Variti entwéckelt Schutz géint Bots an DDoS Attacken, a mécht och Stress- a Lasttesten. Op der HighLoad++ 2018 Konferenz hu mir geschwat wéi d'Ressourcen vu verschiddenen Attacken ze sécheren. Kuerz gesot: Deeler vum System isoléieren, Cloud Servicer an CDNs benotzen, a regelméisseg aktualiséieren. Awer Dir wäert ëmmer nach net fäeg sinn de Schutz ouni spezialiséiert Firmen ze handhaben :)
Ier Dir den Text liest, kënnt Dir déi kuerz Abstracts liesen .
A wann Dir net gär liest oder just de Video kucke wëllt, ass d'Opnahm vun eisem Bericht ënnert dem Spoiler.
Videoopnam vum Bericht
Vill Firme wësse scho wéi d'Laaschttesten maachen, awer net all maachen Stresstesten. E puer vun eise Clienten mengen datt hire Site onschëlleg ass well se en Highload System hunn, an et schützt gutt virun Attacken. Mir weisen datt dëst net ganz richteg ass.
Natierlech, ier mir Tester maachen, kréie mir d'Erlaabnis vum Client, ënnerschriwwen a gestempelt, a mat eiser Hëllef kann en DDoS Attack net op iergendeen duerchgefouert ginn. D'Tester ginn op enger Zäit vum Client gewielt, wann de Traffic op seng Ressource minimal ass, an Zougangsprobleemer wäerten d'Clienten net beaflossen. Ausserdeem, well während dem Testprozess ëmmer eppes falsch ka goen, hu mir e konstante Kontakt mam Client. Dëst erlaabt Iech net nëmmen d'Resultater z'erzielen, awer och eppes während dem Test z'änneren. Nom Ofschloss vum Test stelle mir ëmmer e Bericht op, an deem mir déi detektéiert Mängel weisen an Empfehlungen ginn fir d'Schwäche vum Site ze eliminéieren.
Wéi mir schaffen
Wann Dir testen, emuléiere mir e Botnet. Well mir mat Clienten schaffen, déi net op eise Netzwierker sinn, fir sécherzestellen datt den Test net an der éischter Minutt ophält wéinst Limiten oder Schutz ausgeléist ginn, liwwere mir d'Laascht net vun enger IP, mee vun eisem eegene Subnet. Plus, fir eng bedeitend Laascht ze kreéieren, hu mir eisen eegenen zimlech mächtege Testserver.
Postulaten
Zevill heescht net gutt
Déi manner Laascht kënne mir eng Ressource zum Echec bréngen, wat besser. Wann Dir de Site op enger Ufro pro Sekonn ophale kënnt, oder souguer eng Ufro pro Minutt, dat ass super. Well laut dem Gesetz vun der Béisheet, wäerten d'Benotzer oder Ugräifer zoufälleg an dës besonnesch Schwachstelle falen.
Deelweis Echec ass besser wéi komplett Echec
Mir roden ëmmer Systemer heterogen ze maachen. Ausserdeem ass et derwäert se um kierperlechen Niveau ze trennen, an net nëmmen duerch Containeriséierung. Am Fall vun enger kierperlecher Trennung, och wann eppes op de Site feelt, ass et eng grouss Wahrscheinlechkeet datt et net komplett ophale wäert ze schaffen, an d'Benotzer wäerte weider Zougang zu op d'mannst en Deel vun der Funktionalitéit hunn.
Gutt Architektur ass d'Basis fir Nohaltegkeet
D'Feeltoleranz vun enger Ressource a seng Fäegkeet fir Attacken a Laaschten ze widderstoen sollten an der Designstadium festgeluecht ginn, tatsächlech an der Etapp vun der Zeechnung vun den éischte Flowcharts an engem Notizbuch. Well wann fatale Feeler erakommen, ass et méiglech se an Zukunft ze korrigéieren, awer et ass ganz schwéier.
