DDoS palīgā: kā mēs veicam stresa un slodzes testus

Variti izstrādā aizsardzību pret robotprogrammatūru un DDoS uzbrukumiem, kā arī veic stresa un slodzes testēšanu. HighLoad++ 2018 konferencē mēs runājām par to, kā nodrošināt resursus no dažāda veida uzbrukumiem. Īsāk sakot: izolējiet sistēmas daļas, izmantojiet mākoņpakalpojumus un CDN un regulāri atjauniniet. Bet jūs joprojām nevarēsit tikt galā ar aizsardzību bez specializētiem uzņēmumiem :)

Pirms teksta lasīšanas varat izlasīt īsos kopsavilkumus konferences vietnē.
Un, ja jums nepatīk lasīt vai vienkārši vēlaties skatīties video, mūsu reportāžas ieraksts atrodas zemāk zem spoilera.

Reportāžas video ieraksts

Daudzi uzņēmumi jau zina, kā veikt slodzes testēšanu, bet ne visi veic stresa testus. Daži no mūsu klientiem uzskata, ka viņu vietne ir neievainojama, jo viņiem ir augstas slodzes sistēma un tā labi aizsargā pret uzbrukumiem. Mēs parādām, ka tā nav pilnīgi taisnība.
Protams, pirms testu veikšanas mēs saņemam pasūtītāja atļauju, parakstītu un apzīmogotu, un ar mūsu palīdzību DDoS uzbrukumu nevienam nevar veikt. Testēšana tiek veikta klienta izvēlētā laikā, kad viņa resursa plūsma ir minimāla un piekļuves problēmas klientus neietekmēs. Turklāt, tā kā testēšanas procesā vienmēr kaut kas var noiet greizi, mums ir pastāvīgs kontakts ar klientu. Tas ļauj ne tikai ziņot par sasniegtajiem rezultātiem, bet arī kaut ko mainīt testēšanas laikā. Pabeidzot testēšanu, mēs vienmēr sastādām ziņojumu, kurā norādām uz atklātajiem trūkumiem un sniedzam ieteikumus vietnes nepilnību novēršanai.

Kā mēs strādājam

Pārbaudot, mēs emulējam robottīklu. Tā kā mēs strādājam ar klientiem, kuri neatrodas mūsu tīklos, lai nodrošinātu, ka pārbaude nebeidzas pirmajā minūtē ierobežojumu vai iedarbinātas aizsardzības dēļ, mēs piegādājam slodzi nevis no viena IP, bet gan no sava apakštīkla. Turklāt, lai radītu ievērojamu slodzi, mums ir savs diezgan jaudīgs testa serveris.

Postulāti

Pārāk daudz nenozīmē labu
Jo mazāk slodzes mēs varam novest resursu līdz neveiksmei, jo labāk. Ja jūs varat likt vietnei pārtraukt darbību, veicot vienu pieprasījumu sekundē vai pat vienu pieprasījumu minūtē, tas ir lieliski. Jo saskaņā ar nelietības likumu lietotāji vai uzbrucēji nejauši nonāks šajā konkrētajā ievainojamībā.

Daļēja neveiksme ir labāka par pilnīgu neveiksmi
Mēs vienmēr iesakām padarīt sistēmas neviendabīgas. Turklāt ir vērts tos atdalīt fiziskā līmenī, nevis tikai konteinerizējot. Fiziskas atdalīšanas gadījumā, pat ja vietnē kaut kas neizdodas, pastāv liela varbūtība, ka tā pilnībā nepārtrauks darboties, un lietotājiem joprojām būs piekļuve vismaz daļai funkcionalitātes.

Laba arhitektūra ir ilgtspējas pamats
Resursa defektu tolerance un tā spēja izturēt uzbrukumus un slodzes būtu jānosaka projektēšanas stadijā, faktiski jau pirmo blokshēmu zīmēšanas stadijā piezīmjdatorā. Jo, ja piezogas liktenīgas kļūdas, tās ir iespējams izlabot nākotnē, bet tas ir ļoti grūti.

