Car û car, piştî ku vekolînek pêk anî, di bersiva pêşniyarên min de ji bo veşartina benderan li pişt navnîşek spî, ez bi dîwarê têgihîştinê re rû bi rû hatim. Tewra rêvebirên / DevOps pir xweş jî dipirsin: "Çima?!?"
Ez pêşniyar dikim ku rîskan bi rêza daketinê ya îhtîmala rûdan û zirarê bihesibînin.
- Çewtiya veavakirinê
- DDoS li ser IP
- Hêza hov
- qelsiyên xizmetê
- Qelsiyên kernel stack
- Êrîşên DDoS zêde bûn
Çewtiya veavakirinê
Rewşa herî tîpîk û xeternak. Çawa dibe. Pêşdebir pêdivî ye ku zû hîpotezê biceribîne; ew bi mysql / redis / mongodb / elastic serverek demkî saz dike. Şîfre, bê guman, tevlihev e, ew li her derê bikar tîne. Ew karûbar ji cîhanê re vedike - ji bo wî rehet e ku bêyî van VPN-yên we ji PC-ya xwe ve girêbide. Û ez pir tembel im ku ez hevoksaziya iptables bi bîr bînim; server her weha demkî ye. Çend rojên din ên pêşkeftinê - ew pir xweş derket, em dikarin wê ji xerîdar re nîşan bidin. Xerîdar jê hez dike, wext tune ku wê ji nû ve bikin, em wê di PROD de bidin destpêkirin!
Mînakek ku bi qestî hatiye zêdekirin da ku di nav hemî rakêşan de derbas bibe:
- Tiştek ji demkî mayîndetir tune - ez ji vê hevokê hez nakim, lê li gorî hestên subjektîf, 20-40% ji serverên weha yên demkî ji bo demek dirêj dimînin.
- Şîfreyek gerdûnî ya tevlihev a ku di gelek karûbaran de tê bikar anîn xirab e. Ji ber ku yek ji servîsên ku ev şîfre lê dihat bikaranîn dikaribû hatibe hackkirin. Bi rengekî din, databasên karûbarên hackkirî diherikin yek, ku ji bo [hêza hov]* tê bikar anîn.
Hêjayî gotinê ye ku piştî sazkirinê, redis, mongodb û elastic bi gelemperî bêyî pejirandinê peyda dibin, û bi gelemperî têne dagirtin. . - Dibe ku dixuye ku kes dê di nav çend rojan de porta weya 3306 skan neke. Ev xapandinek e! Masscan skanerek hêja ye û dikare di saniyeyê de 10M portan bişopîne. Û li ser Înternetê tenê 4 milyar IPv4 hene. Li gorî vê yekê, hemî 3306 portên li ser Înternetê di 7 hûrdeman de cih digirin. Charles!!! Seven minutes!
"Kî hewcedarê vê yekê ye?" - tu îtîraz dikî. Ji ber vê yekê ez şaş dimînim dema ku ez li statîstîkên pakêtên daketî dinêrim. Rojê 40 hezar hewildanên şopandinê ji 3 hezar IP-yên bêhempa ji ku tê? Naha her kes dişoxilîne, ji hakerên dayikê bigire heya hukûmetan. Kontrolkirin pir hêsan e - VPS-ê bi 3-5 $ ji her balafirgehek erzan ** bistînin, têketina pakêtên daketî çalak bikin û di rojekê de li têketinê binihêrin.
Têketinê çalak dike
Li /etc/iptables/rules.v4 dawîyê lê zêde bike:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4
Û li /etc/rsyslog.d/10-iptables.conf
:msg,dihewîne,"[FW - "/var/log/iptables.log
& raweste
DDoS li ser IP
Ger êrîşkar IP-ya we dizane, ew dikare servera we çend demjimêr an rojan birevîne. Ne hemî pêşkêşkerên mêvandariyê yên lêçûn xwedî parastina DDoS ne û servera we dê bi tenê ji torê were qut kirin. Ger we servera xwe li pişt CDN veşartiye, ji bîr nekin ku IP-yê biguhezînin, wekî din hackerek wê google bike û servera we DDoS-ê ji CDN-ê derbas bike (şaşiyek pir populer).
qelsiyên xizmetê
Hemî nermalava populer zû an dereng xeletiyan dibîne, hetta yên herî ceribandin û krîtîk. Di nav pisporên IB-ê de, nîv- henekek heye - ewlehiya binesaziyê dikare heya dema nûvekirina paşîn bi ewlehî were nirxandin. Ger binesaziya we di benderên ku li cîhanê derketine de dewlemend e, û we salek ew nûve nekiriye, wê hingê pisporek ewlehiyê dê ji we re bêje bêyî ku binihêre ku hûn diherikin, û bi îhtimaleke mezin jixwe hatine hackkirin.
