Variti dia mamolavola fiarovana amin'ny bots sy DDoS fanafihana, ary manao fitiliana adin-tsaina sy enta-mavesatra ihany koa. Nandritra ny fihaonambe HighLoad ++ 2018 dia niresaka momba ny fomba hiarovana ny loharanon-karena amin'ny karazana fanafihana isan-karazany. Raha fintinina: mitoka-monina ny ampahany amin'ny rafitra, mampiasa serivisy rahona sy CDN, ary manavao tsy tapaka. Saingy mbola tsy ho vitanao ny fiarovana raha tsy misy orinasa manokana :)
Alohan'ny hamakiana ny lahatsoratra dia azonao atao ny mamaky ny abstracts fohy .
Ary raha tsy tia mamaky na te hijery fotsiny ilay horonan-tsary ianao, dia eo ambanin'ny mpandroba ny fandraketana ny tatitray.
Video fandraketana ny tatitra
Betsaka ny orinasa efa mahafantatra ny fomba fanaovana fitiliana entana, saingy tsy ny rehetra no manao fitiliana adin-tsaina. Ny sasany amin'ireo mpanjifanay dia mihevitra fa tsy azo resena ny tranokalany satria manana rafitra avo lenta izy ireo, ary miaro tsara amin'ny fanafihana. Asehontsika fa tsy marina tanteraka izany.
Mazava ho azy, alohan'ny hanaovana fitsapana dia mahazo alalana avy amin'ny mpanjifa izahay, nosoniavina sy nasiana fitomboka, ary noho ny fanampiantsika dia tsy azo atao ny fanafihana DDoS na iza na iza. Ny fitsapana dia atao amin'ny fotoana nofidian'ny mpanjifa, rehefa kely ny fifamoivoizana mankany amin'ny loharanony, ary tsy hisy fiantraikany amin'ny mpanjifa ny olana amin'ny fidirana. Ankoatr'izay, satria misy zavatra mety tsy mety foana mandritra ny dingan'ny fitsapana, dia mifandray tsy tapaka amin'ny mpanjifa izahay. Izany dia ahafahanao tsy mitatitra ny vokatra azo, fa koa manova zavatra mandritra ny fitsapana. Rehefa vita ny fitsapana dia manao tatitra foana izahay izay manondro ireo lesoka hita ary manome soso-kevitra amin'ny fanafoanana ny fahalemen'ny tranokala.
Ahoana ny fiasanay
Rehefa manao fitsapana isika dia maka tahaka ny botnet. Koa satria miara-miasa amin'ireo mpanjifa izay tsy hita ao amin'ny tambazotranay izahay, mba hahazoana antoka fa tsy hifarana amin'ny minitra voalohany ny fitsapana noho ny fetra na ny fiarovana ateraky ny fanerena, dia manome ny entana tsy avy amin'ny IP iray, fa avy amin'ny subnety manokana. Fanampin'izay, mba hamoronana entana manan-danja dia manana mpizara fitsapana matanjaka izahay.
Postulates
Ny be loatra dia tsy midika hoe tsara
Ny kely kokoa ny enta-mavesatra azontsika mitondra loharanon-karena ho amin'ny tsy fahombiazana, ny tsara kokoa. Raha azonao atao ny mampiato ny tranokala amin'ny fangatahana iray isan-tsegondra, na fangatahana iray isa-minitra aza, dia tsara izany. Satria araka ny lalàn'ny habibiana, ny mpampiasa na ny mpanafika dia ho latsaka amin'ity vulnerable manokana ity.
Ny tsy fahombiazana ampahany dia tsara noho ny tsy fahombiazana tanteraka
Manoro hevitra foana izahay hanao ny rafitra heterogène. Ankoatra izany, mendrika ny hanasaraka azy ireo amin'ny sehatra ara-batana, fa tsy amin'ny containerization fotsiny. Raha ny fisarahana ara-batana, na dia misy zavatra tsy mahomby ao amin'ny tranokala aza, dia misy ny mety tsy hijanonan'ny asa tanteraka, ary ny mpampiasa dia hanohy ny fidirana amin'ny ampahany farafaharatsiny amin'ny fiasa.
