Variti na-etolite nchebe megide bots na ọgụ DDoS, ma na-eduzi nrụgide na nnwale ibu. Na ogbako HighLoad ++ 2018 anyị kwuru banyere otu esi echekwa ihe onwunwe site na ụdị ọgụ dị iche iche. Na nkenke: kewapụ akụkụ nke sistemụ, jiri ọrụ igwe ojii na CDN, ma na-emelite kwa oge. Mana ị ka gaghị enwe ike ijikwa nchekwa na-enweghị ụlọ ọrụ pụrụ iche :)
Tupu ị gụọ ihe odide ahụ, ị nwere ike ịgụ ihe odide dị mkpirikpi .
Ma ọ bụrụ na ịchọghị ịgụ ma ọ bụ naanị ịchọrọ ikiri vidiyo, ndekọ nke akụkọ anyị dị n'okpuru ebe a na-emebi ihe.
Ndekọ vidiyo nke akụkọ ahụ
Ọtụtụ ụlọ ọrụ amaralarị ka esi eme nnwale ibu, mana ọ bụghị ihe niile na-eme nnwale nrụgide. Ụfọdụ ndị ahịa anyị na-eche na saịtị ha adịghị emerụ ahụ n'ihi na ha nwere usoro dị elu, ọ na-echebekwa nke ọma site na mwakpo. Anyị na-egosi na nke a abụghị eziokwu kpamkpam.
N'ezie, tupu anyị emee ule, anyị na-enweta ikike n'aka onye ahịa, bịanyere aka na akara na stampụ, na enyemaka anyị enweghị ike ime mwakpo DDoS na onye ọ bụla. A na-eme nnwale n'oge onye ahịa họọrọ, mgbe okporo ụzọ gaa na akụ ya dị ntakịrị, na ịnweta nsogbu agaghị emetụta ndị ahịa. Tụkwasị na nke ahụ, ebe ọ bụ na ihe nwere ike na-ezighị ezi mgbe niile n'oge usoro ule, anyị na-enwe mmekọrịta mgbe niile na onye ahịa. Nke a na-enye gị ohere ọ bụghị naanị ịkọ nsonaazụ enwetara, kamakwa ịgbanwe ihe n'oge ule. Mgbe emechara ule, anyị na-ewepụta akụkọ mgbe niile nke anyị na-egosi adịghị ike achọpụtara ma nye ndụmọdụ maka iwepụ adịghị ike nke saịtị ahụ.
Otu anyị si arụ ọrụ
Mgbe anyị na-anwale, anyị na-eṅomi botnet. Ebe anyị na ndị ahịa na-anọghị na netwọkụ anyị na-arụ ọrụ, iji hụ na ule ahụ akwụsịghị na nkeji mbụ n'ihi oke ma ọ bụ nchebe na-ebute, anyị na-ebunye ibu ahụ ọ bụghị site na otu IP, kama site na subnet nke anyị. Na mgbakwunye, iji mepụta ibu dị mkpa, anyị nwere ihe nkesa ule siri ike nke anyị.
Postlates
Nke ukwuu apụtaghị ihe ọma
Obere ibu anyị nwere ike iweta akụrụngwa na ọdịda, ka mma. Ọ bụrụ na ị nwere ike ime ka saịtị ahụ kwụsị ịrụ ọrụ na otu arịrịọ kwa sekọnd, ma ọ bụ ọbụna otu arịrịọ kwa nkeji, nke ahụ dị mma. N'ihi na dịka iwu nke obi ọjọọ siri dị, ndị ọrụ ma ọ bụ ndị na-awakpo ga-adaba na ọghọm a na mberede.
Ọdịda nke akụkụ dị mma ka ọdịda zuru oke
Anyị na-adụ ọdụ ka ịme usoro dị iche iche. Ọzọkwa, ọ bara uru ikewapụ ha na ọkwa anụ ahụ, ọ bụghịkwa naanị site na njide. N'ihe banyere nkewa nke anụ ahụ, ọ bụrụgodị na ihe na-ada na saịtị ahụ, enwere ike dị elu na ọ gaghị akwụsị ịrụ ọrụ kpamkpam, ndị ọrụ ga-anọgidekwa na-enweta ma ọ dịkarịa ala akụkụ nke ọrụ ahụ.
