កុំបើកច្រកទៅកាន់ពិភពលោក - អ្នកនឹងខូច (ហានិភ័យ)

ម្តងហើយម្តងទៀត បន្ទាប់ពីធ្វើសវនកម្ម ឆ្លើយតបទៅនឹងអនុសាសន៍របស់ខ្ញុំដើម្បីលាក់ច្រកនៅពីក្រោយបញ្ជីស ខ្ញុំត្រូវបានជួបជាមួយនឹងជញ្ជាំងនៃការយល់ខុស។ សូម្បីតែអ្នកគ្រប់គ្រង / DevOps ដ៏ត្រជាក់បំផុតក៏សួរថា "ហេតុអ្វី?!?"

ខ្ញុំស្នើឱ្យពិចារណាហានិភ័យតាមលំដាប់ចុះនៃលទ្ធភាពនៃការកើតឡើង និងការខូចខាត។

1. កំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធ
2. DDoS លើ IP
3. កម្លាំងសាហាវ
4. ភាពងាយរងគ្រោះនៃសេវាកម្ម
5. ភាពងាយរងគ្រោះនៃជង់ខឺណែល
6. ការវាយប្រហារ DDoS កើនឡើង

កំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធ

ស្ថានភាពធម្មតា និងគ្រោះថ្នាក់បំផុត។ របៀបដែលវាកើតឡើង។ អ្នកអភិវឌ្ឍន៍ត្រូវការសាកល្បងសម្មតិកម្មយ៉ាងឆាប់រហ័ស គាត់បង្កើតម៉ាស៊ីនមេបណ្តោះអាសន្នជាមួយ mysql/redis/mongodb/elastic ។ ពិតណាស់ពាក្យសម្ងាត់គឺស្មុគស្មាញ គាត់ប្រើវាគ្រប់ទីកន្លែង។ វាបើកសេវាកម្មទៅកាន់ពិភពលោក - វាងាយស្រួលសម្រាប់គាត់ក្នុងការតភ្ជាប់ពីកុំព្យូទ័ររបស់គាត់ដោយគ្មាន VPNs ទាំងនេះរបស់អ្នក។ ហើយ​ខ្ញុំ​ខ្ជិល​ក្នុង​ការ​ចងចាំ​វាក្យសម្ព័ន្ធ iptables នោះ​ម៉ាស៊ីន​បម្រើ​គឺ​ជា​បណ្ដោះ​អាសន្ន​យ៉ាង​ណា​ក៏​ដោយ។ ពីរបីថ្ងៃទៀតនៃការអភិវឌ្ឍន៍ - វាប្រែជាអស្ចារ្យ យើងអាចបង្ហាញវាដល់អតិថិជន។ អតិថិជនចូលចិត្តវា មិនមានពេលធ្វើឡើងវិញទេ យើងបើកវាទៅក្នុង PROD!