Ny maritrano tsara no fototry ny faharetana
Ny fandeferana ny fahadisoan'ny loharano iray sy ny fahaizany manohitra ny fanafihana sy ny enta-mavesatra dia tokony hapetraka eo amin'ny sehatry ny famolavolana, raha ny marina, eo amin'ny dingan'ny fanaovana sariitatra voalohany amin'ny kahie. Satria raha misy hadisoana mahafaty miditra dia azo atao ny manitsy azy ireo amin'ny ho avy, saingy sarotra be izany.
Tsy ny code ihany no tokony ho tsara, fa koa ny config
Olona maro no mihevitra fa ny ekipa fampandrosoana tsara dia antoka amin'ny serivisy mahazaka fahadisoana. Tena ilaina ny ekipa fampandrosoana tsara, saingy tsy maintsy misy ihany koa ny asa tsara, DevOps tsara. Izany hoe mila manam-pahaizana manokana isika izay hanamboatra tsara ny Linux sy ny tambajotra, manoratra configs tsara amin'ny nginx, mametraka fetra, sns. Raha tsy izany, ny loharanon-karena dia hiasa tsara amin'ny fitsapana ihany, ary amin'ny fotoana iray dia hikorontana ny zava-drehetra amin'ny famokarana.
Ny fahasamihafana eo amin'ny fitsapana enta-mavesatra sy ny adin-tsaina
Ny fitiliana entana dia ahafahanao mamantatra ny fetran'ny fiasan'ny rafitra. Ny fitiliana ny adin-tsaina dia mikendry ny fitadiavana ny fahalemena ao amin'ny rafitra iray ary ampiasaina handravana ity rafitra ity sy hahitana ny fitondran-tenany amin'ny dingan'ny tsy fahombiazan'ny ampahany sasany. Amin'ity tranga ity, ny toetry ny enta-mavesatra dia matetika tsy fantatry ny mpanjifa alohan'ny hanombohan'ny fitsapana adin-tsaina.
Endri-javatra miavaka amin'ny fanafihana L7
Matetika izahay mizara karazana entana ho entana amin'ny ambaratonga L7 sy L3&4. L7 dia enta-mavesatra eo amin'ny sehatry ny fampiharana, matetika dia HTTP ihany no dikan'izany, fa ny entana rehetra amin'ny ambaratonga protocol TCP no tiana holazaina.
Ny fanafihana L7 dia manana endri-javatra miavaka. Voalohany, tonga mivantana amin'ny fampiharana izy ireo, izany hoe, tsy azo inoana fa ho hita taratra amin'ny alàlan'ny tambajotra izy ireo. Ny fanafihana toy izany dia mampiasa lojika, ary noho izany dia mandany CPU, fitadidiana, kapila, tahiry ary loharano hafa amin'ny fomba mahomby ary amin'ny fifamoivoizana kely.
HTTP Tondra-drano
Raha misy fanafihana, mora kokoa ny mamorona ny entana noho ny mitantana, ary amin'ny tranga L7 dia marina koa izany. Tsy mora foana ny manavaka ny fifamoivoizana fanafihana amin'ny fifamoivoizana ara-dalàna, ary matetika izany dia azo atao amin'ny alàlan'ny matetika, fa raha voaomana tsara ny zava-drehetra, dia tsy azo atao ny mahatakatra avy amin'ny log izay misy ny fanafihana sy ny toerana misy ny fangatahana ara-dalàna.
Ohatra voalohany, diniho ny fanafihana HTTP Flood. Ny grafika dia mampiseho fa matetika ny fanafihana toy izany dia tena mahery; amin'ny ohatra etsy ambany, ny isan'ny fangatahana ambony indrindra dia mihoatra ny 600 arivo isa-minitra.