Ezi ụkpụrụ ụlọ bụ ihe ndabere maka nkwado
Ekwesịrị idobe nnabata mmejọ nke akụrụngwa na ikike ya iguzogide mwakpo na ibu n'oge nhazi nhazi, n'ezie, n'oge ịbịaru eserese mbụ na akwụkwọ ndetu. N'ihi na ọ bụrụ na njehie na-egbu egbu na-abata, ọ ga-ekwe omume idozi ha n'ọdịnihu, mana ọ na-esiri ike.
Ọ bụghị naanị koodu kwesịrị ịdị mma, kamakwa nhazi
Ọtụtụ ndị mmadụ na-eche na ezigbo otu mmepe bụ nkwa nke ọrụ nnabata mmejọ. Otu ezigbo mmepe dị mkpa n'ezie, mana a ga-enwerịrị arụmọrụ dị mma, ezigbo DevOps. Ya bụ, anyị chọrọ ndị ọkachamara ga-ahazi Linux na netwọkụ nke ọma, dee nhazi nke ọma na nginx, debe oke, wdg. Ma ọ bụghị ya, ihe onwunwe ga-arụ ọrụ nke ọma naanị na ule, na mgbe ụfọdụ ihe niile ga-agbaji na mmepụta.
Ọdịiche dị n'etiti ibu na nnwale nrụgide
Nnwale ibu na-enye gị ohere ịchọpụta oke nke sistemu arụ ọrụ. Nnwale nrụgide na-achọ ịchọta adịghị ike na usoro ma jiri ya mebie usoro a ma hụ otú ọ ga-esi na-akpa àgwà na usoro ọdịda nke akụkụ ụfọdụ. N'okwu a, ọdịdị nke ibu ahụ na-anọgidekarị na-amaghị onye ahịa tupu ule nrụgide amalite.
Atụmatụ pụrụ iche nke ọgụ L7
Anyị na-ekekarị ụdị ibu n'ime ibu na ọkwa L7 na L3&4. L7 bụ ibu na ọkwa ngwa, ọtụtụ mgbe ọ pụtara naanị HTTP, mana anyị na-ekwu ibu ọ bụla na ọkwa TCP protocol.
Mwakpo L7 nwere ụfọdụ atụmatụ pụrụ iche. Mbụ, ha na-abịa ozugbo na ngwa ahụ, ya bụ, o yighị ka a ga-egosipụta ha site na netwọkụ. Mwakpo dị otú ahụ na-eji ezi uche eme ihe, n'ihi nke a, ha na-eri CPU, ebe nchekwa, diski, nchekwa data na ihe ndị ọzọ nke ọma na obere okporo ụzọ.
Iju mmiri HTTP
N'ihe banyere mwakpo ọ bụla, ibu dị mfe ịmepụta karịa ijikwa, na nke L7 nke a bụkwa eziokwu. Ọ naghị adị mfe mgbe niile ịmata ọdịiche nke okporo ụzọ ọgụ site na okporo ụzọ ziri ezi, na ọtụtụ mgbe nke a nwere ike ime site na ugboro ole, ma ọ bụrụ na a na-eme atụmatụ nke ọma, mgbe ahụ, ọ gaghị ekwe omume ịghọta site na ndekọ ebe mwakpo ahụ dị na ebe arịrịọ ziri ezi dị.
Dịka ọmụmaatụ nke mbụ, tulee mbuso agha Iju Mmiri HTTP. Eserese na-egosi na mwakpo ndị dị otú ahụ na-adịkarị ike; na ihe atụ dị n'okpuru ebe a, ọnụ ọgụgụ kasị elu nke arịrịọ karịrị 600 puku kwa nkeji.
Iju mmiri HTTP bụ ụzọ kachasị mfe iji mepụta ibu. Na-emekarị, ọ na-ewe ụfọdụ ụdị ngwá ọrụ nnwale ibu, dị ka ApacheBench, ma debe arịrịọ na ebumnuche. Site na ụzọ dị mfe dị otú a, enwere ike dị elu nke ịbanye na caching nkesa, mana ọ dị mfe ịgafe ya. Dịka ọmụmaatụ, ịgbakwunye eriri na-enweghị usoro na arịrịọ ahụ, nke ga-amanye ihe nkesa ahụ ka ọ na-eje ozi mgbe niile na ibe ọhụrụ.