Net nëmmen de Code soll gutt sinn, awer och d'Konfiguratioun
Vill Leit mengen, datt eng gutt Entwécklung Equipe ass eng Garantie vun Feeler-tolerant Service. E gutt Entwécklungsteam ass wierklech néideg, awer et muss och gutt Operatioune sinn, gutt DevOps. Dat ass, mir brauche Spezialisten déi Linux an d'Netz korrekt konfiguréieren, Konfiguratioune korrekt an nginx schreiwen, Limiten setzen, etc. Soss funktionnéiert d'Ressource gutt nëmmen am Test, an iergendwann wäert alles an der Produktioun briechen.
Differenzen tëscht Belaaschtung a Stresstest
Last Testen erlaabt Iech d'Limite vum Systemfunktioun z'identifizéieren. Stress Tester zielt fir Schwächen an engem System ze fannen a gëtt benotzt fir dëse System ze briechen a kucken wéi et sech am Prozess vum Versoen vu verschiddenen Deeler behuelen. An dësem Fall bleift d'Natur vun der Laascht normalerweis dem Client onbekannt ier de Stresstest ufänkt.
Distinctive Fonctiounen vun L7 Attacken
Mir trennen normalerweis Zorte vu Laascht a Lasten um Niveauen L7 an L3&4. L7 ass eng Laascht um Applikatiounsniveau, meeschtens heescht et nëmmen HTTP, awer mir mengen all Laascht um TCP Protokoll Niveau.
L7 Attacken hu bestëmmte distinctive Fonctiounen. Als éischt kommen se direkt an d'Applikatioun, dat ass, et ass onwahrscheinlech datt se iwwer Netzwierkmëttelen reflektéiert ginn. Esou Attacke benotzen Logik, a wéinst dësem verbrauchen se CPU, Erënnerung, Disk, Datebank an aner Ressourcen ganz effizient a mat wéineg Traffic.
HTTP Iwwerschwemmung
Am Fall vun all Attack ass d'Laascht méi einfach ze kreéieren wéi ze handhaben, an am Fall vu L7 ass dat och richteg. Et ass net ëmmer einfach den Attack Traffic vum legitimen Traffic z'ënnerscheeden, a meeschtens kann dëst duerch Frequenz gemaach ginn, awer wann alles richteg geplangt ass, ass et onméiglech aus de Logbicher ze verstoen wou den Attack ass a wou déi legitim Ufroe sinn.
Als éischt Beispill betruecht en HTTP Flood Attack. D'Grafik weist datt esou Attacke normalerweis ganz mächteg sinn; am Beispill hei drënner ass d'Spëtztzuel vun Ufroen iwwer 600 Tausend pro Minutt iwwerschratt.
HTTP Flood ass deen einfachste Wee fir Laascht ze kreéieren. Typesch brauch et eng Aart vu Lasttestinstrument, sou wéi ApacheBench, a setzt eng Ufro an en Zil. Mat sou enger einfacher Approche gëtt et eng héich Probabilitéit fir an de Server Cache ze lafen, awer et ass einfach ze ëmgoen. Zum Beispill, zoufälleg Saiten op d'Ufro bäizefügen, wat de Server forcéiere fir dauernd eng frësch Säit ze déngen.
Och vergiesst net iwwer de Benotzer-Agent am Prozess fir eng Laascht ze kreéieren. Vill Benotzer-Agenten vu populäre Testinstrumenter gi vu Systemadministratoren gefiltert, an an dësem Fall kann d'Laascht einfach net op de Backend kommen. Dir kënnt d'Resultat wesentlech verbesseren andeems Dir e méi oder manner gültege Header vum Browser an d'Ufro setzt.
Sou einfach wéi HTTP Flood Attacke sinn, si hunn och hir Nodeeler. Als éischt si grouss Quantitéiten u Kraaft erfuerderlech fir d'Laascht ze kreéieren. Zweetens, esou Attacke si ganz einfach z'entdecken, besonnesch wa se vun enger Adress kommen. Als Resultat fänken d'Ufroen direkt un ze filteren entweder vu Systemadministratoren oder souguer um Providerniveau.