HTTP Flood no fomba mora indrindra hamoronana entana. Amin'ny ankapobeny, mila karazana fitaovana fitiliana entana, toy ny ApacheBench, ary mametraka fangatahana sy tanjona. Amin'ny fomba tsotra toy izany dia misy ny mety hidirana amin'ny cache server, saingy mora ny mandingana azy. Ohatra, manampy tady kisendrasendra amin'ny fangatahana, izay hanery ny mpizara hanolotra pejy vaovao tsy tapaka.
Aza hadino koa ny momba ny mpampiasa-agent amin'ny dingan'ny famoronana entana. Mpampiasa maro amin'ny fitaovana fitiliana malaza no voasivan'ny mpitantana ny rafitra, ary amin'ity tranga ity dia mety tsy ho tonga any amin'ny backend fotsiny ny entana. Azonao atao ny manatsara ny vokatra amin'ny alàlan'ny fampidirana lohapejy manan-kery kokoa na latsaka avy amin'ny navigateur ao amin'ny fangatahana.
Na dia tsotra toy ny fanafihana HTTP Flood aza dia manana ny lesoka ihany koa izy ireo. Voalohany, mila hery be dia be mba hamoronana ny entana. Faharoa, mora hita ny fanafihana toy izany, indrindra raha avy amin'ny adiresy iray. Vokatr'izany dia manomboka voasivana avy hatrany ny fangatahana na ataon'ny mpitantana ny rafitra na eo amin'ny sehatry ny mpamatsy.
Inona no hotadiavina?
Mba hampihenana ny isan'ny fangatahana isan-tsegondra nefa tsy very ny fahombiazany, dia mila mampiseho saina kely ianao ary mikaroka ny tranokala. Noho izany, azonao atao ny mampiditra tsy ny fantsona na ny mpizara, fa ny ampahany tsirairay amin'ny fampiharana, ohatra, ny angon-drakitra na ny rafitra fichier. Azonao atao ihany koa ny mitady toerana ao amin'ny tranokala manao kajy lehibe: kajy, pejy fifantenana vokatra, sns. Farany, mitranga matetika fa ny tranokala dia manana karazana script PHP izay mamorona pejy misy andalana an-jatony maro. Ny script toy izany koa dia mameno ny lohamilina ary mety ho lasibatry ny fanafihana.
Aiza no tadiavina
Rehefa mijery loharano iray isika alohan'ny hitsapana dia mijery aloha, mazava ho azy, ny tranokala mihitsy. Mitady karazana sehatra fampidirana rehetra izahay, rakitra mavesatra - amin'ny ankapobeny, ny zavatra rehetra mety hiteraka olana amin'ny loharanon-karena ary mampiadana ny asany. Fitaovana fampandrosoana Banal ao amin'ny Google Chrome sy Firefox manampy eto, mampiseho ny fotoana famaliana pejy.
Mijery subdomains koa izahay. Ohatra, misy fivarotana an-tserasera iray, abc.com, ary manana subdomain admin.abc.com. Azo inoana fa ity dia tontonana admin misy fanomezan-dàlana, fa raha mametraka enta-mavesatra eo aminy ianao dia mety hiteraka olana ho an'ny loharano lehibe.
Mety manana subdomain api.abc.com ilay tranokala. Azo inoana fa loharano ho an'ny fampiharana finday ity. Ny fampiharana dia hita ao amin'ny App Store na Google Play, mametraka teboka fidirana manokana, manasaraka ny API ary misoratra anarana kaonty fitsapana. Ny olana dia matetika ny olona no mihevitra fa ny zavatra rehetra voaaro amin'ny alàlan'ny fanomezan-dàlana dia tsy afaka amin'ny fandavana ny fanafihana serivisy. Heverina fa ny fanomezan-dàlana no CAPTCHA tsara indrindra, saingy tsy izany. Mora ny manao kaonty fitsapana 10-20, saingy amin'ny famoronana azy ireo dia mahazo fidirana amin'ny fiasa sarotra sy tsy misy dikany isika.