Labam jābūt ne tikai kodam, bet arī konfigurācijai
Daudzi cilvēki domā, ka laba izstrādes komanda ir kļūmju toleranta servisa garantija. Laba izstrādes komanda patiešām ir nepieciešama, taču ir jābūt arī labām darbībām, labiem DevOps. Tas ir, mums ir nepieciešami speciālisti, kas pareizi konfigurēs Linux un tīklu, pareizi uzrakstīs konfigurācijas nginx, noteiks ierobežojumus utt. Pretējā gadījumā resurss labi darbosies tikai testēšanā, un vienā brīdī viss salūzīs ražošanā.

Atšķirības starp slodzes un stresa testēšanu
Slodzes pārbaude ļauj noteikt sistēmas darbības robežas. Stresa testēšana ir vērsta uz sistēmas vājo vietu atrašanu, un to izmanto, lai izjauktu šo sistēmu un redzētu, kā tā uzvedīsies atsevišķu daļu atteices procesā. Šādā gadījumā slodzes veids parasti klientam paliek nezināms pirms stresa testēšanas sākuma.

L7 uzbrukumu atšķirīgās iezīmes

Mēs parasti sadalām kravas veidus slodzēs L7 un L3 un 4 līmeņos. L7 ir slodze lietojumprogrammas līmenī, visbiežāk tas nozīmē tikai HTTP, bet mēs domājam jebkuru slodzi TCP protokola līmenī.
L7 uzbrukumiem ir noteiktas atšķirīgas iezīmes. Pirmkārt, tie nonāk tieši lietojumprogrammā, tas ir, maz ticams, ka tie tiks atspoguļoti, izmantojot tīkla līdzekļus. Šādi uzbrukumi izmanto loģiku, un tāpēc tie ļoti efektīvi un ar mazu trafiku patērē CPU, atmiņu, disku, datu bāzi un citus resursus.

HTTP plūdi

Jebkura uzbrukuma gadījumā slodzi ir vieglāk izveidot nekā rīkoties, un L7 gadījumā tas arī ir taisnība. Ne vienmēr ir viegli atšķirt uzbrukuma trafiku no likumīgas, un visbiežāk to var izdarīt pēc biežuma, taču, ja viss ir pareizi izplānots, tad no žurnāliem nevar saprast, kur atrodas uzbrukums un kur ir likumīgi pieprasījumi.
Kā pirmo piemēru apsveriet HTTP plūdu uzbrukumu. Diagrammā redzams, ka šādi uzbrukumi parasti ir ļoti spēcīgi; zemāk esošajā piemērā maksimālais pieprasījumu skaits pārsniedza 600 tūkstošus minūtē.

HTTP plūdi ir vienkāršākais veids, kā izveidot slodzi. Parasti tam ir nepieciešams kāds slodzes pārbaudes rīks, piemēram, ApacheBench, un tiek iestatīts pieprasījums un mērķis. Izmantojot šādu vienkāršu pieeju, pastāv liela varbūtība, ka tiks saglabāta servera kešatmiņa, taču to ir viegli apiet. Piemēram, pieprasījumam pievienojot nejaušas virknes, kas liks serverim pastāvīgi apkalpot jaunu lapu.
Tāpat slodzes izveides procesā neaizmirstiet par lietotāja aģentu. Daudzus populāro testēšanas rīku lietotāju aģentus filtrē sistēmas administratori, un šajā gadījumā slodze var vienkārši nesasniegt aizmugursistēmu. Rezultātu var ievērojami uzlabot, pieprasījumā ievietojot vairāk vai mazāk derīgu pārlūkprogrammas galveni.
Lai cik vienkārši būtu HTTP plūdu uzbrukumi, tiem ir arī savi trūkumi. Pirmkārt, slodzes izveidošanai ir nepieciešams liels jaudas daudzums. Otrkārt, šādus uzbrukumus ir ļoti viegli atklāt, it īpaši, ja tie nāk no vienas adreses. Tā rezultātā pieprasījumus nekavējoties sāk filtrēt vai nu sistēmas administratori, vai pat pakalpojumu sniedzēja līmenī.