Wat fir ze kucken
Fir d'Zuel vun Ufroen pro Sekonn ze reduzéieren ouni Effizienz ze verléieren, musst Dir e bësse Fantasi weisen an de Site entdecken. Also kënnt Dir net nëmmen de Kanal oder de Server lueden, awer och eenzel Deeler vun der Applikatioun, zum Beispill Datenbanken oder Dateiesystemer. Dir kënnt och fir Plazen op de Site kucken, datt grouss Berechnungen maachen: Rechner, Produit Auswiel Säiten, etc. Endlech geschitt et dacks datt de Site eng Aart PHP-Skript huet, déi eng Säit vun e puer honnertdausend Zeilen generéiert. Esou e Skript lued och de Server wesentlech a kann en Zil fir en Attack ginn.
Wou ze kucken
Wa mir eng Ressource virum Test scannen, kucke mir als éischt natierlech op de Site selwer. Mir sichen fir all Zorte vun Input Felder, schwéier Fichieren - am Allgemengen, alles wat Problemer fir d'Ressource schafen kann a seng Operatioun verlangsamen. Banal Entwécklungsinstrumenter am Google Chrome a Firefox hëllefen hei, Säit Äntwertzäiten ze weisen.
Mir scannen och Subdomains. Zum Beispill gëtt et e bestëmmten Online Store, abc.com, an et huet en Ënnerdomain admin.abc.com. Wahrscheinlech ass dëst en Admin Panel mat Autorisatioun, awer wann Dir eng Laascht op et setzt, kann et Probleemer fir d'Haaptressource kreéieren.
De Site kann e Subdomain api.abc.com hunn. Wahrscheinlech ass dëst eng Ressource fir mobil Uwendungen. D'Applikatioun kann am App Store oder Google Play fonnt ginn, e speziellen Zougangspunkt installéieren, d'API dissektéieren an Testkonten registréieren. De Problem ass datt d'Leit dacks mengen datt alles wat duerch d'Autorisatioun geschützt ass immun géint denial of service attacks ass. Vermeintlech ass d'Autorisatioun déi bescht CAPTCHA, awer et ass net. Et ass einfach 10-20 Testkonten ze maachen, awer andeems mir se kreéieren, kréie mir Zougang zu komplexen an onverschlësselte Funktionalitéit.
Natierlech kucke mir d'Geschicht, op robots.txt a WebArchive, ViewDNS, a sichen no al Versioune vun der Ressource. Heiansdo geschitt et datt d'Entwéckler ausgerullt hunn, soen, mail2.yandex.net, awer déi al Versioun, mail.yandex.net, bleift. Dës mail.yandex.net gëtt net méi ënnerstëtzt, Entwécklungsressourcen ginn net zougewisen, awer et konsuméiert weider d'Datebank. Deementspriechend, mat der aler Versioun, kënnt Dir effektiv d'Ressourcen vum Backend benotzen an alles wat hannert dem Layout ass. Natierlech, geschitt dat net ëmmer, mä mir begéinen dëst nach zimlech oft.
Natierlech analyséiere mir all Ufroparameter an d'Cookiestruktur. Dir kënnt, soen, e Wäert an eng JSON-Array an engem Cookie dumpen, vill Nesting erstellen an d'Ressource fir eng onraisonnabel laang Zäit maachen.
Sich Luede
Déi éischt Saach déi am Kapp kënnt wann Dir e Site recherchéiert ass d'Datebank ze lueden, well bal jiddereen eng Sich huet, a fir bal jiddereen, leider, schlecht geschützt ass. Aus e puer Grënn bezuelen d'Entwéckler net genuch Opmierksamkeet op d'Sich. Awer et gëtt eng Empfehlung hei - Dir sollt keng Ufroe vum selwechten Typ maachen, well Dir kënnt Cache begéinen, sou wéi de Fall mat HTTP-Iwwerschwemmung.
Zoufälleg Ufroen an d'Datebank maachen ass och net ëmmer effektiv. Et ass vill besser eng Lëscht vu Schlësselwieder ze kreéieren déi relevant sinn fir d'Sich. Wa mir op d'Beispill vun engem Online-Geschäft zréckkommen: loosst eis soen datt de Site Autopneuen verkeeft an Iech erlaabt de Radius vun de Pneuen, d'Zort vum Auto an aner Parameteren ze setzen. Deementspriechend wäerte Kombinatioune vu relevante Wierder d'Datebank zwéngen a vill méi komplexe Konditiounen ze schaffen.
