"Ilay lehilahy nanao ny tranokalanay dia efa nanangana fiarovana DDoS."
"Manana fiarovana DDoS izahay, nahoana no nidina ny tranokala?"
"Firy alina no tadiavin'i Qrator?"
Mba hamaliana araka ny tokony ho izy ny fanontaniana toy izany avy amin'ny mpanjifa / lehibeny, dia tsara ny mahafantatra izay miafina ao ambadiky ny anarana hoe "fiarovana DDoS". Ny fisafidianana serivisy fiarovana dia mitovy amin'ny fisafidianana fanafody avy amin'ny dokotera fa tsy ny fisafidianana latabatra ao amin'ny IKEA.
Nanohana tranokala nandritra ny 11 taona aho, tafavoaka velona tamin'ny fanafihana an-jatony tamin'ireo tolotra tohanako, ary izao aho dia hilaza aminao kely momba ny fiasan'ny fiarovana.
Fanafihana tsy tapaka. 350k req total, 52k req ara-dalàna
Ny fanafihana voalohany dia niseho saika niaraka tamin'ny Internet. Ny DDoS ho toy ny tranga dia niely patrana nanomboka tamin'ny faramparan'ny taona 2000 (jereo ).
Nanomboka tamin'ny 2015-2016 teo ho eo, dia saika voaro amin'ny fanafihana DDoS avokoa ny mpamatsy fampiantranoana rehetra, toy ny manana tranonkala malaza indrindra amin'ny faritra mifaninana (manao whois amin'ny IP amin'ny tranokala eldorado.ru, leroymerlin.ru, tilda.ws, ho hitanao ny tambajotra an'ny mpandraharaha fiarovana).
Raha 10-20 taona lasa izay, ny ankamaroan'ny fanafihana dia mety ho voaroaka amin'ny lohamilina mihitsy (tombano ny tolo-kevitry ny mpitantana ny rafitra Lenta.ru Maxim Moshkov tamin'ny taona 90: ), saingy lasa sarotra kokoa ankehitriny ny asa fiarovana.
Karazana fanafihana DDoS amin'ny fomba fijery amin'ny fisafidianana mpandraharaha fiarovana
Fanafihana amin'ny ambaratonga L3/L4 (araka ny modely OSI)
- tondra-drano UDP avy amin'ny botnet (fangatahana maro no alefa mivantana avy amin'ny fitaovana voan'ny aretina mankany amin'ny serivisy voatafika, voasakana amin'ny fantsona ny mpizara);
- Fanamafisana DNS/NTP/etc (fangatahana maro no alefa avy amin'ny fitaovana voan'ny aretina mankany amin'ny DNS/NTP/sns vulnerable, sandoka ny adiresin'ny mpandefa, ny rahona feno fonosana mamaly ny fangatahana dia manondraka ny fantsonan'ilay olona voatafika; izany no fomba mahazatra indrindra. fanafihana goavana atao amin'ny Internet maoderina);
- tondra-drano SYN / ACK (fangatahana maro hananganana fifandraisana no alefa any amin'ireo mpizara voatafika, mihoa-pampana ny filaharana fifandraisana);
- fanafihana miaraka amin'ny fizarazarana fonosana, ping of death, ping flood (Google it please);
- sy ny sisa.
Ireo fanafihana ireo dia mikendry ny "hamonoana" ny fantsonan'ny mpizara na "hamono" ny fahafahany manaiky fifamoivoizana vaovao.
Na dia tsy mitovy aza ny tondra-drano sy ny fanamafisam-peo SYN/ACK, orinasa maro no miady amin'izy ireo tsara. Mipoitra ny olana amin'ny fanafihana avy amin'ny vondrona manaraka.
Fanafihana amin'ny L7 (sosona fampiharana)
- http tondra-drano (raha misy tranonkala na http api sasany voatafika);
- fanafihana amin'ny faritra marefo amin'ny tranokala (ireo izay tsy manana cache, izay mameno ny tranokala be dia be, sns.).