Ko meklēt

Lai samazinātu pieprasījumu skaitu sekundē, nezaudējot efektivitāti, jums ir jāparāda nedaudz iztēles un jāizpēta vietne. Tādējādi jūs varat ielādēt ne tikai kanālu vai serveri, bet arī atsevišķas lietojumprogrammas daļas, piemēram, datu bāzes vai failu sistēmas. Vietnē varat arī meklēt vietas, kurās tiek veikti lieli aprēķini: kalkulatori, preču izvēles lapas utt. Visbeidzot, bieži gadās, ka vietnē ir kaut kāds PHP skripts, kas ģenerē vairākus simtus tūkstošu rindiņu lapu. Šāds skripts arī ievērojami noslogo serveri un var kļūt par uzbrukuma mērķi.

Kur meklēt

Kad mēs skenējam resursu pirms testēšanas, mēs, protams, vispirms skatāmies uz pašu vietni. Mēs meklējam visa veida ievades laukus, smagus failus - kopumā visu, kas var radīt problēmas resursam un palēnināt tā darbību. Šeit palīdz banāli Google Chrome un Firefox izstrādes rīki, kas rāda lapas atbildes laikus.
Mēs arī skenējam apakšdomēnus. Piemēram, ir noteikts tiešsaistes veikals abc.com, un tam ir apakšdomēns admin.abc.com. Visticamāk, tas ir administratora panelis ar autorizāciju, taču, ja to noslogojat, tas var radīt problēmas galvenajam resursam.
Vietnei var būt apakšdomēns api.abc.com. Visticamāk, tas ir resurss mobilajām lietojumprogrammām. Lietojumprogrammu var atrast App Store vai Google Play, instalēt īpašu piekļuves punktu, izjaukt API un reģistrēt testa kontus. Problēma ir tā, ka cilvēki bieži domā, ka viss, kas ir aizsargāts ar autorizāciju, ir imūns pret pakalpojumu atteikuma uzbrukumiem. Domājams, ka autorizācija ir labākā CAPTCHA, bet tā nav. Ir viegli izveidot 10–20 testa kontus, taču, tos izveidojot, mēs iegūstam piekļuvi sarežģītai un neslēptai funkcionalitātei.
Protams, mēs aplūkojam vēsturi, robots.txt un WebArchive, ViewDNS un meklējam resursa vecās versijas. Dažreiz gadās, ka izstrādātāji ir izlaiduši, teiksim, mail2.yandex.net, bet vecā versija, mail.yandex.net, paliek. Šis mail.yandex.net vairs netiek atbalstīts, tam netiek piešķirti izstrādes resursi, taču tas turpina patērēt datu bāzi. Attiecīgi, izmantojot veco versiju, jūs varat efektīvi izmantot aizmugursistēmas resursus un visu, kas atrodas aiz izkārtojuma. Protams, tas ne vienmēr notiek, bet mēs joprojām ar to sastopamies diezgan bieži.
Protams, mēs analizējam visus pieprasījuma parametrus un sīkfailu struktūru. Varat, piemēram, sīkfailā ievietot kādu vērtību JSON masīvā, izveidot daudz ligzdošanas un likt resursam darboties nepamatoti ilgu laiku.