Zousätzlech ass et derwäert d'Paginatioun ze benotzen: et ass vill méi schwéier fir eng Sich op déi lescht Säit vun de Sichresultater zréckzekommen wéi déi éischt. Dat ass, mat der Hëllef vun der Paginatioun kënnt Dir d'Laascht liicht diversifizéieren.
D'Beispill hei ënnen weist d'Sichbelaaschtung. Et kann gesi ginn datt aus der éischter Sekonn vum Test mat enger Geschwindegkeet vun zéng Ufroen pro Sekonn de Site erofgaang ass an net geäntwert huet.
Wann et keng Sich ass?
Wann et keng Sich gëtt, heescht dat net datt de Site keng aner vulnérabel Inputfelder enthält. Dëst Feld kann Autorisatioun ginn. Hautdesdaags hunn d'Entwéckler gär komplex Hashes ze maachen fir d'Login-Datebank virun engem Regenbogen-Tabellattack ze schützen. Dëst ass gutt, awer sou Hashes verbrauchen vill CPU Ressourcen. E grousse Flux vu falschen Autorisatioune féiert zu engem Prozessorfehler, an als Resultat hält de Site op.
D'Präsenz um Site vun all Zorte vu Formulaire fir Kommentaren a Feedback ass e Grond fir ganz grouss Texter dohinner ze schécken oder einfach eng massiv Iwwerschwemmung ze kreéieren. Heiansdo akzeptéiere Siten ugeschloss Dateien, och am gzip Format. An dësem Fall huelen mir eng 1TB Datei, kompriméieren se op e puer Bytes oder Kilobytes mat gzip a schécken se op de Site. Da gëtt et ausgepackt an e ganz interessanten Effekt kritt.
Rescht API
Ech wéilt e bëssen Opmierksamkeet op sou populär Servicer wéi de Rest API bezuelen. Eng Rest API ze sécheren ass vill méi schwéier wéi eng regulär Websäit. Och trivial Methode vum Schutz géint Passwuert brute Force an aner illegitim Aktivitéit funktionnéieren net fir de Rest API.
De Rest API ass ganz einfach ze briechen well se direkt op d'Datebank zougräift. Zur selwechter Zäit huet den Echec vun esou engem Service zimlech sérieux Konsequenze fir d'Geschäft. D'Tatsaach ass datt de Rest API normalerweis net nëmme fir d'Haaptwebsäit benotzt gëtt, awer och fir d'mobil Applikatioun an e puer intern Geschäftsressourcen. A wann all dat fällt, dann ass den Effekt vill méi staark wéi am Fall vun engem einfachen Websäit Echec.
Luede schwéier Inhalt
Wa mir ugebuede ginn eng gewéinlech Single-Säit Applikatioun, Landung Säit oder Visittekaart Websäit ze testen déi keng komplex Funktionalitéit huet, sichen mir no schwéierem Inhalt. Zum Beispill grouss Biller déi de Server schéckt, binär Dateien, pdf Dokumentatioun - mir probéieren dat alles erofzelueden. Esou Tester lued de Dateiesystem gutt a verstoppt Kanäl, an dofir sinn effektiv. Dat ass, och wann Dir de Server net erofsetzt, eng grouss Datei mat nidderegen Geschwindegkeet eroflueden, verstoppt Dir einfach de Kanal vum Zilserver an da wäert e Verweigerung vum Service optrieden.
E Beispill vun esou engem Test weist datt mat enger Geschwindegkeet vun 30 RPS de Site opgehalen huet ze reagéieren oder 500. Serverfehler produzéiert.
Vergiesst net d'Server opzestellen. Dir kënnt dacks feststellen datt eng Persoun eng virtuell Maschinn kaaft huet, Apache do installéiert huet, alles par défaut konfiguréiert huet, eng PHP Applikatioun installéiert huet, an hei drënner kënnt Dir d'Resultat gesinn.