Mazava ho azy, mijery ny tantara isika, ao amin'ny robots.txt sy WebArchive, ViewDNS, ary mitady ny dikan-teny tranainy amin'ny loharano. Indraindray dia mitranga fa navoakan'ny mpamorona, ohatra, mail2.yandex.net, fa ny dikan-teny taloha, mail.yandex.net, dia mijanona. Ity mail.yandex.net ity dia tsy tohana intsony, tsy atokana ho azy ny loharanon-karena fampandrosoana, fa mbola manjifa ny angon-drakitra. Noho izany, amin'ny fampiasana ny dikan-teny taloha, azonao atao ny mampiasa ny loharanon'ny backend sy izay rehetra ao ambadiky ny layout. Mazava ho azy fa tsy mitranga foana izany, fa mbola sendra izany matetika isika.
Mazava ho azy fa mandinika ny mari-pamantarana fangatahana rehetra sy ny firafitry ny cookie izahay. Azonao atao, ohatra, ny manary sanda sasany ao anaty laharan'ny JSON ao anaty cookie iray, mamorona akany be dia be ary manao asa mandritra ny fotoana maharitra tsy mitombina ny loharano.
Fikarohana entana
Ny zavatra voalohany tonga ao an-tsaina rehefa mikaroka tranokala dia ny mametaka ny angon-drakitra, satria saika ny olona rehetra dia manana fikarohana, ary ho an'ny rehetra, indrisy, tsy voaaro tsara. Noho ny antony sasany, tsy miraharaha ny fikarohana ny mpamorona. Saingy misy soso-kevitra iray eto - tsy tokony hanao fangatahana mitovy karazana ianao, satria mety ho tratran'ny caching ianao, toy ny tondra-drano HTTP.
Ny fanaovana fanontaniana kisendrasendra amin'ny angon-drakitra dia tsy mahomby foana. Tsara kokoa ny mamorona lisitry ny teny fanalahidy mifandraika amin'ny fikarohana. Raha miverina amin'ny ohatra amin'ny fivarotana an-tserasera isika: andao atao hoe mivarotra kodiarana fiara ny tranokala ary mamela anao hametraka ny radius amin'ny kodiarana, ny karazana fiara ary ny masontsivana hafa. Noho izany, ny fitambaran'ny teny manan-danja dia hanery ny angon-drakitra hiasa amin'ny toe-javatra sarotra kokoa.
Ho fanampin'izay, mendrika ny mampiasa pagination: sarotra kokoa amin'ny fikarohana ny mamerina ny pejy farany amin'ny valin'ny fikarohana noho ny voalohany. Izany hoe, miaraka amin'ny fanampian'ny pagination azonao atao ny manova kely ny entana.
Ny ohatra etsy ambany dia mampiseho ny entan'ny fikarohana. Hita fa nanomboka tamin'ny segondra voalohany tamin'ny fitsapana tamin'ny hafainganam-pandeha folo isan-tsegondra dia nidina ny tranokala ary tsy namaly.
Raha tsy misy fikarohana?
Raha tsy misy fikarohana dia tsy midika izany fa tsy misy saha fampidirana hafa mora simba ilay tranokala. Ity sehatra ity dia mety ho fanomezan-dàlana. Amin'izao fotoana izao, tia manao hash sarotra ny mpamorona mba hiarovana ny angon-drakitra fidirana amin'ny fanafihana latabatra avana. Tsara izany, fa ny hashes toy izany dia mandany loharano CPU be dia be. Ny fikorianan'ny fanomezan-dàlana diso dia mitarika ho amin'ny tsy fahombiazan'ny processeur, ary vokatr'izany dia mijanona tsy miasa ny tranokala.
Ny fisian'ny endrika isan-karazany ho an'ny fanehoan-kevitra sy fanehoan-kevitra ao amin'ny tranokala dia antony iray handefasana lahatsoratra tena lehibe any na hamorona tondra-drano be. Indraindray ny tranokala dia manaiky rakitra mipetaka, ao anatin'izany ny endrika gzip. Amin'ity tranga ity, maka rakitra 1TB izahay, manindry azy amin'ny bytes na kilobytes maromaro mampiasa gzip ary alefaso any amin'ny tranokala. Avy eo dia esorina ary misy vokany tena mahaliana.