Ọzọkwa, echefula banyere onye ọrụ-onye ọrụ na usoro nke ịmepụta ibu. Ndị na-ahụ maka sistemụ na-enyocha ọtụtụ ndị ọrụ nke ngwaọrụ nnwale ama ama, na nke a, ibu ahụ nwere ike ọ gaghị erute azụ azụ. Ị nwere ike melite nsonaazụ ya site na ịtinye nkụnye eji isi mee karịa ma ọ bụ nke na-erughị irè site na ihe nchọgharị n'ime arịrịọ ahụ.
Dị ka mwakpo HTTP Iju mmiri si dị mfe, ha nwekwara ihe ndọghachi azụ ha. Nke mbụ, a chọrọ nnukwu ike iji mepụta ibu ahụ. Nke abuo, ọgụ dị otú ahụ dị nnọọ mfe ịchọpụta, karịsịa ma ọ bụrụ na ha si n'otu adreesị. N'ihi ya, arịrịọ na-amalite ozugbo ma ọ bụ site n'aka ndị na-ahụ maka sistemụ ma ọ bụ ọbụna na ọkwa onye na-eweta.
Ihe ị ga-achọ
Iji belata ọnụ ọgụgụ nke arịrịọ kwa nkeji na-enweghị ịlanarị arụmọrụ, ịkwesịrị igosi ntakịrị echiche ma nyochaa saịtị ahụ. Ya mere, ịnwere ike ibu ọ bụghị naanị ọwa ma ọ bụ ihe nkesa, kamakwa akụkụ nke ngwa ahụ, dịka ọmụmaatụ, ọdụ data ma ọ bụ sistemụ faịlụ. Ị nwekwara ike ịchọ ebe dị na saịtị ahụ na-eme nnukwu mgbako: ihe mgbako, ibe nhọrọ ngwaahịa, wdg. N'ikpeazụ, ọ na-emekarị na saịtị ahụ nwere ụdị ederede PHP nke na-emepụta ibe nke ọtụtụ narị puku ahịrị. Edemede dị otú ahụ na-ebukwa ihe nkesa ahụ nke ukwuu ma nwee ike bụrụ ebumnuche maka mbuso agha.
Ebe icho
Mgbe anyị na-enyocha akụrụngwa tupu ịnwale, anyị na-ebu ụzọ lelee, n'ezie, na saịtị ahụ n'onwe ya. Anyị na-achọ ụdị ntinye ntinye ọ bụla, faịlụ dị arọ - n'ozuzu, ihe ọ bụla nwere ike ịmepụta nsogbu maka akụ ma belata ọrụ ya. Ngwá ọrụ mmepe banal na Google Chrome na Firefox na-enyere aka ebe a, na-egosi oge nzaghachi ibe.
Anyị na-enyochakwa subdomains. Dịka ọmụmaatụ, enwere ụfọdụ ụlọ ahịa dị n'ịntanetị, abc.com, ma ọ nwere ngalaba subdomain admin.abc.com. O yikarịrị, nke a bụ panel nchịkwa nwere ikike, ma ọ bụrụ na ị na-etinye ibu na ya, ọ nwere ike ịmepụta nsogbu maka isi ihe onwunwe.
Saịtị ahụ nwere ike ịnwe subdomain api.abc.com. O yikarịrị, nke a bụ akụrụngwa maka ngwa mkpanaka. Enwere ike ịchọta ngwa a na Storelọ Ahịa App ma ọ bụ Google Play, wụnye ebe nnweta pụrụ iche, kesaa API wee debanye aha akaụntụ ule. Nsogbu bụ na ndị mmadụ na-echekarị na ihe ọ bụla nke ikike chebere adịghị egbochi ịgọnarị mbuso agha ọrụ. Echere, ikike bụ CAPTCHA kacha mma, mana ọ bụghị. Ọ dị mfe ịme akaụntụ nlele 10-20, mana site n'ịmepụta ha, anyị na-enweta ọrụ dị mgbagwoju anya na enweghị isi.