ឧទាហរណ៍​ដែល​បំផ្លើស​ដោយ​ចេតនា ដើម្បី​ឆ្លង​កាត់​តុងទីន​ទាំង​អស់៖

1. មិនមានអ្វីជាអចិន្ត្រៃយ៍ជាងបណ្តោះអាសន្នទេ - ខ្ញុំមិនចូលចិត្តឃ្លានេះទេប៉ុន្តែយោងទៅតាមអារម្មណ៍ប្រធានបទ 20-40% នៃម៉ាស៊ីនមេបណ្តោះអាសន្នបែបនេះនៅតែមានរយៈពេលយូរ។
2. ពាក្យសម្ងាត់សកលស្មុគស្មាញដែលត្រូវបានប្រើនៅក្នុងសេវាកម្មជាច្រើនគឺអាក្រក់។ ដោយសារតែសេវាមួយក្នុងចំណោមសេវាកម្មដែលពាក្យសម្ងាត់នេះត្រូវបានប្រើអាចត្រូវបានគេលួចចូល។ វិធីមួយ ឬមធ្យោបាយផ្សេងទៀត មូលដ្ឋានទិន្នន័យនៃសេវាកម្មដែលបានលួចចូលបានប្រមូលផ្តុំគ្នា ដែលត្រូវបានប្រើប្រាស់សម្រាប់ [brute force]*។
   វាមានតម្លៃបន្ថែមថាបន្ទាប់ពីការដំឡើង redis, mongodb និង elastic ជាទូទៅអាចប្រើបានដោយគ្មានការផ្ទៀងផ្ទាត់ ហើយជារឿយៗត្រូវបានបំពេញបន្ថែម។ ការប្រមូលផ្តុំនៃមូលដ្ឋានទិន្នន័យបើកចំហ.
3. វាហាក់ដូចជាគ្មាននរណាម្នាក់នឹងស្កេនច្រក 3306 របស់អ្នកក្នុងរយៈពេលពីរបីថ្ងៃ។ វាជាការបំភាន់! Masscan គឺជាម៉ាស៊ីនស្កែនដ៏ល្អឥតខ្ចោះ ហើយអាចស្កេននៅច្រក 10M ក្នុងមួយវិនាទី។ ហើយមានតែ 4 ពាន់លាន IPv4 នៅលើអ៊ីនធឺណិត។ ដូច្នោះហើយច្រក 3306 ទាំងអស់នៅលើអ៊ីនធឺណិតមានទីតាំងនៅ 7 នាទី។ ឆាល!!! ប្រាំពីរនាទី!
   "អ្នកណាត្រូវការវា?" - អ្នកជំទាស់។ ដូច្នេះ ខ្ញុំ​មាន​ការ​ភ្ញាក់​ផ្អើល​ពេល​ខ្ញុំ​មើល​ស្ថិតិ​នៃ​កញ្ចប់​ដែល​បាន​ធ្លាក់​ចុះ។ តើការព្យាយាមស្កេនចំនួន 40 ពាន់ពី IP តែមួយគត់ 3 ពាន់មកពីណាក្នុងមួយថ្ងៃ? ឥឡូវនេះគ្រប់គ្នាកំពុងស្កេន ពីពួក Hacker របស់ម្តាយ រហូតដល់រដ្ឋាភិបាល។ វាងាយស្រួលណាស់ក្នុងការត្រួតពិនិត្យ - យក VPS ណាមួយក្នុងតម្លៃ 3-5 ដុល្លារពីក្រុមហ៊ុនអាកាសចរណ៍ដែលមានតម្លៃទាប ** បើកការកត់ត្រាកញ្ចប់ដែលបានទម្លាក់ ហើយមើលកំណត់ហេតុក្នុងមួយថ្ងៃ។

ការបើកដំណើរការកំណត់ហេតុ

នៅក្នុង /etc/iptables/rules.v4 បន្ថែមដល់ទីបញ្ចប់៖
-A បញ្ចូល -j LOG --log-prefix "[FW - ALL]" --log-level 4

ហើយនៅក្នុង /etc/rsyslog.d/10-iptables.conf
:msg,មាន,"[FW -" /var/log/iptables.log
& បញ្ឈប់

DDoS លើ IP

ប្រសិនបើអ្នកវាយប្រហារស្គាល់ IP របស់អ្នក គាត់អាចប្លន់ម៉ាស៊ីនមេរបស់អ្នករយៈពេលជាច្រើនម៉ោង ឬច្រើនថ្ងៃ។ មិនមែនអ្នកផ្តល់សេវាបង្ហោះដែលមានតម្លៃទាបទាំងអស់មានការការពារ DDoS ទេ ហើយម៉ាស៊ីនមេរបស់អ្នកនឹងត្រូវបានផ្តាច់ចេញពីបណ្តាញ។ ប្រសិនបើអ្នកលាក់ម៉ាស៊ីនមេរបស់អ្នកនៅពីក្រោយ CDN កុំភ្លេចផ្លាស់ប្តូរ IP បើមិនដូច្នេះទេ ហេកឃ័រនឹង google វា ហើយ DDoS ម៉ាស៊ីនមេរបស់អ្នករំលង CDN (កំហុសដ៏ពេញនិយម)។