Rest API
Te-hijery kely momba ny serivisy malaza toy ny Rest API aho. Ny fiarovana ny Rest API dia sarotra kokoa noho ny tranokala mahazatra. Na dia fomba tsy dia misy dikany amin'ny fiarovana amin'ny herisetra amin'ny tenimiafina sy ny hetsika tsy ara-dalàna hafa aza dia tsy miasa amin'ny Rest API.
Ny Rest API dia tena mora tapaka satria miditra mivantana amin'ny angon-drakitra. Mandritra izany fotoana izany, ny tsy fahombiazan'ny serivisy toy izany dia miteraka voka-dratsy lehibe ho an'ny orinasa. Ny zava-misy dia ny Rest API dia matetika ampiasaina tsy ho an'ny tranokala lehibe ihany, fa koa ho an'ny fampiharana finday sy loharanon-karena anatiny. Ary raha mianjera izany rehetra izany, dia mahery kokoa ny vokany noho ny tsy fahombiazan'ny tranokala tsotra.
Loading votoaty mavesatra
Raha atolotra hanandrana fampiharana tsotra pejy tokana, pejy fipetrahana, na tranokala karatra fandraharahana izay tsy manana fiasa sarotra izahay, dia mitady votoaty mavesatra izahay. Ohatra, sary lehibe izay alefan'ny mpizara, rakitra binary, antontan-taratasy pdf - miezaka misintona izany rehetra izany izahay. Ny fitsapana toy izany dia mameno tsara ny rafitra fichier ary manenika ny fantsona, ary noho izany dia mahomby. Izany hoe, na dia tsy mametraka ny lohamilina aza ianao, misintona rakitra lehibe amin'ny hafainganam-pandeha ambany, dia hanakana fotsiny ny fantsonan'ny mpizara kendrena ianao ary avy eo dia hisy ny fandavana ny serivisy.
Ny ohatra iray amin'ny fitsapana toy izany dia mampiseho fa tamin'ny hafainganam-pandeha 30 RPS dia nijanona tsy namaly na namokatra fahadisoana mpizara faha-500 ny tranokala.
Aza adino ny manangana mpizara. Matetika ianao no mahita fa nividy milina virtoaly ny olona iray, nametraka Apache teo, nanamboatra ny zava-drehetra tamin'ny alàlan'ny default, nametraka fampiharana PHP, ary eo ambany no ahitanao ny vokatra.
Eto dia nandeha tany amin'ny fakany ny entana ary nahatratra 10 RPS fotsiny. Niandry 5 minitra izahay ary nianjera ny mpizara. Marina fa tsy fantatra tanteraka ny antony nianjerany, saingy misy ny fiheverana fa be loatra ny fitadidiany ka tsy namaly intsony.
Miorina amin'ny onja
Tao anatin'ny taona vitsivitsy na roa, nanjary nalaza be ny fanafihana onja. Izany dia noho ny fisian'ny fikambanana maro mividy fitaovana sasany ho an'ny fiarovana DDoS, izay mitaky fotoana maromaro hanangonana antontan'isa hanombohana ny fanivanana ny fanafihana. Izany hoe, tsy manivana ny fanafihana izy ireo ao anatin'ny 30-40 segondra voalohany, satria manangona angona sy mianatra. Noho izany, ao anatin'ireo segondra 30-40 ireo dia afaka manomboka betsaka amin'ny tranokala ianao ka handainga mandritra ny fotoana maharitra ny loharano mandra-pahafahan'ny fangatahana rehetra.
Raha ny fanafihana etsy ambany, dia nisy elanelana 10 minitra, taorian'izay dia tonga ny ampahany vaovao, novaina tamin'ny fanafihana.
Izany hoe, nianatra ny fiarovana, nanomboka nisivana, fa tonga ny ampahany vaovao, hafa tanteraka tamin'ny fanafihana, ary nanomboka nianatra indray ny fiarovana. Raha ny marina, mijanona tsy miasa ny sivana, lasa tsy mahomby ny fiarovana ary tsy misy ny tranokala.