Dị ka o kwesịrị ịdị, anyị na-eleba anya na akụkọ ihe mere eme, na robots.txt na WebArchive, ViewDNS, wee chọọ ụdị ngwa ngwa ochie. Mgbe ụfọdụ ọ na-eme na ndị mmepe ewepụtala, sị, mail2.yandex.net, mana ụdị ochie, mail.yandex.net, ka dị. A naghị akwado mail.yandex.net a, ekenyeghị akụrụngwa mmepe na ya, mana ọ na-aga n'ihu na-eri nchekwa data. N'ihi ya, iji ụdị ochie, ị nwere ike iji ihe onwunwe nke azụ azụ na ihe niile dị n'azụ nhazi. N'ezie, nke a anaghị eme mgbe niile, mana anyị ka na-ezute nke a ọtụtụ mgbe.
Dị ka o kwesịrị ịdị, anyị na-enyocha paramita arịrịọ niile yana usoro kuki. Ị nwere ike, sị, tụfuo ụfọdụ uru n'ime usoro JSON n'ime kuki, mepụta ọtụtụ akwụ ma mee ka akụrụngwa ahụ rụọ ọrụ ruo ogologo oge na-enweghị isi.
Chọọ ibu
Ihe mbụ na-abata n'uche mgbe ị na-eme nchọpụta saịtị bụ ịkwanye nchekwa data, ebe ọ bụ na ihe fọrọ nke nta ka ọ bụrụ onye ọ bụla nwere ọchụchọ, na ihe fọrọ nke nta ka ọ bụrụ onye ọ bụla, ọ dị mwute ikwu na ọ na-echebe ya nke ọma. Maka ihe ụfọdụ, ndị mmepe anaghị etinye uche zuru oke na ọchụchọ. Mana enwere otu nkwanye ebe a - ịkwesighi ịrịọ otu ụdị arịrịọ, n'ihi na ị nwere ike izute caching, dịka ọ dị na iju mmiri HTTP.
Ịjụ ajụjụ na-enweghị usoro na nchekwa data anaghị adịkwa irè mgbe niile. Ọ ka mma ịmepụta ndepụta mkpụrụokwu ndị dabara na ọchụchọ ahụ. Ọ bụrụ na anyị laghachi na ihe atụ nke ụlọ ahịa dị n'ịntanetị: ka anyị kwuo na saịtị ahụ na-ere taya ụgbọ ala ma na-enye gị ohere ịtọ radius nke taya, ụdị ụgbọ ala na ihe ndị ọzọ. N'ihi ya, ngwakọta nke okwu ndị dị mkpa ga-amanye nchekwa data ka ọ rụọ ọrụ n'ọnọdụ ndị siri ike karị.
Na mgbakwunye, ọ bara uru iji pagination: ọ na-esiri ike nchọta iweghachi peeji penultimate nke nsonaazụ ọchụchọ karịa nke mbụ. Ya bụ, site n'enyemaka nke pagination ị nwere ike dịtụ iche iche ibu.
Ihe atụ dị n'okpuru na-egosi ibu ọchụchọ. Enwere ike ịhụ na site na nke mbụ nke abụọ nke ule na ọsọ nke arịrịọ iri kwa nkeji, saịtị ahụ gbadara ma azaghị ya.
Ọ bụrụ na ọ dịghị search?
Ọ bụrụ na enweghị ọchụchọ, nke a apụtaghị na saịtị ahụ enweghị mpaghara ntinye ndị ọzọ adịghị ike. Ogige a nwere ike ịbụ ikike. N'oge a, ndị mmepe na-amasị ịme hashes dị mgbagwoju anya iji chebe nchekwa data nbanye site na mwakpo tebụl egwurugwu. Nke a dị mma, mana hashes dị otú ahụ na-eri ọtụtụ ihe CPU. Nnukwu ikike ikike ụgha na-eduga na ọdịda processor, n'ihi ya, saịtị ahụ kwụsịrị ịrụ ọrụ.
Ọnụnọ na saịtị nke ụdị ụdị ọ bụla maka nkọwa na nzaghachi bụ ihe kpatara izipu ederede buru ibu n'ebe ahụ ma ọ bụ naanị mepụta oke iju mmiri. Mgbe ụfọdụ saịtị na-anabata faịlụ agbakwunyere, gụnyere n'ụdị gzip. N'okwu a, anyị na-ewere faịlụ 1TB, gbanye ya na ọtụtụ bytes ma ọ bụ kilobytes site na iji gzip ma ziga ya na saịtị ahụ. Mgbe ahụ, a na-ewepụ ya ma nweta mmetụta na-adọrọ mmasị.