ភាពងាយរងគ្រោះនៃសេវាកម្ម

កម្មវិធីពេញនិយមទាំងអស់ឆាប់ឬក្រោយមករកឃើញកំហុស សូម្បីតែកម្មវិធីដែលសាកល្បង និងរិះគន់បំផុតក៏ដោយ។ ក្នុងចំណោមអ្នកឯកទេស IB មានរឿងកំប្លែងពាក់កណ្តាល - សុវត្ថិភាពនៃហេដ្ឋារចនាសម្ព័ន្ធអាចត្រូវបានវាយតម្លៃដោយសុវត្ថិភាពនៅពេលនៃការធ្វើបច្ចុប្បន្នភាពចុងក្រោយ។ ប្រសិនបើហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកសំបូរទៅដោយកំពង់ផែដែលចេញចូលពិភពលោក ហើយអ្នកមិនបានអាប់ដេតវាអស់រយៈពេលមួយឆ្នាំ នោះអ្នកឯកទេសសន្តិសុខនឹងប្រាប់អ្នកដោយមិនមើលថាអ្នកមានការលេចធ្លាយនោះទេ ហើយភាគច្រើនទំនងជាត្រូវបានលួចចូលរួចហើយ។
វាក៏មានតម្លៃផងដែរក្នុងការនិយាយថាភាពងាយរងគ្រោះទាំងអស់ដែលធ្លាប់ស្គាល់ពីមុនមក។ សូមស្រមៃគិតអំពីអ្នកលួចចូលដែលបានរកឃើញភាពងាយរងគ្រោះបែបនេះ ហើយបានស្កែនអ៊ីនធឺណេតទាំងមូលក្នុងរយៈពេល 7 នាទីសម្រាប់វត្តមានរបស់វា... នេះជាការរីករាលដាលនៃមេរោគថ្មី) យើងត្រូវធ្វើបច្ចុប្បន្នភាព ប៉ុន្តែវាអាចប៉ះពាល់ដល់ផលិតផល។ ហើយអ្នកនឹងត្រឹមត្រូវប្រសិនបើកញ្ចប់មិនត្រូវបានដំឡើងពីឃ្លាំងប្រព័ន្ធប្រតិបត្តិការផ្លូវការ។ តាមបទពិសោធន៍ ការធ្វើបច្ចុប្បន្នភាពពីឃ្លាំងផ្លូវការកម្រនឹងធ្វើឱ្យខូចផលិតផល។

កម្លាំងសាហាវ

ដូចដែលបានរៀបរាប់ខាងលើ មានមូលដ្ឋានទិន្នន័យដែលមានពាក្យសម្ងាត់ពាក់កណ្តាលពាន់លាន ដែលងាយស្រួលវាយពីក្តារចុច។ ម្យ៉ាងវិញទៀត ប្រសិនបើអ្នកមិនបានបង្កើតពាក្យសម្ងាត់ទេ ប៉ុន្តែបានវាយបញ្ចូលនិមិត្តសញ្ញានៅជាប់គ្នានៅលើក្តារចុច សូមប្រាកដថាអ្នកនឹងត្រូវបានប្លន់។

ភាពងាយរងគ្រោះនៃជង់ខឺណែល

វាក៏កើតឡើងផងដែរ **** ដែលវាមិនសំខាន់សូម្បីតែសេវាកម្មណាមួយបើកច្រក នៅពេលដែលបណ្តាញខឺណែលជង់ខ្លួនវាងាយរងគ្រោះ។ នោះគឺពិតជារន្ធ tcp/udp ណាមួយនៅលើប្រព័ន្ធដែលមានអាយុកាល XNUMX ឆ្នាំគឺងាយនឹងទទួលរងនូវភាពងាយរងគ្រោះដែលនាំទៅដល់ DDoS ។

ការវាយប្រហារ DDoS កើនឡើង

វានឹងមិនបណ្តាលឱ្យមានការខូចខាតដោយផ្ទាល់នោះទេ ប៉ុន្តែវាអាចស្ទះឆានែលរបស់អ្នក បង្កើនការផ្ទុកនៅលើប្រព័ន្ធ IP របស់អ្នកនឹងបញ្ចប់នៅក្នុងបញ្ជីខ្មៅ***** ហើយអ្នកនឹងទទួលបានការរំលោភបំពានពីអ្នកបង្ហោះ។

