kantin sayar da kan layi, masu amfani za su ci gaba da nemo samfura a cikin kasidar, tafi daga mai tarawa, saya idan an riga an basu izini, ko ba da izini ta OAuth2.
- Kada ku yi sakaci da kowane irin sabis na girgije.
- Yi amfani da CDN ba kawai don inganta jinkirin hanyar sadarwa ba, har ma a matsayin hanyar kariya daga hare-hare kan gajiyar tashoshi kuma kawai ambaliya cikin zirga-zirgar ababen hawa.
- Wajibi ne a yi amfani da sabis na kariya na musamman. Ba za ku iya kare kanku daga hare-haren L3&4 a matakin tashar ba, saboda wataƙila ba ku da isasshiyar tashar kawai. Hakanan ba za ku iya yin yaƙi da harin L7 ba, tunda suna iya girma sosai. Bugu da ƙari, binciken ƙananan hare-hare har yanzu shine haƙƙin sabis na musamman, algorithms na musamman.
- Sabunta akai-akai. Wannan ya shafi ba kawai ga kwaya ba, har ma ga SSH daemon, musamman idan kuna buɗe su zuwa waje. A ka'ida, komai yana buƙatar sabuntawa, saboda da wuya ka iya gano wasu lahani da kanka.
source: www.habr.com