Ezumike API
Ọ ga-amasị m itinye ntakịrị uche na ọrụ ndị a ma ama dị ka API Rest. Ịchekwa API ezumike siri ike karịa weebụsaịtị. Ọbụlagodi ụzọ nchebe ndị na-adịghị ahụkebe megide ike ike okwuntughe na ọrụ iwu na-akwadoghị anaghị arụ ọrụ maka API Ezumike.
API fọdụrụ dị mfe imebi n'ihi na ọ na-abanye na nchekwa data ozugbo. N'otu oge ahụ, ọdịda nke ọrụ dị otú ahụ na-ebute nnukwu nsonaazụ maka azụmahịa. Nke bụ eziokwu bụ na a na-ejikarị API Ezumike eme ihe ọ bụghị naanị maka weebụsaịtị bụ isi, kamakwa maka ngwa mkpanaka na ụfọdụ akụrụngwa azụmaahịa dị n'ime. Ma ọ bụrụ na ihe a niile daa, mgbe ahụ mmetụta dị ike karịa n'ihe banyere ọdịda weebụsaịtị dị mfe.
Na-eburu ọdịnaya dị arọ
Ọ bụrụ na enyere anyị ka ịnwale ụfọdụ ngwa nkịtị otu ibe, ibe ọdịda, ma ọ bụ webụsaịtị kaadị azụmahịa nke na-enweghị ọrụ siri ike, anyị na-achọ ọdịnaya dị arọ. Dịka ọmụmaatụ, nnukwu onyonyo nke ihe nkesa na-eziga, faịlụ ọnụọgụ abụọ, akwụkwọ pdf - anyị na-agbalị ibudata ihe a niile. Nnwale ndị dị otú ahụ na-ebufe usoro faịlụ ahụ nke ọma ma mechie ọwa, ya mere ọ dị irè. Ya bụ, ọbụlagodi ma ọ bụrụ na ị naghị etinye ihe nkesa ahụ, na-ebudata faịlụ buru ibu na obere ọsọ, ị ga-emechi ọwa nke ihe nkesa a na-eche ma mgbe ahụ ịgọnarị ọrụ ga-eme.
Ihe atụ nke ule dị otú ahụ na-egosi na na ọsọ nke 30 RPS saịtị ahụ kwụsịrị ịzaghachi ma ọ bụ mepụta njehie ihe nkesa 500th.
Echefula maka ịtọlite sava. Ị nwere ike ịhụ na mmadụ zụtara igwe mebere, tinye Apache n'ebe ahụ, hazie ihe niile na ndabara, tinye ngwa PHP, na n'okpuru ị ga-ahụ nsonaazụ ya.
N'ebe a, ibu ahụ gara mgbọrọgwụ wee bụrụ naanị 10 RPS. Anyị chere nkeji 5 na ihe nkesa ahụ dara. Ọ bụ eziokwu na a machaghị ihe mere o ji daa, ma e nwere echiche na o nwere nnọọ ike icheta ihe mere o ji kwụsị ịzaghachi.
dabere na ife
N'ime afọ ma ọ bụ abụọ gara aga, mwakpo ebili mmiri aghọwo ihe a ma ama. Nke a bụ n'ihi na ọtụtụ òtù na-azụta ụfọdụ ngwaike maka nchekwa DDoS, nke chọrọ oge ụfọdụ iji chịkọta ọnụ ọgụgụ iji malite nzacha ọgụ ahụ. Ya bụ, ha anaghị enyocha ọgụ ahụ na sekọnd 30-40 mbụ, n'ihi na ha na-akpakọba data wee mụta ihe. N'ihi ya, na ndị a 30-40 sekọnd ị nwere ike malite nke ukwuu na saịtị na akụ ga-edina ruo ogologo oge ruo mgbe niile arịrịọ na-ekpochapụ elu.
N'ihe banyere mwakpo dị n'okpuru ebe a, enwere oge nkeji 10, mgbe nke ahụ gasịrị, akụkụ ọhụrụ, gbanwere nke mwakpo ahụ rutere.
Ya bụ, agbachitere mụtara, malitere nzacha, ma ọhụrụ, kpamkpam dị iche iche akụkụ nke ọgụ rutere, na agbachitere malite ịmụta ọzọ. N'ezie, nzacha na-akwụsị ịrụ ọrụ, nchebe adịghị arụ ọrụ, saịtị ahụ adịghịkwa.
