Variti praesidio contra automata et DDoS impetus enucleatur, et etiam accentus et onus probatio agit. In colloquio HighLoad ++ 2018 collocuti sumus quomodo facultates ab variis impugnationibus obtinendas. In summa: partes segregatae systematis, officia nubes utere et CDNs et renovatio regulariter. Sed adhuc sine societatibus specialibus praesidiis obire non poteris :)
Priusquam textum legeris, brevibus abstractis legere potes .
Et si non placet legere vel solum vis videre, memoria relationis nostrae infra praedo est.
Video recording de fama
Multae societates iam sciunt facere probationem onerare, sed non omnes probationes accentus faciunt. Aliqui e nostris clientibus putant locum suum invulnerabilem esse quia systema aggeris habent, et ab oppugnationibus bene tutatur. Hoc non omnino verum esse ostendimus.
Scilicet, antequam probationes peragant, licentiam obtinemus a emptore, signato et impresso, et ope nostra impetus DDoS in aliquem exerceri non potest. Testis tempore a emptore electo exercetur, cum negotiatio subsidiorum minima est, et difficultates accessus clientes non afficiunt. Praeterea, cum aliquid in probatione semper erraverit, assidue commercium cum emptore habemus. Hoc tibi permittit non solum eventus res gestas referre, sed etiam aliquid in probatione mutare. Peracta probatione relationem semper conficimus in qua deprehensis defectus demonstramus et commendationes praebemus ad tollendas infirmitates situs.
Quomodo laboramus?
Cum tentamus, botnet aemulamur. Cum clientibus laboramus, qui in retibus nostris non sunt locati, ut experimentum primo minuto ob limites vel tutelam urgente non desinat, onus non ex IP, sed ex nostro subneto suppeditamus. Plus, ut magnum onus crearet, habemus nostrum satis potentem testem servitorem.
Postulates
Nimium non intelliguntur bona
Quo minus onere ad defectum subsidii afferre possumus, eo melius. Si locum sistendum efficere potes in una petitione per secundam operationem, vel etiam una petitio per minutias, hoc magnum est. Quia secundum legem ignobilitatis, utentes vel impugnatores, casualiter in hanc vulnerabilitatem cadunt.
Partialis defectum melius quam completum defectum
Systemata heterogenea facienda semper admonemus. Valet autem eas separare in gradu corporali, et non solum per continentiam. In separatione physica, etsi aliquid in situ deficiat, magna probabilitas est quod omnino operari non desinet, et utentes aditus saltem ad officiationis partem pergent.
Bene architectura fundamentum est sustineri
Culpa tolerantia subsidii et facultas sustinendi impetus et onera statuenda est in statu consiliorum, immo in stadio trahendi primos flows in nota. Quia si fatales errores irrepant, in posterum corrigere potest, sed difficillimum est.
Non solum codicem bonum esse oportet, sed etiam figuram
Multi putant turmam evolutionis bonam esse cautionem culpae patientis muneris. Bonum progressionem ipsum dolor sit necessaria, sed etiam esse bonae operationes, bonum DevOps. Hoc est, tortoribus opus est, qui Linux et retia recte configurabunt, recte scribentes in nginx, limites positi, etc. Alioquin facultas bene experiendi faciet, et aliquando omnia in productione frangentur.
Differentiae inter onus et accentus probatio
Onus probatio permittit ut limites agendi ratiocinandi cognoscas. Accentus probatio spectat ad infirmitates in systemate inveniendas et ad hanc systema solvendam adhibita et vide quomodo se habeat in processu partium quarundam defectuum. In hoc casu, natura oneris emptori plerumque ignota manet antequam accentus probatio incipit.
Proprietates L7 impetus
Genera oneris in L7 et L3&4 gradus dividere consuevimus. L7 onus in gradu applicationis est, frequentius solum HTTP significat, sed quodlibet onus in gradu TCP protocollo intelligimus.
L7 impetus certas notas habent. Uno modo, directe applicatio, id est, per modum retis, id est probabile quod reflectitur. Tales impetus logices utuntur, et ob hoc CPU, memoriam, disci, datorum aliasque facultates efficacissime et cum minimo commercio consumunt.