Ny tanjona dia ny hahatonga ny mpizara "hiasa mafy", ny fanodinana ireo "fangatahana toa tena izy" ary avela tsy misy loharanon-karena amin'ny fangatahana tena izy.
Na dia misy fanafihana hafa aza, ireo no mahazatra indrindra.
Ny fanafihana mahery vaika amin'ny ambaratonga L7 dia noforonina amin'ny fomba tokana ho an'ny tetikasa tsirairay voatafika.
Nahoana no vondrona 2?
Satria be dia be ny mahay misoroka ny fanafihana amin'ny ambaratonga L3 / L4, fa na tsy mandray fiarovana amin'ny ambaratonga fampiharana (L7) mihitsy, na mbola malemy noho ny safidy hafa amin'ny fiatrehana azy ireo.
Iza no ao amin'ny tsenan'ny fiarovana DDoS
(ny hevitro manokana)
Fiarovana amin'ny ambaratonga L3/L4
Mba hialana amin'ny fanafihana amin'ny fanamafisam-peo ("fanakanana" ny fantsona mpizara), dia ampy ny fantsona midadasika (maro amin'ireo tolotra fiarovana no mifandray amin'ny ankamaroan'ireo mpamatsy hazon-damosina lehibe ao Rosia ary manana fantsona manana fahaiza-manao teorika mihoatra ny 1 Tbit). Aza adino fa ny fanafihana amplification tsy fahita firy dia maharitra mihoatra ny adiny iray. Raha Spamhaus ianao ary tsy tia anao ny olon-drehetra, eny, mety hanandrana hanakatona ny fantsonao mandritra ny andro maromaro izy ireo, na dia mety hampidi-doza aza ny fahaveloman'ny botnet manerantany ampiasaina. Raha manana fivarotana an-tserasera fotsiny ianao, na dia mvideo.ru aza, dia tsy hahita 1 Tbit ao anatin'ny andro vitsivitsy tsy ho ela (manantena aho).
Mba hialana amin'ny fanafihana miaraka amin'ny tondra-drano SYN/ACK, fizarazarana fonosana, sns., dia mila fitaovana na rafitra rindrambaiko ianao hamantarana sy hampitsaharana ny fanafihana toy izany.
Betsaka ny olona mamokatra fitaovana toy izany (Arbor, misy vahaolana avy amin'ny Cisco, Huawei, fampiharana rindrambaiko avy amin'ny Wanguard, sns.), Maro ny mpandraharaha backbone efa nametraka izany ary mivarotra serivisy fiarovana DDoS (fantatro ny fametrahana avy amin'ny Rostelecom, Megafon, TTK, MTS. , raha ny marina, ny mpamatsy lehibe rehetra dia manao toy izany koa amin'ireo mpampiantrano miaraka amin'ny fiarovany manokana a-la OVH.com, Hetzner.de, izaho tenako dia nahita fiarovana tao amin'ny ihor.ru). Ny orinasa sasany dia mamolavola ny vahaolana rindrambaiko manokana (teknolojia toa ny DPDK mamela anao handamina fifamoivoizana gigabits am-polony amin'ny milina x86 ara-batana iray).
Amin'ireo mpilalao fanta-daza, ny tsirairay dia afaka miady amin'ny L3/L4 DDoS amin'ny fomba mahomby kokoa na latsaka. Ankehitriny dia tsy hilaza aho hoe iza no manana fahafahana lehibe kokoa amin'ny fantsona (fampahalalana anatiny izany), fa matetika dia tsy dia zava-dehibe loatra izany, ary ny hany mahasamihafa azy dia ny haingan'ny fiarovana (eo no ho eo na aorian'ny minitra vitsy amin'ny tsy fahampian'ny tetikasa. toy ny ao amin'ny Hetzner).
Ny fanontaniana dia hoe manao ahoana tsara ny fanatanterahana izany: ny fanafihana fanamafisam-peo dia azo resena amin'ny fanakanana ny fifamoivoizana avy amin'ireo firenena manana fifamoivoizana mampidi-doza be indrindra, na ny fifamoivoizana tena tsy ilaina ihany no azo ariana.