A na-eji ọnụ ahịa dị elu mara mwakpo ebili mmiri, ọ nwere ike iru otu narị puku ma ọ bụ nde arịrịọ kwa nkeji, n'ihe banyere L7. Ọ bụrụ na anyị na-ekwu banyere L3 & 4, mgbe ahụ enwere ike inwe ọtụtụ narị gigabits nke okporo ụzọ, ma ọ bụ, ya mere, ọtụtụ narị mpps, ma ọ bụrụ na ị gụọ na ngwugwu.
Nsogbu dị na mwakpo dị otú ahụ bụ mmekọrịta. Mwakpo ahụ sitere na botnet ma chọọ nnukwu mmekọrịta mmekọrịta iji mepụta oke otu oge. Na nhazi a anaghị arụ ọrụ mgbe niile: mgbe ụfọdụ, mmepụta bụ ụdị ọnụ ọgụgụ dị elu, nke na-ele anya na-enweghị atụ.
Ọ bụghị naanị HTTP
Na mgbakwunye na HTTP na L7, anyị na-achọ irigbu ụkpụrụ ndị ọzọ. Dị ka a na-achị, webụsaịtị mgbe niile, ọkachasị nnabata mgbe niile, nwere usoro ozi na MySQL na-apụ apụ. Usoro akwụkwọ ozi nwere obere ibu karịa ọdụ data, mana enwere ike ibu ya nke ọma ma mechaa na CPU karịrị akarị na sava ahụ.
Anyị nwere ihe ịga nke ọma n'ezie na adịghị ike 2016 SSH. Ugbu a adịghị ike a edozila ihe fọrọ nke nta ka ọ bụrụ onye ọ bụla, mana nke a apụtaghị na enweghị ike ịnyefe ibu na SSH. Nwere ike. Enwere nnukwu ikike ikike, SSH na-eri ihe fọrọ nke nta ka ọ bụrụ CPU niile na sava ahụ, wee webụsaịtị ahụ daa site na otu ma ọ bụ abụọ arịrịọ kwa sekọnd. N'ihi ya, otu arịrịọ ma ọ bụ abụọ ndị a dabere na ndekọ enweghị ike ịmata ọdịiche dị na ibu ziri ezi.
Ọtụtụ njikọ anyị mepere na sava ka dịkwa mkpa. Na mbụ, Apache bụ onye ikpe mara nke a, ugbu a nginx bụ onye ikpe mara nke a, ebe ọ bụ na a na-ahazi ya na ndabara. Ọnụ ọgụgụ njikọ nke nginx nwere ike imepe emepe nwere oke, yabụ anyị na-emepe ọnụọgụ njikọ a, nginx anaghị anabata njikọ ọhụrụ, n'ihi ya, saịtị ahụ anaghị arụ ọrụ.
Ụyọkọ ule anyị nwere CPU zuru ezu iji wakpo aka SSL. Na ụkpụrụ, dị ka omume na-egosi, botnets mgbe ụfọdụ na-amasịkwa ime nke a. N'otu aka ahụ, o doro anya na ị nweghị ike ime na-enweghị SSL, n'ihi na nsonaazụ Google, ogo, nchekwa. N'aka nke ọzọ, SSL nwere nsogbu CPU.
L3&4
Mgbe anyị na-ekwu maka mwakpo na ọkwa L3 & 4, anyị na-ekwukarị banyere ọgụ na ọkwa njikọ. Ibu dị otú ahụ fọrọ nke nta ka ọ bụrụ mgbe niile ka a na-amata ọdịiche dị na nke ziri ezi, ọ gwụla ma ọ bụ mwakpo mmiri mmiri SYN. Nsogbu dị na mwakpo mmiri mmiri SYN maka ngwaọrụ nchekwa bụ nnukwu olu ha. Uru L3&4 kacha elu bụ 1,5-2 Tbit/s. Ụdị okporo ụzọ a siri ike ịhazi ọbụna maka nnukwu ụlọ ọrụ, gụnyere Oracle na Google.