Meklēšanas slodze

Pirmā lieta, kas nāk prātā, pētot vietni, ir ielādēt datu bāzi, jo gandrīz ikvienam ir meklēšana, un gandrīz ikvienam tā diemžēl ir slikti aizsargāta. Kādu iemeslu dēļ izstrādātāji nepievērš pietiekamu uzmanību meklēšanai. Bet šeit ir viens ieteikums - jums nevajadzētu veikt viena veida pieprasījumus, jo jūs varat saskarties ar kešatmiņu, kā tas ir HTTP flood gadījumā.
Arī izlases veida vaicājumu veikšana datu bāzē ne vienmēr ir efektīva. Daudz labāk ir izveidot meklēšanai atbilstošu atslēgvārdu sarakstu. Ja atgriežamies pie tiešsaistes veikala piemēra: pieņemsim, ka vietne pārdod automašīnu riepas un ļauj iestatīt riepu rādiusu, automašīnas veidu un citus parametrus. Attiecīgi atbilstošo vārdu kombinācijas piespiedīs datubāzi strādāt daudz sarežģītākos apstākļos.
Turklāt ir vērts izmantot lappusi: meklēšanai ir daudz grūtāk atgriezt meklēšanas rezultātu priekšpēdējo lapu nekā pirmo. Tas ir, ar lappušu palīdzību jūs varat nedaudz dažādot slodzi.
Tālāk esošajā piemērā ir parādīta meklēšanas slodze. Redzams, ka jau no pirmās testa sekundes ar ātrumu desmit pieprasījumi sekundē vietne nokrita un nereaģēja.

Ja nav meklēšanas?

Ja nav meklēšanas, tas nenozīmē, ka vietnē nav citu neaizsargātu ievades lauku. Šis lauks var būt autorizācija. Mūsdienās izstrādātājiem patīk izveidot sarežģītus jaucējus, lai aizsargātu pieteikšanās datu bāzi no varavīksnes tabulas uzbrukumiem. Tas ir labi, taču šādas hashes patērē daudz CPU resursu. Liela viltus atļauju plūsma izraisa procesora kļūmi, kā rezultātā vietne pārstāj darboties.
Visu veidu komentāru un atsauksmju veidlapu klātbūtne vietnē ir iemesls, lai tur nosūtītu ļoti lielus tekstus vai vienkārši radītu milzīgus plūdus. Dažreiz vietnes pieņem pievienotos failus, tostarp gzip formātā. Šajā gadījumā mēs paņemam 1 TB failu, saspiežam to līdz vairākiem baitiem vai kilobaitiem, izmantojot gzip, un nosūtām uz vietni. Pēc tam to izvelk un iegūst ļoti interesantu efektu.

Atpūtas API

Es vēlētos pievērst nelielu uzmanību tādiem populāriem pakalpojumiem kā Rest API. Atpūtas API nodrošināšana ir daudz grūtāka nekā parasta vietne. Pat triviālas metodes aizsardzībai pret paroles brutālu spēku un citām nelikumīgām darbībām nedarbojas Rest API.
Rest API ir ļoti viegli uzlauzt, jo tā tieši piekļūst datu bāzei. Tajā pašā laikā šāda pakalpojuma neveiksme rada diezgan nopietnas sekas uzņēmējdarbībai. Fakts ir tāds, ka Rest API parasti izmanto ne tikai galvenajai vietnei, bet arī mobilajai lietojumprogrammai un dažiem iekšējiem biznesa resursiem. Un, ja tas viss nokrīt, tad efekts ir daudz spēcīgāks nekā vienkāršas vietnes kļūmes gadījumā.

Notiek smaga satura ielāde

Ja mums piedāvā testēt kādu parastu vienas lapas aplikāciju, galveno lapu vai vizītkaršu vietni, kurai nav sarežģītas funkcionalitātes, mēs meklējam smagu saturu. Piemēram, lieli attēli, kurus serveris sūta, binārie faili, pdf dokumentācija - mēs cenšamies to visu lejupielādēt. Šādi testi labi ielādē failu sistēmu un aizsprosto kanālus, tāpēc tie ir efektīvi. Tas ir, pat ja jūs nenoliekat serveri, lejupielādējot lielu failu ar mazu ātrumu, jūs vienkārši aizsērēsit mērķa servera kanālu un pēc tam notiks pakalpojuma atteikums.
Šādas pārbaudes piemērs parāda, ka ar ātrumu 30 RPS vietne pārstāja reaģēt vai radīja 500. servera kļūdas.