Ny fanafihana onja dia miavaka amin'ny sanda avo dia avo amin'ny tampony, mety hahatratra iray hetsy na iray tapitrisa fangatahana isan-tsegondra, raha ny L7. Raha miresaka momba ny L3&4 isika, dia mety ho an-jatony gigabits ny fifamoivoizana, na, araka izany, mpps an-jatony, raha manisa ao anaty fonosana ianao.
Ny olana amin'ny fanafihana toy izany dia ny synchronization. Ny fanafihana dia avy amin'ny botnet ary mitaky fandrindrana avo lenta mba hamoronana spike indray mandeha. Ary tsy mandeha foana io fandrindrana io: indraindray ny vokatra dia karazana tampon'ny parabolika, izay toa mampalahelo.
Tsy HTTP irery
Ho fanampin'ny HTTP ao amin'ny L7, tianay ny manararaotra protocols hafa. Amin'ny maha-fitsipika, ny tranokala mahazatra, indrindra ny fampiantranoana mahazatra, dia manana protocols mailaka ary mipetaka ny MySQL. Ny protocols mailaka dia iharan'ny enta-mavesatra kokoa noho ny angon-drakitra, saingy azo apetraka tsara ihany koa izy ireo ary miafara amin'ny CPU be loatra amin'ny server.
Nahomby izahay tamin'ny fampiasana ny vulnerability 2016 SSH. Ankehitriny ity vulnerability ity dia efa raikitra ho an'ny rehetra, saingy tsy midika izany fa tsy azo atolotra amin'ny SSH ny entana. Afaka. Misy fanomezan-dàlana be dia be fotsiny, ny SSH dia mihinana saika ny CPU manontolo amin'ny mpizara, ary avy eo dia mirodana ny tranokala amin'ny fangatahana iray na roa isan-tsegondra. Noho izany, ireo fangatahana iray na roa mifototra amin'ny logs ireo dia tsy azo avahana amin'ny entana ara-dalàna.
Mbola misy ifandraisany ihany koa ny fifandraisana maro izay sokafanay amin'ny mpizara. Teo aloha dia meloka tamin'izany i Apache, ankehitriny ny nginx dia tena meloka amin'izany, satria matetika izy io dia namboarina tamin'ny alàlan'ny default. Ny isan'ny fifandraisana azon'ny nginx misokatra dia voafetra, noho izany dia manokatra an'io isan'ny fifandraisana io izahay, tsy manaiky fifandraisana vaovao intsony ny nginx, ary vokatr'izany dia tsy mandeha ny tranokala.
Manana CPU ampy hanafika ny tànana SSL ny cluster andranay. Amin'ny ankapobeny, araka ny asehon'ny fampiharana, ny botnets indraindray dia tia manao izany koa. Amin'ny lafiny iray, mazava ho azy fa tsy afaka manao tsy misy SSL ianao, satria ny valin'ny Google, ny laharana, ny fiarovana. Amin'ny lafiny iray, indrisy fa manana olana CPU ny SSL.
L3 sy 4
Rehefa miresaka fanafihana amin'ny ambaratonga L3&4 isika dia matetika miresaka fanafihana amin'ny ambaratonga rohy. Ny enta-mavesatra toy izany dia saika azo avahana amin'ny ara-dalàna, raha tsy hoe fanafihana tondra-drano SYN. Ny olana amin'ny fanafihana tondra-drano SYN ho an'ny fitaovana fiarovana dia ny habeny lehibe. Ny sanda L3&4 ambony indrindra dia 1,5-2 Tbit/s. Ity karazana fifamoivoizana ity dia tena sarotra ny fikarakarana na dia ho an'ny orinasa lehibe aza, anisan'izany ny Oracle sy Google.
SYN sy SYN-ACK dia fonosana ampiasaina rehefa mametraka fifandraisana. Noho izany, sarotra ny manavaka ny SYN-tondra-drano amin'ny enta-mavesatra ara-dalàna: tsy fantatra mazava na SYN izay tonga hanangana fifandraisana, na ampahany amin'ny tondra-drano.