HTTP Diluvium
In omni impetu facilius onus creare quam tractare, quod etiam in L7 verum est. Non semper facile est discernere impetum negotiationis a legitimo commercio, quod saepissime fieri potest frequentia, sed si omnia recte disponuntur, tunc impossibile est intelligere de lignis ubi impetus est et ubi legitimae petitiones sunt.
Primum exemplum, impetum HTTP Diluvium considera. Aliquam lacinia purus ostendit tales impetus solere esse valde potentes, in exemplo infra, numerus petitionum 600 milium per minutias exceditur.
HTTP Diluvium facillimum est ad onus creandum. De more, instrumentum quoddam oneris probandi, ut ApacheBench, accipit, et petitio et signum ponit. Tali simplici accessu, magna probabilitas est currendi in servo caching, sed facile est eam praeterire. Exempli causa, chordas temere addens petitioni, quae servo ut nova pagina constanter serviat.
Etiam, ne obliviscaris agentis usoris in processu oneris creandi. Multi agentes populares probati instrumentorum ab administratoribus systematis percolantur, et hoc in casu sarcina simpliciter ad tergum non attingit. Signanter eventum emendare potes inserendo plus minusve validum caput e navigatro in rogatum.
Ut simplex impetus Diluvii HTTP sunt, etiam vitia sua habent. Uno modo, magna vis virtutis requiritur ad onus creandum. Secundo tales impetus facillime deprehendunt, praesertim si ab una electronica veniunt. Quam ob rem, petitiones statim incipiunt eliquare vel ab administratoribus systematis vel etiam a provisore gradu.
Quid quaerere?
Numerum petitionum secundorum sine amissione efficientiae reducere, debes parum ostendere et locum explorare. Ita non solum canalem aut ministrantem onerare potes, sed etiam singulas partes applicationis, exempli gratia, databases vel fasciculi systematis. Potes etiam quaerere loca in situs qui calculas magnas faciunt: calculatores, paginas selectas productas, etc. Saepe denique evenit ut situs scriptionis PHP quamdam habeat, quae paginam plurium milium versuum gignit. Talis scriptura etiam signanter servo onerat et signum fieri potest pro oppugnatione.
Ubi quaerere
Cum subsidia ante probationem lustramus, primum inspicimus, utique in ipso situ. Exspectamus omnes species agrorum inputium, fasciculorum gravium - generatim, omnia quae difficultates pro subsidio creare possunt et operationem eius retardare possunt. Instrumenta progressionis Banalis in Google Chrome et Firefox hic adiuvant, ostendens paginam responsionis tempora.
Nos quoque subdomains scan. Exempli gratia, est quaedam copia online, abc.com, et habet subdomain admin.abc.com. Verisimile, haec tabula cum auctoritate admin est, sed si onus ei imponis, problemata praecipua subsidii creare potest.
Situs habere potest subdomain api.abc.com. Verisimile est haec subsidia applicationum mobilium. Applicatio in App Store vel Google Play inveniri potest, specialem punctum accessum install, API dissectet et rationum actis subcriptio. Difficultas est, quod homines saepe existimant, quidquid auctoritate auctoritate munitum est, ab negatione servitutis impugnatae immunem esse. Licet, auctoritas est optima CAPTCHA, sed non est. Rationes probandi facile est 10-20 rationes facere, sed eas creando accessum ad functiones implicatas et fucatas accedimus.
Naturaliter historiam spectamus, in robots.txt et WebArchive, ViewDNS, et antiquas versiones subsidii quaerimus. Aliquando accidit ut tincidunt devoluti sint, dicunt, mail2.yandex.net, sed vetus versio, mail.yandex.net, manet. Haec mail.yandex.net non diutius sustinetur, opes evolutionis ei non partita sunt, sed datorum absumere pergit. Itaque, vetere versione utens, efficaciter uteris facultatibus ad tergum et omnia quae sunt post extensionem. Utique hoc non semper accidit, sed hoc saepius occurrimus.
Naturaliter omnem petitionem parametri ac crustulum structuram resolvemus. Potes, inquam, TUBER aliquem valorem in JSON ordinata intra crustulum, multum nidificandi et fac opum opus sine ratione longi temporis.