Neaizmirstiet par serveru iestatīšanu. Bieži var konstatēt, ka cilvēks nopirka virtuālo mašīnu, instalēja tur Apache, pēc noklusējuma visu konfigurēja, instalēja PHP aplikāciju un zemāk var redzēt rezultātu.

Šeit slodze devās uz sakni un sasniedza tikai 10 RPS. Mēs gaidījām 5 minūtes un serveris avarēja. Tiesa, līdz galam nav zināms, kāpēc viņš krita, taču pastāv pieņēmums, ka viņam vienkārši bija pārāk daudz atmiņas un tāpēc viņš pārstāja reaģēt.

Uz viļņiem balstīta

Pēdējā gada vai divu laikā viļņu uzbrukumi ir kļuvuši diezgan populāri. Tas ir saistīts ar faktu, ka daudzas organizācijas pērk noteiktas aparatūras daļas DDoS aizsardzībai, kurām ir nepieciešams noteikts laiks, lai uzkrātu statistiku, lai sāktu filtrēt uzbrukumu. Tas ir, viņi nefiltrē uzbrukumu pirmajās 30-40 sekundēs, jo viņi uzkrāj datus un mācās. Attiecīgi šajās 30–40 sekundēs vietnē varat palaist tik daudz, ka resurss ilgi gulēs, līdz visi pieprasījumi tiks notīrīti.
Zemāk redzamā uzbrukuma gadījumā bija 10 minūšu intervāls, pēc kura pienāca jauna, modificēta uzbrukuma daļa.

Tas ir, aizsardzība mācījās, sāka filtrēt, bet nāca jauna, pavisam cita uzbrukuma daļa, un aizsardzība sāka mācīties no jauna. Faktiski filtrēšana pārstāj darboties, aizsardzība kļūst neefektīva un vietne nav pieejama.
Viļņu uzbrukumiem ir raksturīgas ļoti augstas vērtības maksimumā, tas var sasniegt simts tūkstošus vai miljonu pieprasījumu sekundē L7 gadījumā. Ja runājam par L3&4, tad trafika var būt simtiem gigabitu vai attiecīgi simtiem mpps, ja skaita paketēs.
Problēma ar šādiem uzbrukumiem ir sinhronizācija. Uzbrukumi nāk no robottīkla, un tiem ir nepieciešama augsta sinhronizācijas pakāpe, lai izveidotu ļoti lielu vienreizēju smaili. Un šī koordinācija ne vienmēr izdodas: dažreiz iznākums ir kaut kāds parabolisks maksimums, kas izskatās diezgan nožēlojami.

Ne tikai HTTP

Papildus HTTP pie L7 mums patīk izmantot citus protokolus. Parasti parastai vietnei, īpaši parastai mitināšanai, ir pasta protokoli un MySQL izceļas. Pasta protokoli ir pakļauti mazākai slodzei nekā datubāzes, taču tos var arī ielādēt diezgan efektīvi un rezultātā servera centrālais procesors ir pārslogots.
Mēs diezgan veiksmīgi izmantojām 2016. gada SSH ievainojamību. Tagad šī ievainojamība ir novērsta gandrīz visiem, taču tas nenozīmē, ka ielādi nevar iesniegt SSH. Var. Vienkārši ir milzīga autorizāciju slodze, SSH apēd gandrīz visu CPU serverī, un tad vietne sabrūk no viena vai diviem pieprasījumiem sekundē. Attiecīgi šos vienu vai divus pieprasījumus, kuru pamatā ir žurnāli, nevar atšķirt no likumīgas slodzes.
Arī daudzi savienojumi, ko atveram serveros, joprojām ir aktuāli. Iepriekš Apache bija vainīgs pie tā, tagad nginx faktiski cieš no tā, jo tas bieži tiek konfigurēts pēc noklusējuma. Savienojumu skaits, ko nginx var paturēt atvērtus, ir ierobežots, tāpēc mēs atveram šādu savienojumu skaitu, nginx vairs nepieņem jaunu savienojumu, un rezultātā vietne nedarbojas.
Mūsu testa klasterim ir pietiekami daudz CPU, lai uzbruktu SSL rokasspiedienam. Principā, kā liecina prakse, dažreiz robottīkliem arī patīk to darīt. No vienas puses, ir skaidrs, ka bez SSL neiztikt, jo Google rezultāti, rangs, drošība. No otras puses, SSL diemžēl ir CPU problēma.