UDP-tondra-drano
Amin'ny ankapobeny, ny mpanafika dia tsy manana ny fahaiza-manao ananantsika, noho izany dia azo ampiasaina ny fanamafisam-peo handaminana fanafihana. Izany hoe, ny mpanafika dia mijery ny Internet ary mahita ireo mpizara vulnerable na diso izay, ohatra, ho setrin'ny fonosana SYN iray, dia mamaly amin'ny SYN-ACK telo. Amin'ny alàlan'ny fandokoana ny adiresy loharano avy amin'ny adiresin'ny mpizara kendrena dia azo atao ny mampitombo ny hery amin'ny alàlan'ny, ohatra, intelo miaraka amin'ny fonosana tokana ary mamindra ny fifamoivoizana mankany amin'ilay niharam-boina.
Ny olana amin'ny amplification dia sarotra ny mamantatra azy ireo. Ohatra vao haingana dia ahitana ny tranga mampitolagaga momba ny memcached marefo. Fanampin'izay, be dia be izao ny fitaovana IoT, fakan-tsary IP, izay efa namboarina ihany koa amin'ny alàlan'ny default, ary amin'ny alàlan'ny default dia diso ny fanitsiana azy ireo, ka izany no mahatonga ny mpanafika matetika manao fanafihana amin'ny alàlan'ny fitaovana toy izany.
Sarotra ny SYN-tondra-drano
SYN-flood angamba no karazana fanafihana mahaliana indrindra amin'ny fomba fijerin'ny mpamorona. Ny olana dia matetika ny mpitantana ny rafitra dia mampiasa ny fanakanana IP ho fiarovana. Ankoatr'izay, ny fanakanana IP dia tsy misy fiantraikany amin'ny mpitantana ny rafitra izay miasa amin'ny script, fa koa, indrisy, ny rafitra fiarovana sasany izay novidina vola be.
Ity fomba ity dia mety hivadika ho loza, satria raha manolo ny adiresy IP ny mpanafika dia hanakana ny subnet azy manokana ny orinasa. Rehefa manakana ny cluster azy manokana ny Firewall dia tsy hahomby ny fifaneraserana ivelany ary tsy hahomby ny loharano.
Ankoatra izany, tsy sarotra ny manakana ny tambajotranao manokana. Raha manana tambajotra Wi-Fi ny biraon'ny mpanjifa, na raha refesina amin'ny alàlan'ny rafitra fanaraha-maso isan-karazany ny fahombiazan'ny loharanon-karena, dia alaintsika ny adiresy IP an'ity rafitra fanaraha-maso ity na ny Wi-Fi biraon'ny mpanjifa ary ampiasaina ho loharano. Amin'ny farany dia toa misy ny loharano, saingy voasakana ny adiresy IP kendrena. Noho izany, ny tambajotra Wi-Fi amin'ny fihaonambe HighLoad, izay atolotra ny vokatra vaovaon'ny orinasa, dia mety ho voasakana, ary izany dia mitaky fandaniana ara-barotra sy ara-toekarena sasany.
Mandritra ny fitsapana dia tsy afaka mampiasa fanamafisam-peo amin'ny alàlan'ny memcached miaraka amin'ny loharano ivelany izahay, satria misy ny fifanarahana handefasana fifamoivoizana amin'ny adiresy IP navela ihany. Noho izany, mampiasa amplification amin'ny SYN sy SYN-ACK izahay, rehefa mamaly ny fandefasana SYN iray miaraka amin'ny SYN-ACK roa na telo ny rafitra, ary amin'ny famoahana dia ampitomboina in-droa na intelo ny fanafihana.
fitaovana
Ny iray amin'ireo fitaovana lehibe ampiasainay amin'ny enta-mavesatra L7 dia Yandex-tank. Indrindra indrindra, ny phantom dia ampiasaina ho toy ny basy, ary misy sora-baventy maromaro amin'ny famokarana cartridges sy ny famakafakana ny vokatra.