Quaerere onus
Primum quod in mentem venit cum locum investigationis datorum onerare est, cum fere omnes investigationem habeat, et pro omnibus fere, proh dolor, male tuta est. Horum autem causa tincidunt non satis attendunt ad quaerendum. Sed una est hic commendatio - non eiusdem generis postulare, quia caching occurras, sicut in diluvio HTTP fit.
Quaesitum incertis rebus datorum etiam non semper efficax est. Multo melius est indicem creare keywords qui ad inquisitionem pertinentes sunt. Si ad exemplum copiae online revertamur: dicamus situs vendit currus tires et sino te ponere radium coronarum, typum currus aliorumque parametri. Ideo, coniunctiones verborum pertinentium vim datorum ad operandum in condicionibus multo magis implicatis cogent.
Praeterea valet pagina uti: multo difficilius est investigationem reddere quam primam paginae inquisitionis penultimam. Hoc est, ope paginationis sarcinam leviter variare potes.
Exemplum infra ostendit onus inquisitionis. Perspici potest quod ab ipso primo secundo experimenti in celeritate decem petitionum secundarum, situs descendit et non respondit.
Si nulla est quaestio?
Si quaesitio non est, hoc non significat situm alios input agros vulnerabiles non continere. Hic ager potest esse auctoritas. Nunc tincidunt, ut hashes multiplices facere ad defensionem datorum login datorum ab impetu mensae iride. Hoc bonum est, sed multum opibus CPU hashes consumunt. Magna auctoritas falsarum profluvium ducit ad defectum processus, et per consequens locus operatur.
Praesentia in situ omnium generum commentaria et opiniones causa est ut permagnos ibi textus mittere vel simpliciter diluvium ingens crearet. Aliquando situs imaginum affixarum accipimus, in forma gzip inclusis. In hoc casu fasciculum 1TB accipimus, eam pluribus bytes vel kilobytis utentes gzip comprime et ad locum mitte. Tunc unzipped et effectum valde interesting obtinet.
reliqua API
Velim ad tam popularia officia quam Caeterae API parum attendere. Secura Requiem API multo difficilius quam ordinarius website. Etiam triviales modi tutelae contra password vim violentam et alia illegitima actio reliquis API non laborant.
Caetera API facillime erumpere est quia recta datorum accessiones est. Eodem tempore, defectus talis servitii, res graves secumfert eventus. Res est cetera API solere adhiberi non solum pro principali loco, sed etiam pro mobili applicatione et aliqua re interna opum. Et si haec omnia cadunt, effectus multo fortius quam in casu simplicis defectus.
Contentus gravibus loading
Si praebentur aliqua applicatione ordinaria ad singulas paginas experiendi, paginam expositis, vel in autocineto negotiato quod intricata functionem non habet, gravia argumenta quaerimus. Exempli gratia: magnae imagines quas ministrans mittit, tabulae binariae, documenta pdf - haec omnia excutere conamur. Tales probationes rationes tabellae bene et impeditivae canales onerant, ideoque efficaces sunt. Hoc est, etiam si servo descendentem non ponis, magnas tabulas in humili velocitate deprimens, simpliciter impedit alveum scopo servientis et tunc erit negatio servitii.
Exemplum talis probationis ostendit quod in velocitate 30 RPS situs respondere desiit vel 500 errorum servo producit.
Noli oblivisci circa constituendum servientibus. Saepe invenire potes hominem emisse machinam virtualem, Apache ibi inauguratus, omnia defalta configurare, applicationem PHP inaugurari, et infra eventum videre potes.
Hic onus ad radicem ibat et ad tantum X RPS. Expectavimus V minuta et server ingruat. Verum est quod non est perfecte notum quare cecidit, sed est suppositio quod simpliciter habuit nimium memoriam et ideo respondere desiit.
Fluctus fundatur
Proximo anno vel altero, impetus undarum satis popularis facti sunt. Inde accidit quod multae consociationes quaedam fragmenta ferramentorum pro praesidio DDoS emunt, quae certum temporis spatium requirunt ad statisticam cumulare ut impetum eliquare incipiant. Hoc est, impetum in primis 30-40 secundis non spargunt, quia data cumulant et discunt. Itaque in his 30-40 secundis tam in situ quam subsidio diu morabitur, donec petitiones omnes purgatae sint.