L3&4

Kad mēs runājam par uzbrukumu L3 un 4 līmenī, mēs parasti runājam par uzbrukumu saites līmenī. Šāda slodze gandrīz vienmēr ir atšķirama no likumīgas, ja vien tas nav SYN plūdu uzbrukums. Problēma ar SYN plūdu uzbrukumiem drošības rīkiem ir to lielais apjoms. Maksimālā L3&4 vērtība bija 1,5-2 Tbit/s. Šāda veida trafiku ir ļoti grūti apstrādāt pat lieliem uzņēmumiem, tostarp Oracle un Google.
SYN un SYN-ACK ir paketes, kas tiek izmantotas savienojuma izveidei. Tāpēc SYN-plūdus ir grūti atšķirt no likumīgas slodzes: nav skaidrs, vai tas ir SYN, kas nāca, lai izveidotu savienojumu, vai plūdu daļa.

UDP plūdi

Parasti uzbrucējiem nav tādu iespēju, kādas ir mums, tāpēc uzbrukumu organizēšanai var izmantot pastiprinājumu. Tas ir, uzbrucējs skenē internetu un atrod vai nu neaizsargātus, vai nepareizi konfigurētus serverus, kas, piemēram, reaģējot uz vienu SYN paketi, atbild ar trim SYN-ACK. Izkrāpjot avota adresi no mērķa servera adreses, ir iespējams palielināt jaudu, piemēram, trīs reizes ar vienu paketi un novirzīt trafiku uz upuri.

Problēma ar pastiprinājumiem ir tā, ka tos ir grūti noteikt. Nesenie piemēri ietver sensacionālo gadījumu ar ievainojamo atmiņu. Turklāt tagad ir ļoti daudz IoT ierīču, IP kameru, kuras arī lielākoties ir konfigurētas pēc noklusējuma, un pēc noklusējuma tās ir konfigurētas nepareizi, tāpēc uzbrucēji visbiežāk veic uzbrukumus caur šādām ierīcēm.

Grūti SYN-plūdi

SYN-plūdi, iespējams, ir visinteresantākais uzbrukuma veids no izstrādātāja viedokļa. Problēma ir tā, ka sistēmas administratori aizsardzībai bieži izmanto IP bloķēšanu. Turklāt IP bloķēšana skar ne tikai sistēmu administratorus, kuri darbojas, izmantojot skriptus, bet diemžēl arī dažas drošības sistēmas, kas tiek iegādātas par lielu naudu.
Šī metode var pārvērsties par katastrofu, jo, ja uzbrucēji nomainīs IP adreses, uzņēmums bloķēs savu apakštīklu. Kad ugunsmūris bloķē savu klasteru, izvade neizdosies ārējā mijiedarbībā un resurss neizdosies.
Turklāt nav grūti bloķēt savu tīklu. Ja klienta birojā ir Wi-Fi tīkls vai ja resursu veiktspēja tiek mērīta, izmantojot dažādas uzraudzības sistēmas, tad mēs ņemam šīs uzraudzības sistēmas IP adresi vai klienta biroja Wi-Fi un izmantojam to kā avotu. Beigās šķiet, ka resurss ir pieejams, taču mērķa IP adreses ir bloķētas. Tādējādi var tikt bloķēts HighLoad konferences Wi-Fi tīkls, kurā tiek prezentēts uzņēmuma jaunais produkts, un tas rada zināmas biznesa un ekonomiskās izmaksas.
Pārbaudes laikā mēs nevaram izmantot pastiprinājumu, izmantojot memcached ar ārējiem resursiem, jo ​​ir līgumi sūtīt trafiku tikai uz atļautajām IP adresēm. Attiecīgi mēs izmantojam pastiprināšanu caur SYN un SYN-ACK, kad sistēma uz viena SYN nosūtīšanu reaģē ar diviem vai trim SYN-ACK, un izejā uzbrukums tiek reizināts ar divām vai trīs reizēm.