Her weha hêjayî gotinê ye ku hemî qelsiyên naskirî berê nedihatin zanîn. Bifikirin hackerek ku lawaziyek wusa dîtiye û ji bo hebûna wê di nav 7 hûrdeman de tevahiya Înternetê seh kiriye... Li vir serpêhatiyek nû ya vîrusê heye) Divê em nûve bikin, lê ev dikare zirarê bide hilberê, hûn dibêjin. Û hûn ê rast bin heke pakêt ji depoyên fermî yên OS-ê neyên saz kirin. Ji ezmûnê, nûvekirinên ji depoya fermî kêm kêm hilberê dişkînin.
Hêza hov
Wekî ku li jor hatî destnîşan kirin, databasek bi nîv mîlyar şîfreyên ku ji klavyeyê binivîsin rehet e heye. Bi gotinek din, heke we şîfreyek çênekir, lê sembolên cîran li ser klavyeyê nivîsandin, pê ewle bin * ku ew ê we tevlihev bikin.
Qelsiyên kernel stack.
Di heman demê de diqewime **** ku ne girîng e ku kîjan karûbarê portê vedike, gava ku stûna torê ya kernel bixwe xeternak e. Ango, bêkêmasî her soketek tcp / udp li ser pergalek du-salî ji xetereyek ku berbi DDoS-ê ve diçe xeternak e.
Êrîşên DDoS zêde bûn
Ew ê bibe sedema zirarek rasterast, lê ew dikare kanala we bişewitîne, barkirina pergalê zêde bike, IP-ya we dê di hin navnîşa reş ****** de biqede, û hûn ê destdirêjiyê ji mêvandar bistînin.
Ma hûn bi rastî hewceyê van hemî xetereyan in? IP-ya xanî û xebata xwe li navnîşa spî zêde bikin. Her çend ew dînamîk be jî, bi navgîniya panela rêveberiyê ya mêvandar, bi navgîniya konsolê malperê ve têkevinê, û tenê yekek din lê zêde bikin.
Ez 15 sal in binesaziya IT ava dikim û diparêzim. Min qaîdeyek pêşxistiye ku ez bi tundî ji her kesî re pêşniyar dikim - divê tu port bêyî navnîşek spî dernekevin cîhanê.
Mînakî, servera malperê ya herî ewledar *** ew e ku 80 û 443 tenê ji bo CDN / WAF vedike. Û portên karûbarê (ssh, netdata, bacula, phpmyadmin) divê bi kêmî ve li paş navnîşa spî, û hêj çêtir li pişt VPN-ê bin. Wekî din, hûn rîska tawîzê didin.
Tiştê ku min dixwest bibêjim ev bû. Portên xwe girtî bihêlin!
- (1) UPD1: hûn dikarin şîfreya xweya gerdûnî ya xweş kontrol bikin (vê yekê nekin bêyî ku vê şîfreyê di hemî karûbaran de bi yekî rasthatî veguherînin), gelo ew di databasa hevgirtî de xuya bû. hûn dikarin bibînin ka çend karûbar hatine hack kirin, li ku derê e-nameya we tê de bû, û, li gorî vê yekê, fêr bibin ka şîfreya weya gerdûnî ya xweş têkçûye.
- (2) Li gorî krediya Amazon, LightSail xwedan şopên hindik e. Xuya ye ku ew bi rengekî fîlter dikin.
- (3) Pêşkêşkarek webê ya hê ewledar ew e ku li pişt dîwarê fîşekek taybetî, WAF-a xwe ye, lê em li ser VPS / Veqetandî ya gelemperî diaxivin.
- (4) Segmentsmak.
- (5) Firehol.
Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. ji kerema xwe.
Ma portên we derdixin?
- Herdem
- Carinan
- Caran
- Nizanim, kezeb
54 bikarhêneran deng dan. 6 bikarhêner jî betal bûn.
Source: www.habr.com