Hei ass d'Laascht op d'Wurzel gaang an huet nëmmen 10 RPS belaf. Mir gewaart 5 Minutten an de Server erofgefall. Et ass richteg datt et net ganz bekannt ass firwat hien gefall ass, awer et gëtt eng Virgab datt hien einfach ze vill Erënnerung hat an dofir opgehalen huet ze reagéieren.
Wave baséiert
Am leschte Joer oder zwee sinn d'Wellenattacken zimlech populär ginn. Dëst ass wéinst der Tatsaach, datt vill Organisatioune bestëmmte Stécker vun Hardware fir DDoS Schutz kafen, déi eng gewëssen Zäit erfuerderen fir Statistiken ze sammelen fir den Attack ze filteren. Dat ass, si filteren den Attack net an den éischten 30-40 Sekonnen, well se Daten sammelen a léieren. Deementspriechend, an dësen 30-40 Sekonnen kënnt Dir sou vill op de Site starten datt d'Ressource fir eng laang Zäit läit bis all Ufroe geläscht ginn.
Am Fall vun der Attack drënner gouf et en Intervall vun 10 Minutten, no deem en neien, geännerten Deel vun der Attack ukomm ass.
Dat ass, d'Verteidegung geléiert, ugefaang ze filteren, awer en neien, komplett aneren Deel vum Attack ass ukomm, an d'Verteidegung huet erëm ugefaang ze léieren. Tatsächlech stoppt d'Filterung ze schaffen, de Schutz gëtt ineffektiv, an de Site ass net verfügbar.
Wellenattacke sinn duerch ganz héich Wäerter um Héichpunkt charakteriséiert, et kann honnertdausend oder eng Millioun Ufroe pro Sekonn erreechen, am Fall vu L7. Wa mir iwwer L3&4 schwätzen, da kënnen et Honnerte vu Gigabits vum Traffic sinn, oder deementspriechend Honnerte vu mpps, wann Dir a Pakete zielt.
De Problem mat esou Attacken ass d'Synchroniséierung. D'Attacke kommen aus engem Botnet a erfuerderen en héije Grad vun der Synchroniséierung fir e ganz groussen One-Time Spike ze kreéieren. An dës Koordinatioun funktionnéiert net ëmmer: heiansdo ass d'Ausgab eng Aart vu parabolesche Peak, deen zimlech pathetesch ausgesäit.
Net HTTP eleng
Zousätzlech zu HTTP bei L7, benotze mir gär aner Protokoller. In der Regel, eng regulär Websäit, besonnesch e reegelméissege Hosting, huet Mailprotokoller a MySQL eraus. Mailprotokoller ënnerleien manner Belaaschtung wéi Datenbanken, awer si kënnen och ganz effizient gelueden ginn a mat enger iwwerlaascht CPU um Server ophalen.
Mir waren zimlech erfollegräich mat der 2016 SSH Schwachstelle. Elo ass dës Schwachstelle fir bal jiddereen fixéiert, awer dëst heescht net datt d'Laascht net op SSH ofgeleet ka ginn. Kann. Et gëtt einfach eng grouss Belaaschtung vun Autorisatiounen, SSH ësst bal déi ganz CPU um Server, an dann fällt d'Websäit vun enger oder zwou Ufroen pro Sekonn zesummen. Deementspriechend kënnen dës een oder zwee Ufroe baséiert op de Logbicher net vun enger legitimer Laascht ënnerscheeden.
Vill Verbindungen déi mir op Serveren opmaachen bleiwen och relevant. Virdrun war den Apache schëlleg un dësem, elo ass nginx tatsächlech schëlleg dovun, well et dacks als Standard konfiguréiert ass. D'Zuel vun de Verbindungen déi nginx oppe kann halen ass limitéiert, sou datt mir dës Unzuel u Verbindungen opmaachen, nginx akzeptéiert net méi eng nei Verbindung, an als Resultat funktionnéiert de Site net.
Eisen Testcluster huet genuch CPU fir SSL Handshake z'attackéieren. Am Prinzip, wéi d'Praxis weist, Botnets heiansdo gär dat och. Engersäits ass et kloer datt Dir net ouni SSL maache kënnt, well Google Resultater, Ranking, Sécherheet. Op der anerer Säit huet SSL leider e CPU Thema.