Darbarīki

Viens no galvenajiem rīkiem, ko izmantojam L7 darba slodzei, ir Yandex-tank. Jo īpaši fantoms tiek izmantots kā ierocis, kā arī ir vairāki skripti patronu ģenerēšanai un rezultātu analīzei.
Tcpdump tiek izmantots, lai analizētu tīkla trafiku, un Nmap tiek izmantots servera analīzei. Lai izveidotu slodzi L3 un 4 līmenī, tiek izmantots OpenSSL un nedaudz mūsu pašu burvju ar DPDK bibliotēku. DPDK ir Intel bibliotēka, kas ļauj strādāt ar tīkla interfeisu, apejot Linux steku, tādējādi palielinot efektivitāti. Dabiski, ka DPDK izmantojam ne tikai L3&4, bet arī L7 līmenī, jo tas ļauj izveidot ļoti augstu slodzes plūsmu, vairāku miljonu pieprasījumu diapazonā sekundē no vienas mašīnas.
Mēs izmantojam arī noteiktus trafika ģeneratorus un īpašus rīkus, ko rakstām konkrētiem testiem. Ja atceramies SSH ievainojamību, iepriekš minēto kopu nevar izmantot. Ja mēs uzbrūkam pasta protokolam, mēs izmantojam pasta utilītus vai vienkārši rakstām uz tiem skriptus.

Atzinumi

Nobeigumā es gribētu teikt:

• Papildus klasiskajai slodzes pārbaudei ir nepieciešams veikt stresa testēšanu. Mums ir reāls piemērs, kur partnera apakšuzņēmējs veica tikai slodzes testēšanu. Tas parādīja, ka resurss var izturēt normālu slodzi. Bet tad parādījās nenormāla slodze, vietnes apmeklētāji sāka izmantot resursu nedaudz savādāk, un rezultātā apakšuzņēmējs apgūlās. Tādējādi ir vērts meklēt ievainojamības pat tad, ja esat jau aizsargāts pret DDoS uzbrukumiem.
• Ir nepieciešams izolēt dažas sistēmas daļas no citām. Ja jums ir meklēšana, jums tas ir jāpārvieto uz atsevišķām mašīnām, tas ir, pat ne uz Docker. Jo, ja meklēšana vai autorizācija neizdodas, vismaz kaut kas turpinās darboties. Tiešsaistes veikala gadījumā lietotāji turpinās atrast produktus katalogā, pāriet no apkopotāja, iegādāsies, ja tie jau ir pilnvaroti, vai autorizēs, izmantojot OAuth2.
• Nepalaidiet uzmanību visu veidu mākoņpakalpojumiem.
• Izmantojiet CDN ne tikai, lai optimizētu tīkla aizkaves, bet arī kā līdzekli aizsardzībai pret uzbrukumiem kanāla izsmelšanai un vienkārši iepludināšanai statiskā trafikā.
• Nepieciešams izmantot specializētus aizsardzības dienestus. Jūs nevarat pasargāt sevi no L3&4 uzbrukumiem kanālu līmenī, jo, visticamāk, jums vienkārši nav pietiekama kanāla. Maz ticams, ka jūs arī cīnīsities pret L7 uzbrukumiem, jo ​​tie var būt ļoti lieli. Turklāt mazu uzbrukumu meklēšana joprojām ir speciālo dienestu, īpašu algoritmu prerogatīva.
• Regulāri atjauniniet. Tas attiecas ne tikai uz kodolu, bet arī uz SSH dēmonu, it īpaši, ja tie ir atvērti ārpusei. Principā viss ir jāatjaunina, jo maz ticams, ka jūs pats spēsiet izsekot noteiktām ievainojamībām.

Avots: www.habr.com