តើអ្នកពិតជាត្រូវការហានិភ័យទាំងអស់នេះមែនទេ? បន្ថែម IP ផ្ទះ និងកន្លែងធ្វើការរបស់អ្នកទៅក្នុងបញ្ជីស។ ទោះបីជាវាមានលក្ខណៈថាមវន្តក៏ដោយ សូមចូលតាមរយៈផ្ទាំងគ្រប់គ្រងរបស់អ្នកបង្ហោះ តាមរយៈកុងសូលគេហទំព័រ ហើយគ្រាន់តែបន្ថែមមួយផ្សេងទៀត។

ខ្ញុំបានសាងសង់ និងការពារហេដ្ឋារចនាសម្ព័ន្ធ IT អស់រយៈពេល 15 ឆ្នាំមកហើយ។ ខ្ញុំបានបង្កើតច្បាប់មួយដែលខ្ញុំណែនាំយ៉ាងមុតមាំដល់មនុស្សគ្រប់គ្នា - គ្មានច្រកមិនគួរចូលទៅក្នុងពិភពលោកដោយគ្មានបញ្ជីស.

ឧទាហរណ៍ ម៉ាស៊ីនមេគេហទំព័រដែលមានសុវត្ថិភាពបំផុត *** គឺជាម៉ាស៊ីនមេដែលបើក 80 និង 443 សម្រាប់តែ CDN/WAF ប៉ុណ្ណោះ។ ហើយច្រកសេវាកម្ម (ssh, netdata, bacula, phpmyadmin) គួរតែនៅពីក្រោយបញ្ជីស ហើយថែមទាំងល្អជាងនៅខាងក្រោយ VPN ។ បើមិនដូច្នោះទេ អ្នកប្រថុយនឹងការសម្របសម្រួល។

នោះហើយជាអ្វីដែលខ្ញុំចង់និយាយ។ បិទច្រករបស់អ្នក!

• (1​) UPD១៤: វាគឺជាការ អ្នកអាចពិនិត្យមើលពាក្យសម្ងាត់សកលរបស់អ្នក (កុំធ្វើបែបនេះដោយមិនជំនួសពាក្យសម្ងាត់នេះដោយចៃដន្យនៅក្នុងសេវាកម្មទាំងអស់។) ថាតើវាបានបង្ហាញខ្លួននៅក្នុងមូលដ្ឋានទិន្នន័យដែលបានបញ្ចូលគ្នា។ ហើយនៅទីនេះ អ្នកអាចមើលថាតើសេវាប៉ុន្មានត្រូវបានលួច កន្លែងដែលអ៊ីមែលរបស់អ្នកត្រូវបានរួមបញ្ចូល ហើយតាមនោះ រកមើលថាតើពាក្យសម្ងាត់សកលដ៏ត្រជាក់របស់អ្នកត្រូវបានសម្របសម្រួលឬអត់។
• (2) ចំពោះឥណទានរបស់ក្រុមហ៊ុន Amazon LightSail មានការស្កេនតិចតួចបំផុត។ តាមមើលទៅពួកគេត្រងវាតាមរបៀបណាមួយ។
• (3) ម៉ាស៊ីនមេគេហទំព័រដែលមានសុវត្ថិភាពជាងនេះគឺនៅពីក្រោយជញ្ជាំងភ្លើងដែលខិតខំប្រឹងប្រែង WAF ផ្ទាល់របស់វា ប៉ុន្តែយើងកំពុងនិយាយអំពី VPS/Dedicated សាធារណៈ។
• (4) បំណែក។
• (5) Firehol ។

មានតែអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះប៉ុណ្ណោះដែលអាចចូលរួមក្នុងការស្ទង់មតិនេះ។ ចូលសូម។

តើច្រករបស់អ្នកបិទទេ?

• ជានិច្ច

• ពេលខ្លះ

• មិនដែល

• ខ្ញុំមិនដឹងទេ fuck

អ្នកប្រើប្រាស់ 54 នាក់បានបោះឆ្នោត។ អ្នកប្រើប្រាស់ ៧៨ នាក់ត្រូវបានហាមឃាត់។

ប្រភព: www.habr.com