SYN na SYN-ACK bụ ngwugwu a na-eji mgbe ị na-emepụta njikọ. Ya mere, SYN-iju mmiri siri ike ịmata ọdịiche dị na ibu ziri ezi: o doghị anya ma nke a bụ SYN nke bịara ịmepụta njikọ, ma ọ bụ akụkụ nke idei mmiri.
UDP-mmiri mmiri
Dịka, ndị na-awakpo enweghị ike anyị nwere, yabụ enwere ike iji nkwalite ahazi ọgụ. Ya bụ, onye na-awakpo ahụ na-enyocha ịntanetị wee chọpụta ma ọ bụ enweghị ike ma ọ bụ ahaziri nke ọma nke, dịka ọmụmaatụ, na nzaghachi otu ngwugwu SYN, jiri SYN-ACK atọ zaghachi. Site n'iwepụ adreesị isi iyi site na adreesị nke ihe nkesa a na-achọsi ike, ọ ga-ekwe omume ịbawanye ike site, sịnụ, ugboro atọ na otu ngwugwu na redirect okporo ụzọ gaa na onye ahụ.
Nsogbu dị na amplifications bụ na ha siri ike ịchọpụta. Ihe atụ ndị na-adịbeghị anya gụnyere ikpe na-akpali akpali nke ndị na-adịghị ike memcached. Na mgbakwunye, ugbu a enwere ọtụtụ ngwaọrụ IoT, igwefoto IP, nke a na-ahazikwa ya na ndabara, yana ndabara na-ahazi ya n'ụzọ na-ezighi ezi, ya mere ndị na-awakpo na-ejikarị na-ebuso ụdị ngwaọrụ ahụ ọgụ.
SYN siri ike
SYN-mmiri mmiri nwere ike ịbụ ụdị ọgụ kachasị amasị site n'echiche onye nrụpụta. Nsogbu a bụ na ndị na-ahụ maka sistemụ na-ejikarị igbochi IP maka nchekwa. Ọzọkwa, igbochi IP na-emetụta ọ bụghị naanị ndị na-ahụ maka sistemụ na-eji edemede eme ihe, kamakwa, ọ dị mwute ikwu, ụfọdụ sistemụ nchekwa nke a zụrụ maka nnukwu ego.
Usoro a nwere ike ịghọ ọdachi, n'ihi na ọ bụrụ na ndị na-awakpo dochie adreesị IP, ụlọ ọrụ ahụ ga-egbochi subnet nke ya. Mgbe Firewall gbochiri ụyọkọ nke ya, mmepụta ga-ada na mmekọrịta mpụga na akụrụngwa ga-ada.
Ọzọkwa, ọ naghị esiri ike igbochi netwọk nke gị. Ọ bụrụ na ụlọ ọrụ onye ahịa nwere netwọk Wi-Fi, ma ọ bụ ọ bụrụ na a na-atụle arụmọrụ nke akụrụngwa site na iji usoro nlekota dị iche iche, mgbe ahụ, anyị na-ewere adreesị IP nke usoro nlekota nke a ma ọ bụ ụlọ ọrụ ndị ahịa Wi-Fi ma jiri ya dị ka isi iyi. Na njedebe, akụ ahụ yiri ka ọ dị, mana a na-egbochi adreesị IP ndị ezubere iche. Ya mere, netwọk Wi-Fi nke ogbako HighLoad, ebe a na-emepụta ngwaahịa ọhụrụ nke ụlọ ọrụ ahụ, nwere ike igbochi ya, nke a gụnyere ụfọdụ azụmahịa na ụgwọ akụ na ụba.
N'oge ule, anyị enweghị ike iji amplification site memcached na ihe ọ bụla mpụga akụrụngwa, n'ihi na e nwere nkwekọrịta izipu okporo ụzọ naanị kwere na adreesị IP. N'ihi ya, anyị na-eji amplification site SYN na SYN-ACK, mgbe usoro na-aza na-eziga otu SYN na abụọ ma ọ bụ atọ SYN-ACKs, na na mmepụta na-amụba ọgụ abụọ ma ọ bụ ugboro ugboro.
Ngwaọrụ
Otu n'ime ngwaọrụ ndị anyị na-eji maka ibu ọrụ L7 bụ Yandex-tank. Karịsịa, a na-eji phantom eme ihe dị ka égbè, gbakwunyere na e nwere ọtụtụ edemede maka ịmepụta cartridges na maka nyochaa nsonaazụ ya.