Cum de oppugnatione infra, intervallum erat 10 minutarum, quo nova portio demissa oppugnationis pervenit.
Hoc est, defensionis eruditorum, eliquare incepit, sed nova omnino alia portio oppugnationis advenit, et rursus doctrina defensionis incepit. Nam eliquare operatur, tutela inefficax fit, situs inaccessibilis est.
Impetus fluctus maximis valoribus ad apicem notantur, potest ad centum milia vel decies centena millia petitiones per alterum, in casu L7. Si loquimur de L3&4, tunc centum gigabitarum negotiationis possunt esse, aut proinde centena mpps, si numeres in facis.
Difficultas eiusmodi impetus synchronisation est. Impetus ex botnet veniunt et summam synchronizationem requirunt ut amplissimum unum tempus clavum efficiat. Et haec coordinatio non semper elaborat: interdum output est aliquod genus parabolicum cacumen, quod magis patheticum spectat.
Non solum HTTP
Praeter HTTP in L7, aliis protocolla uti volumus. Pro regula, locus ordinarius, praesertim regularis obnoxius, epistulas habet protocolla et MySQL exserta. Protocolla epistulae minus oneri quam databases subiectae sunt, sed etiam satis efficaciter onerari possunt ac demum cum CPU onusto in calculonis servi.
Nos satis realitatis successum cum 2016 SSH passibilitate habuimus. Haec autem vulnerabilitas omnibus fere fixa est, sed hoc non significat sarcinam SSH subici non posse. Can. Tantum ingens onus authoritatum est, SSH paene totum CPU in calculonis exedens, ac deinde pagina una vel altera per alterum petitiones concidit. Ideoque hae una vel duae petitiones ligni innixae a legitimo onere discerni non possunt.
Multae nexus quas in ministris aperimus etiam pertinentes manent. Antea, Apache huius rei reus, nunc nginx re ipsa laborat, cum saepe per defaltam figuratus sit. Numerus nexuum quos nginx servare potest apertum limitatum est, sic aperimus hunc numerum nexuum, nginx non amplius novam connexionem accipimus, et per consequens situs non operatur.
Test botrus noster satis habet CPU ad oppugnationem handshake SSL. Principio, ut usus ostendit, botnets interdum id quoque facere volunt. Ex altera parte, manifestum est sine SSL facere non posse, quia Google proventus, ordo, securitas. Contra, SSL infeliciter CPU exitus habet.
L3&4
Cum de oppugnatione in gradu L3&4 loquimur, plerumque de oppugnatione in gradu nexus loquimur. Talis onus fere semper a legitimo discernitur, nisi impetus SYN-diluvii sit. Problema cum oppugnationibus SYN-diluvii instrumentorum securitatis magnum volumen eorum est. Maxima L3&4 valor 1,5-2 Tbit/s. Hoc genus negotiationis difficillimum est etiam pro magnis societatibus, Oraculo et Google procedere.
SYN et SYN-ACK sunt fasciculi qui in nexu constituendo adhibentur. Ergo SYN-diluvium difficile est distinguere ab onere legitimo: non liquet utrum haec sit syn quae nexum constituat, an pars diluvii.
UDP-diluvium
De more oppugnantium facultates quas habemus non habent, ideo amplificatio ad impetus ordinandos adhiberi potest. Hoc est, oppugnator Penitus perlustrat et invenit servos vel vulnerabiles vel non recte conformatos, exempli gratia, in responsione ad unum SYN fasciculum, cum tribus SYN-ACKs. Per electronicam scuofing fons ex inscriptione clypei server, potestatem augere potest, ter cum uno fasciculo et redirectio negotiationis victimae augere.
Difficultas amplificationis est, quod difficile est deprehendere. Recentiora exempla includunt casum sensationalis vulnerabilis memcached. Plus, nunc multae machinae IOT sunt, IP camerae, quae etiam plerumque per defaltam figurantur et defalta perperam conformantur, quam ob rem saepissime oppugnatores per huiusmodi machinas impetus faciunt.
Difficilis SYN-diluvium
SYN-diluvium probabiliter maxime interesting genus oppugnationis ex parte viae viae est. Quaestio est quod administratores systematis IP saepe ad tutelam interclusi utuntur. Praeterea, IP interclusio afficit non solum administratores systematis qui scripta utentes agunt, sed etiam, proh dolor, nonnullas rationes securitatis quae multam pecuniam emuntur.