Ny Tcpdump dia ampiasaina hamakafaka ny fifamoivoizana amin'ny tambajotra, ary ny Nmap dia ampiasaina hamakafaka ny mpizara. Mba hamoronana ny enta-mavesatra amin'ny ambaratonga L3&4 dia ampiasaina ny OpenSSL sy ny majika kely miaraka amin'ny tranomboky DPDK. DPDK dia tranomboky avy amin'ny Intel izay ahafahanao miara-miasa amin'ny tambajotran'ny tambajotra amin'ny alàlan'ny Linux stack, ka mampitombo ny fahombiazany. Mazava ho azy, mampiasa DPDK izahay tsy amin'ny ambaratonga L3&4 ihany, fa amin'ny haavon'ny L7 ihany koa, satria mamela antsika hamorona fikorianan'ny entana avo be, ao anatin'ny fangatahana an-tapitrisany isan-tsegondra amin'ny milina iray.
Mampiasa mpamokatra fifamoivoizana sy fitaovana manokana izay soratanay ho an'ny fitsapana manokana ihany koa izahay. Raha tsaroantsika ny vulnerability amin'ny SSH, dia tsy azo trandrahana ny andiany etsy ambony. Raha manafika ny protocol mailaka izahay dia maka fitaovana mailaka na manoratra script fotsiny amin'izy ireo.
hitany
Ho fehin-kevitra dia tiako ny milaza hoe:
- Ho fanampin'ny fitsapana enta-mavesatra mahazatra, ilaina ny manao fitiliana adin-tsaina. Manana ohatra tena izy isika fa ny subcontractor mpiara-miombon'antoka iray ihany no nanao fitiliana entana. Nasehony fa mahatanty ny enta-mavesatra ara-dalàna ny loharanon-karena. Saingy nisy enta-mavesa-danja niseho, nanomboka nampiasa ny loharanon-karena tamin'ny fomba hafa kely ny mpitsidika ny tranokala, ary vokatr'izany dia nandry ny subcontractor. Noho izany, mendrika ny mitady vulnerabilities na dia efa voaaro amin'ny fanafihana DDoS aza ianao.
- Ilaina ny manasaraka ny ampahany sasany amin'ny rafitra amin'ny hafa. Raha manana fikarohana ianao dia mila mamindra azy amin'ny milina misaraka, izany hoe tsy any Docker. Satria raha tsy mahomby ny fikarohana na ny fanomezan-dàlana, farafaharatsiny dia mbola hisy zavatra hitohy. Raha ny fivarotana an-tserasera, ny mpampiasa dia hanohy hahita vokatra ao amin'ny katalaogy, avy amin'ny mpanangona, hividy raha efa nahazo alalana, na hanome alalana amin'ny OAuth2.
- Aza atao tsinontsinona ny karazana serivisy rahona rehetra.
- Ampiasao ny CDN tsy hanatsara ny fahatarana amin'ny tambajotra, fa koa ho fiarovana amin'ny fanafihana amin'ny faharerahan'ny fantsona sy ny tondra-drano amin'ny fifamoivoizana static.
- Ilaina ny mampiasa serivisy fiarovana manokana. Tsy afaka miaro tena amin'ny fanafihana L3&4 amin'ny haavon'ny fantsona ianao, satria mety tsy manana fantsona ampy ianao. Azo inoana fa tsy hiady amin'ny fanafihana L7 koa ianao, satria mety ho lehibe izy ireo. Fanampin'izay, ny fitadiavana fanafihana kely dia mbola zon'ny serivisy manokana, algorithm manokana.
- Fanavaozana tsy tapaka. Tsy mihatra amin'ny kernel ihany izany, fa amin'ny daemon SSH koa, indrindra raha misokatra ho any ivelany izy ireo. Amin'ny ankapobeny, mila havaozina ny zava-drehetra, satria mety tsy ho afaka hanara-maso ny fahalemenao manokana ianao.
Source: www.habr.com