A na-eji Tcpdump nyochaa okporo ụzọ netwọkụ, yana Nmap na-enyocha ihe nkesa. Iji mepụta ibu na ọkwa L3&4, a na-eji OpenSSL na ntakịrị anwansi nke anyị nwere ọbá akwụkwọ DPDK. DPDK bụ ọbá akwụkwọ sitere na Intel nke na-enye gị ohere ịrụ ọrụ na interface netwọk na-agafe nchịkọta Linux, si otú ahụ na-abawanye arụmọrụ. Dị ka o kwesịrị ịdị, anyị na-eji DPDK ọ bụghị naanị na ọkwa L3 & 4, kamakwa na ọkwa L7, n'ihi na ọ na-enye anyị ohere ịmepụta oke ibu dị elu, n'ime oke nke ọtụtụ nde arịrịọ kwa sekọnd site na otu igwe.
Anyị na-ejikwa ụfọdụ ndị na-emepụta okporo ụzọ na ngwá ọrụ pụrụ iche anyị na-ede maka ule ụfọdụ. Ọ bụrụ na anyị echeta adịghị ike n'okpuru SSH, mgbe ahụ, a pụghị iji ihe a dị n'elu mee ihe. Ọ bụrụ na anyị wakpoo protocol mail, anyị na-ewere mail utilities ma ọ bụ na-ede naanị scripts na ha.
Nchoputa
Dị ka nkwubi okwu m ga-achọ ikwu:
- Na mgbakwunye na nnwale nke ibu kpochapụ, ọ dị mkpa iji mee nnwale nrụgide. Anyị nwere ezigbo ọmụmaatụ ebe onye na-arụ ọrụ n'okpuru onye ọlụlụ mere naanị nnwale ibu. O gosipụtara na akụrụngwa nwere ike iguzogide ibu nkịtị. Ma mgbe ahụ, ibu na-adịghị mma pụtara, ndị ọbịa saịtị malitere iji akụ ahụ dịtụ iche, n'ihi ya, onye na-ahụ maka ọrụ ahụ dinara ala. Ya mere, ọ bara uru ịchọ adịghị ike ọ bụrụgodị na echebelarị gị na mwakpo DDoS.
- Ọ dị mkpa ikewapụ akụkụ ụfọdụ nke usoro ahụ site na ndị ọzọ. Ọ bụrụ na ị nwere ọchụchọ, ịkwesịrị ịkwaga ya na igwe dị iche iche, ya bụ, ọbụlagodi na Docker. N'ihi na ọ bụrụ na ọchụchọ ma ọ bụ ikike daa, opekata mpe ihe ga-aga n'ihu na-arụ ọrụ. N'ihe banyere ụlọ ahịa dị n'ịntanetị, ndị ọrụ ga-aga n'ihu na-achọta ngwaahịa na katalọgụ, pụọ na nchịkọta, zụta ma ọ bụrụ na enyerela ha ikike, ma ọ bụ nye ikike site na OAuth2.
- Elegharala ụdị ọrụ igwe ojii niile anya.
- Jiri CDN ọ bụghị naanị iji bulie igbu oge netwọkụ, kamakwa dị ka ụzọ nchebe megide mwakpo na ike ọgwụgwụ ọwa yana naanị iju mmiri n'ime okporo ụzọ kwụ ọtọ.
- Ọ dị mkpa iji ọrụ nchebe pụrụ iche. Ị nweghị ike ichebe onwe gị na mwakpo L3&4 n'ọkwa ọwa, n'ihi na ị naghị enwe ọwa zuru oke. O yighịkwa ka ị ga-alụso ọgụ L7 ọgụ, ebe ọ bụ na ha nwere ike buru oke ibu. Na mgbakwunye, ịchọ obere ọgụ ka bụ ikike nke ọrụ pụrụ iche, algọridim pụrụ iche.
- Na-emelite mgbe niile. Nke a na-emetụta ọ bụghị naanị kernel, kamakwa na SSH daemon, karịsịa ma ọ bụrụ na ị na-emeghe ha n'èzí. Na ụkpụrụ, ihe niile kwesịrị imelite, n'ihi na o yighị ka ị ga-enwe ike soro ụfọdụ adịghị ike n'onwe gị.
isi: www.habr.com