Haec methodus in calamitatem vertere potest, quod si oppugnatores IP inscriptiones restituant, societas subnet suam obstruet. Cum Firewall botrum suum obstruit, output externa interactiones deficient et subsidia deficient.
Praeterea non est difficile retiacula tua intercludere. Si munus clientis Wi-Fi retiacula habet, vel opum observantia mensuratur variis systematibus monitoriis utens, IP inscriptione huius systematis vigilantiae vel muneris Wi-Fi accipimus et pro fonte utere. In fine, subsidium praesto esse videtur, sed scopum IP inscriptionum interclusum est. Ita, retis Wi-Fi de colloquio HighLoad, ubi novus productus societatis exhibetur, impediri potest, et hoc certum negotium et sumptus oeconomicos secum fert.
In probatione amplificatione uti non possumus per memchached cum quibusvis externis facultatibus, quia pacta sunt negotia mittere solum ad IP inscriptiones permissas. Itaque amplificatione utimur per SYN et SYN-ACK, quando ratio respondet ad unum SYN cum duobus vel tribus SYN-ACKs missis, et in output impetus bis vel ter multiplicatur.
vasa cantici
Una praecipuorum instrumentorum quibus utimur pro L7 quod inposuit est Yandex-lacus. Speciatim phantasma pro sclopeto adhibetur, plus plura scripta sunt ad cartridges gignendas et ad eventus analyndos.
Tcpdump ad analysim negotiationis retis adhibetur, et Nmap ad solvendum servo adhibetur. Ad creandum pondus in gradu L3&4, OpenSSL et paulo magiae nostrae cum bibliotheca DPDK adhibentur. DPDK bibliotheca est e Intel quae te permittit operari cum interface retiacula transiliens ACERVUM Linux, unde efficientiam auget. Naturaliter DPDK non solum in gradu L3&4, sed etiam in gradu L7 utimur, quod nobis permittit ut altissimum onus fluere creare, intra plurium milionum per alterum numerum ab una machina petitiones.
Utimur etiam certis generantibus mercatura et instrumentis specialibus quae pro certis probationibus scribimus. Si meminimus vulnerabilitatem sub SSH, tunc superius institutum uti non potest. Si protocollum epistularum oppugnamus, utilitates epistularum accipimus vel scripta in eis simpliciter scribemus.
Inventiones
Consequens vellem dicere:
- Praeter onus classicum probatio, accentus experiri necesse est. Verum exemplum habemus ubi subcontractor socii tantum onus tentationis implevit. Ostendit subsidium onus normali sustinere posse. Sed tunc onus alius apparuit, situs visitatores paulo aliter resipiscere coeperunt, et consequenter subcontractor occubuit. Sic vulnerabilitates quaerunt, etiam si ab oppugnationibus DDoS iam muniti sunt.
- Necesse est quasdam partes systematis ab aliis segregare. Si investigationem habes, machinis separandis id est ne Docker quidem movere debes. Quia si quaesitio vel auctoritas deficit, saltem aliquid operari perseveret. In casu copiae online, utentes invenire products in catalogo erunt, ab aggregatore exi, emptum si iam auctoritate sunt, aut per OAuth2 auctorizo.
- Noli negligere eunetorum officia.
- Utere CDN non solum ad moras retis optimize, sed etiam pro instrumento defensionis contra impetus canalis defatigatio et simpliciter inundatio in statice negotiationis.
- Necesse est ut officia propria tutelae adhibeantur. Ab oppugnationibus L3&4 in gradu alvei te tueri non potes, quia verisimile simpliciter non sufficientem canalem habes. Tu quoque abhorret L7 impetus pugnandi, cum possit esse praegrandis. Plus, quaesitio parvarum oppugnationum adhuc est praerogativa muneris specialium, algorithmorum specialium.
- Renova iugiter. Hoc non solum ad nucleum, sed etiam ad SSH daemonem pertinet, praesertim si eas foris aperias. In principio, omnia renovanda sunt, quia tu credibile es posse quasdam vulnerabilitates in tuo proprio indagare.
Source: www.habr.com