L3 & 4
Wa mir iwwer en Attack op de L3&4 Niveauen schwätzen, schwätze mir normalerweis vun engem Attack um Linkniveau. Sou eng Belaaschtung ass bal ëmmer vun engem legitimen z'ënnerscheeden, ausser et ass e SYN-Iwwerschwemmungsattack. De Problem mat SYN-Flood Attacke fir Sécherheetsinstrumenter ass hire grousse Volume. Déi maximal L3 & 4 Wäert war 1,5-2 Tbit / s. Dës Zort Traffic ass ganz schwéier ze veraarbecht och fir grouss Firmen, dorënner Oracle a Google.
SYN a SYN-ACK si Pakete déi benotzt gi wann Dir eng Verbindung opstellt. Dofir ass SYN-Iwwerschwemmung schwéier z'ënnerscheeden vun enger legitimer Laascht: et ass net kloer ob dëst e SYN ass deen eng Verbindung komm ass, oder en Deel vun enger Iwwerschwemmung.
UDP-Iwwerschwemmung
Typesch hunn Ugräifer net déi Fäegkeeten déi mir hunn, sou datt d'Verstäerkung benotzt ka ginn fir Attacken ze organiséieren. Dat ass, den Ugräifer scannt den Internet a fënnt entweder vulnérabel oder falsch konfiguréiert Serveren, déi zum Beispill als Äntwert op ee SYN-Paket mat dräi SYN-ACKs reagéieren. Andeems Dir d'Quelladress vun der Adress vum Zilserver spooféiert, ass et méiglech, d'Kraaft z'erhéijen, zum Beispill, dräimol mat engem eenzege Paket an de Verkéier op d'Affer ze redirectéieren.
De Problem mat Amplifikatiounen ass datt se schwéier z'entdecken sinn. Rezent Beispiller enthalen de sensationelle Fall vun der vulnérabel memcached. Plus, elo ginn et vill IoT Apparater, IP Kameraen, déi och meeschtens par défaut konfiguréiert sinn, a Par défaut si se falsch konfiguréiert, dofir maachen Ugräifer meeschtens Attacken duerch sou Apparater.
Schwéier SYN-Iwwerschwemmung
SYN-Iwwerschwemmung ass wahrscheinlech déi interessantst Aart vun Attack aus der Siicht vun engem Entwéckler. De Problem ass datt Systemadministratoren dacks IP-Blockéierung fir Schutz benotzen. Ausserdeem beaflosst d'IP-Blockéierung net nëmmen Systemadministratoren, déi mat Skripte handelen, awer och, leider, e puer Sécherheetssystemer, déi fir vill Sue kaaft ginn.
Dës Method kann zu enger Katastroph ginn, well wann Ugräifer IP Adressen ersetzen, blockéiert d'Firma säin eegene Subnet. Wann d'Firewall säin eegene Cluster blockéiert, fällt d'Ausgang extern Interaktiounen aus an d'Ressource fällt aus.
Ausserdeem ass et net schwéier Ären eegene Netzwierk ze blockéieren. Wann de Büro vum Client e Wi-Fi-Netzwierk huet, oder wann d'Performance vun de Ressourcen mat verschiddene Iwwerwaachungssystemer gemooss gëtt, da huelen mir d'IP Adress vun dësem Iwwerwaachungssystem oder dem Clientsbüro Wi-Fi a benotzen se als Quell. Um Enn schéngt d'Ressource verfügbar ze sinn, awer d'Zil-IP Adressen sinn blockéiert. Sou kann de Wi-Fi Netz vun der HighLoad Konferenz, wou den neie Produkt vun der Firma presentéiert gëtt, blockéiert ginn, an dat bréngt gewësse wirtschaftlech a wirtschaftlech Käschten mat.
Wärend dem Test kënne mir keng Verstäerkung duerch memcached mat all externe Ressourcen benotzen, well et Accorde gëtt fir de Verkéier nëmmen op erlaabt IP Adressen ze schécken. Deementspriechend benotze mir Verstäerkung duerch SYN a SYN-ACK, wann de System reagéiert op e SYN mat zwee oder dräi SYN-ACKs ze schécken, a beim Ausgang gëtt den Attack mat zwee oder dräi Mol multiplizéiert.