Saingy miaraka amin'izay koa, mifototra amin'ny traikefako, ny mpilalao tsena matotra rehetra dia miatrika izany tsy misy olana: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (SkyParkCDN taloha), ServicePipe, Stormwall, Voxility, sns.
Tsy nahita fiarovana avy amin'ny mpandraharaha toy ny Rostelecom, Megafon, TTK, Beeline aho; araka ny fanamarihan'ny mpiara-miasa dia manome tsara ireo tolotra ireo izy ireo, saingy hatreto dia misy fiantraikany tsindraindray ny tsy fahampian'ny traikefa: indraindray mila manova zavatra amin'ny alàlan'ny fanohanana ianao. an'ny mpandraharaha fiarovana.
Ny mpandraharaha sasany dia manana serivisy mitokana "fiarovana amin'ny fanafihana amin'ny ambaratonga L3/L4", na "fiarovana ny fantsona"; lafo lavitra noho ny fiarovana amin'ny ambaratonga rehetra izany.
Nahoana no tsy mandroaka ny fanafihana Gbits an-jatony ny mpamatsy backbone, satria tsy manana fantsona manokana izy?Ny mpandraharaha fiarovana dia afaka mifandray amin'ireo mpamatsy lehibe rehetra ary misoroka ny fanafihana "amin'ny fandaniana azy." Tsy maintsy mandoa vola amin'ny fantsona ianao, fa ireo Gbits an-jatony rehetra ireo dia tsy hampiasaina foana; misy safidy hampihenana ny vidin'ny fantsona amin'ity tranga ity, noho izany dia mbola azo atao ny drafitra.
Ireo no tatitra azoko matetika avy amin'ny fiarovana L3 / L4 avo lenta raha manohana ny rafitry ny mpamatsy fampiantranoana.
Fiarovana amin'ny ambaratonga L7 (ambaratonga fampiharana)
Ny fanafihana amin'ny ambaratonga L7 (ambaratonga fampiharana) dia afaka mandroaka ireo vondrona tsy tapaka sy mahomby.
Manana traikefa tena izy aho
— Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Izy ireo dia mandoa isaky ny megabit amin'ny fifamoivoizana madio, ny megabit iray dia mitentina eo amin'ny arivo roubles. Raha manana fifamoivoizana madio 100 Mbps farafahakeliny ianao - oh. Ny fiarovana dia ho lafo be. Afaka milaza aminao aho ao amin'ny lahatsoratra manaraka ny fomba famolavolana fampiharana mba hitehirizana betsaka amin'ny fahafahan'ny fantsona fiarovana.
Ny tena “mpanjakan'ny havoana” dia ny Qrator.net, ny ambiny dia any aoriana any. Ny Qrator hatreto no hany amin'ny traikefako izay manome isan-jaton'ny valisoa diso manakaiky ny aotra, saingy amin'ny fotoana iray ihany dia lafo kokoa noho ny mpilalao tsena hafa izy ireo.
Ny mpandraharaha hafa koa dia manome fiarovana avo lenta sy maharitra. Tolotra maro tohananay (anisan'izany ireo tena fanta-daza eto amin'ny firenena!) no voaro amin'ny DDoS-Guard, G-Core Labs, ary tena afa-po amin'ny vokatra azo.
Fanafihana nolavin'i Qrator
Manana traikefa amin'ireo mpandraharaha fiarovana kely toa ny cloud-shield.ru, ddoso.net, an'arivony amin'izy ireo ihany koa aho. Tena tsy hanoro izany aho, satria ... Tsy dia manana traikefa firy aho, fa holazaiko aminao ny fitsipiky ny asany. Ny vidin'ny fiarovana azy ireo dia matetika 1-2 lamina ambany noho ny an'ny mpilalao lehibe. Amin'ny maha-fitsipika azy, mividy serivisy fiarovana ampahany (L3/L4) avy amin'ny iray amin'ireo mpilalao lehibe kokoa izy ireo + manao ny fiarovany manokana amin'ny fanafihana amin'ny ambaratonga ambony. Mety hahomby tokoa izany + afaka mahazo serivisy tsara amin'ny vola kely ianao, saingy mbola orinasa kely manana mpiasa kely ireo, azafady mba tadidio izany.