Tools
Ee vun den Haaptinstrumenter déi mir fir L7 Aarbechtslaascht benotzen ass Yandex-Tank. Besonnesch e Phantom gëtt als Pistoul benotzt, plus et gi verschidde Skripte fir Patrounen ze generéieren a fir d'Resultater ze analyséieren.
Tcpdump gëtt benotzt fir den Netzverkéier ze analyséieren, an Nmap gëtt benotzt fir de Server ze analyséieren. Fir d'Laascht um L3&4 Niveau ze kreéieren, ginn OpenSSL an e bësse vun eiser eegener Magie mat der DPDK Bibliothéik benotzt. DPDK ass eng Bibliothéik vun Intel déi Iech erlaabt mat der Netzwierkinterface ze schaffen, de Linux Stack ëmzegoen, an doduerch d'Effizienz erhéijen. Natierlech benotze mir DPDK net nëmmen um Niveau L3&4, awer och um Niveau L7, well et eis erlaabt e ganz héije Laaschtfluss ze kreéieren, am Beräich vun e puer Millioune Ufroe pro Sekonn vun enger Maschinn.
Mir benotzen och verschidde Verkéiersgeneratoren a speziell Tools déi mir fir spezifesch Tester schreiwen. Wa mir d'Schwachheet ënner SSH erënneren, da kann déi uewe genannte Set net exploitéiert ginn. Wa mir de Mailprotokoll attackéieren, huelen mir Mail Utilities oder schreiwen einfach Scripten op hinnen.
Conclusiounen
Als Conclusioun wëll ech soen:
- Zousätzlech zu klassesche Laaschtestung ass et néideg Stresstester ze maachen. Mir hunn e richtegt Beispill wou den Ënnerkontrakter vun engem Partner nëmmen Lasttest gemaach huet. Et huet gewisen datt d'Ressource déi normal Laascht widderstoen kann. Awer dunn erschéngt eng anormal Belaaschtung, d'Besucher hunn ugefaang d'Ressource e bëssen anescht ze benotzen, an als Resultat huet de Subcontractor geluecht. Also ass et derwäert no Schwachstelle ze sichen, och wann Dir scho virun DDoS Attacken geschützt sidd.
- Et ass néideg e puer Deeler vum System vun aneren ze isoléieren. Wann Dir eng Sich hutt, musst Dir se op separat Maschinnen réckelen, dat heescht net emol op Docker. Well wann d'Sich oder d'Autorisatioun net klappt, funktionnéiert op d'mannst eppes weider. Am Fall vun engem Online-Geschäft wäerte d'Benotzer weider Produkter am Katalog fannen, aus dem Aggregat goen, kafen wa se schonn autoriséiert sinn oder iwwer OAuth2 autoriséieren.
- Vernoléissegt net all Zort vu Cloud Servicer.
- Benotzt CDN net nëmmen fir Netzverzögerungen ze optimiséieren, awer och als Mëttel fir Schutz géint Attacken op Kanalausschöpfung an einfach Iwwerschwemmungen a statesche Verkéier.
- Et ass néideg spezialiséiert Schutz Servicer ze benotzen. Dir kënnt Iech net virun L3&4 Attacken um Kanalniveau schützen, well Dir wahrscheinlech einfach net e genuch Kanal hutt. Dir sidd och onwahrscheinlech géint L7 Attacken ze kämpfen, well se ganz grouss kënne sinn. Plus, d'Sich no klengen Attacken ass nach ëmmer d'Prérogativ vu spezielle Servicer, speziell Algorithmen.
- Update regelméisseg. Dëst gëllt net nëmme fir de Kernel, awer och fir den SSH Daemon, besonnesch wann Dir se no baussen opmaacht. Am Prinzip muss alles aktualiséiert ginn, well Dir onwahrscheinlech bestëmmte Schwachstelle kënnt eleng verfollegen.
Source: will.com