Inona ny fahasarotan'ny fandroahana ny fanafihana amin'ny ambaratonga L7?
Ny fampiharana rehetra dia tsy manam-paharoa, ary mila mamela ny fifamoivoizana izay mahasoa azy ireo ianao ary manakana ny loza. Tsy azo atao foana ny manafoana bots tsy misy fisalasalana, noho izany dia mila mampiasa fanadiovana fifamoivoizana marobe ianao.
Indray mandeha dia ampy ny module nginx-testcookie (), ary mbola ampy handroahana fanafihana marobe. Rehefa niasa tao amin'ny indostrian'ny fampiantranoana aho, ny fiarovana L7 dia niorina tamin'ny nginx-testcookie.
Indrisy anefa fa lasa sarotra ny fanafihana. Ny testcookie dia mampiasa fisavana bot mifototra amin'ny JS, ary bota maoderina maro no afaka mandalo izany.
Ny botnets fanafihana dia miavaka ihany koa, ary ny toetran'ny botnet lehibe tsirairay dia tsy maintsy raisina.
Fanamafisana, tondra-drano mivantana avy amin'ny botnet, fanivanana ny fifamoivoizana avy amin'ny firenena samihafa (fanivanana samihafa ho an'ny firenena samihafa), tondra-drano SYN / ACK, fanaparitahana packet, ICMP, tondra-drano http, raha eo amin'ny ambaratonga fampiharana / http ianao dia afaka mahazo isa tsy voafetra. fanafihana samihafa.
Amin'ny fitambarany, eo amin'ny haavon'ny fiarovana ny fantsona, fitaovana manokana ho an'ny fanadiovana ny fifamoivoizana, rindrambaiko manokana, toe-javatra sivana fanampiny ho an'ny mpanjifa tsirairay dia mety misy ambaratonga sivana an-jatony.
Mba hitantana tsara an'io sy hanitsiana tsara ny firafitry ny sivana ho an'ny mpampiasa samihafa dia mila traikefa be dia be sy mpiasa mahay ianao. Na ny mpandraharaha lehibe iray izay nanapa-kevitra ny hanome serivisy fiarovana aza dia tsy afaka "manipy vola amin'ny olana": ny traikefa dia tsy maintsy azo avy amin'ny tranokala mandainga sy ny valiny diso momba ny fifamoivoizana ara-dalàna.
Tsy misy bokotra "repel DDoS" ho an'ny mpandraharaha fiarovana; misy fitaovana marobe, ary mila mahafantatra ny fomba fampiasana azy ireo ianao.
Ary ohatra bonus iray hafa.
Mpizara tsy voaaro no nosakanan'ny mpampiantrano nandritra ny fanafihana 600 Mbit
(“Tsy tsikaritra ny fatiantoka” amin'ny fifamoivoizana, satria tranokala 1 ihany no voatafika, nesorina vonjimaika tao amin'ny server ary nesorina tao anatin'ny adiny iray ny fanakanana).
Ny mpizara iray ihany no voaaro. “Nitolo-batana” ireo mpanafika taorian'ny fanafihana nihemotra iray andro. Ny fanafihana mihitsy no tsy nahery vaika indrindra.
Ny fanafihana sy ny fiarovana ny L3/L4 dia tsinontsinona kokoa; izy ireo dia miankina indrindra amin'ny hatevin'ny fantsona, ny fitadiavana sy ny fanivanana algorithm amin'ny fanafihana.
Ny fanafihana L7 dia sarotra kokoa sy tany am-boalohany; miankina amin'ny fampiharana voatafika, ny fahaiza-manao ary ny eritreritry ny mpanafika. Ny fiarovana amin'izy ireo dia mitaky fahalalana sy traikefa be dia be, ary mety tsy ho eo no ho eo ny vokatra fa tsy zato isan-jato. Mandra-pahatongan'ny Google dia nanangana tambajotra neural iray hafa ho fiarovana.
Source: www.habr.com