Variti tiżviluppa protezzjoni kontra bots u attakki DDoS, u twettaq ukoll ittestjar tal-istress u tat-tagħbija. Fil-konferenza HighLoad++ 2018 tkellimna dwar kif niżguraw ir-riżorsi minn diversi tipi ta 'attakki. Fil-qosor: iżola partijiet tas-sistema, uża servizzi cloud u CDNs, u aġġorna regolarment. Imma xorta mhux se tkun kapaċi timmaniġġja l-protezzjoni mingħajr kumpaniji speċjalizzati :)
Qabel taqra t-test, tista’ taqra l-astratti qosra .
U jekk ma tħobbx taqra jew trid sempliċement tara l-video, ir-reġistrazzjoni tar-rapport tagħna tinsab hawn taħt taħt l-ispoiler.
Reġistrazzjoni bil-vidjo tar-rapport
Ħafna kumpaniji diġà jafu kif jagħmlu l-ittestjar tat-tagħbija, iżda mhux kollha jagħmlu ittestjar tal-istress. Uħud mill-klijenti tagħna jaħsbu li s-sit tagħhom huwa invulnerabbli minħabba li għandhom sistema ta 'tagħbija għolja, u tipproteġi sew mill-attakki. Aħna nuru li dan mhux għal kollox minnu.
Naturalment, qabel ma nwettqu testijiet, niksbu permess mill-klijent, iffirmat u ttimbrat, u bl-għajnuna tagħna ma jistax isir attakk DDoS fuq ħadd. L-ittestjar isir fi żmien magħżul mill-klijent, meta t-traffiku lejn ir-riżors tiegħu huwa minimu, u l-problemi ta 'aċċess mhux se jaffettwaw lill-klijenti. Barra minn hekk, peress li xi ħaġa dejjem tista 'tmur ħażin matul il-proċess tal-ittestjar, għandna kuntatt kostanti mal-klijent. Dan jippermettilek mhux biss li tirrapporta r-riżultati miksuba, iżda wkoll li tibdel xi ħaġa waqt l-ittestjar. Mat-tlestija tal-ittestjar, aħna dejjem infasslu rapport li fih nirrimarkaw in-nuqqasijiet misjuba u nagħtu rakkomandazzjonijiet biex jiġu eliminati d-dgħufijiet tas-sit.
Kif qed naħdmu
Meta nittestjaw, aħna nemulaw botnet. Peress li naħdmu ma 'klijenti li ma jinsabux fin-netwerks tagħna, sabiex niżguraw li t-test ma jispiċċax fl-ewwel minuta minħabba limiti jew protezzjoni li qed jiġu attivati, aħna nipprovdu t-tagħbija mhux minn IP wieħed, iżda mis-subnet tagħna stess. Barra minn hekk, biex noħolqu tagħbija sinifikanti, għandna s-server tat-test pjuttost qawwi tagħna stess.
Postulati
Wisq ma jfissirx tajjeb
Inqas tagħbija nistgħu nġibu riżors għall-falliment, aħjar. Jekk tista 'tagħmel is-sit jieqaf jaħdem fuq talba waħda kull sekonda, jew saħansitra talba waħda kull minuta, dan huwa kbir. Minħabba li skont il-liġi tal-meanness, l-utenti jew l-attakkanti aċċidentalment jaqgħu f'din il-vulnerabbiltà partikolari.
Il-falliment parzjali huwa aħjar minn falliment sħiħ
Aħna dejjem nagħtu parir li nagħmlu s-sistemi eteroġenji. Barra minn hekk, ta 'min jifredhom fil-livell fiżiku, u mhux biss bil-kontejners. Fil-każ ta 'separazzjoni fiżika, anki jekk xi ħaġa tfalli fuq is-sit, hemm probabbiltà kbira li ma tieqafx taħdem kompletament, u l-utenti se jkomplu jkollhom aċċess għal mill-inqas parti mill-funzjonalità.
L-arkitettura tajba hija l-bażi għas-sostenibbiltà
It-tolleranza għall-ħsarat ta 'riżorsa u l-kapaċità tagħha li tiflaħ attakki u tagħbijiet għandhom jiġu stabbiliti fl-istadju tad-disinn, fil-fatt, fl-istadju tat-tfassil tal-ewwel flowcharts f'notepad. Għax jekk jidħlu żbalji fatali, huwa possibbli li jiġu kkoreġuti fil-futur, iżda huwa diffiċli ħafna.
Mhux biss il-kodiċi għandu jkun tajjeb, iżda wkoll il-konfigurazzjoni
Ħafna nies jaħsbu li tim ta 'żvilupp tajjeb huwa garanzija ta' servizz tolleranti għall-ħsarat. Tim ta 'żvilupp tajjeb huwa verament meħtieġ, iżda jrid ikun hemm ukoll operazzjonijiet tajbin, DevOps tajba. Jiġifieri, għandna bżonn speċjalisti li se jikkonfiguraw b'mod korrett Linux u n-netwerk, jiktbu konfigurazzjonijiet b'mod korrett f'nginx, jistabbilixxu limiti, eċċ. Inkella, ir-riżorsa taħdem tajjeb biss fl-ittestjar, u f'xi punt kollox jinkiser fil-produzzjoni.
Differenzi bejn it-tagħbija u l-ittestjar tal-istress
L-ittestjar tat-tagħbija jippermettilek tidentifika l-limiti tal-funzjonament tas-sistema. L-ittestjar tal-istress huwa mmirat biex isib dgħufijiet f'sistema u jintuża biex ikisser din is-sistema u jara kif se jġib ruħu fil-proċess ta 'falliment ta' ċerti partijiet. F'dan il-każ, in-natura tat-tagħbija normalment tibqa 'mhux magħrufa għall-klijent qabel ma jibda l-ittestjar tal-istress.
Karatteristiċi distintivi ta 'attakki L7
Normalment naqsmu tipi ta 'tagħbija f'tagħbijiet fil-livelli L7 u L3&4. L7 hija tagħbija fil-livell ta 'applikazzjoni, ħafna drabi tfisser HTTP biss, iżda aħna nfissru kwalunkwe tagħbija fil-livell tal-protokoll TCP.
L-attakki L7 għandhom ċerti karatteristiċi distintivi. L-ewwelnett, jaslu direttament għall-applikazzjoni, jiġifieri, huwa improbabbli li jkunu riflessi permezz ta 'mezzi tan-netwerk. Attakki bħal dawn jużaw il-loġika, u minħabba dan, jikkunsmaw CPU, memorja, disk, database u riżorsi oħra b'mod effiċjenti ħafna u bi ftit traffiku.
Għargħar HTTP
Fil-każ ta 'kwalunkwe attakk, it-tagħbija hija aktar faċli biex tinħoloq milli biex timmaniġġa, u fil-każ ta' L7 dan huwa minnu wkoll. Mhux dejjem faċli li tiddistingwi t-traffiku tal-attakk minn traffiku leġittimu, u ħafna drabi dan jista 'jsir bil-frekwenza, iżda jekk kollox huwa ppjanat b'mod korrett, allura huwa impossibbli li wieħed jifhem mir-zkuk fejn jinsab l-attakk u fejn huma t-talbiet leġittimi.
Bħala l-ewwel eżempju, ikkunsidra attakk HTTP Flood. Il-graff turi li attakki bħal dawn huma ġeneralment qawwija ħafna fl-eżempju ta 'hawn taħt, l-ogħla numru ta' talbiet qabeż is-600 elf kull minuta;
HTTP Flood huwa l-eħfef mod biex tinħoloq tagħbija. Tipikament, tieħu xi tip ta 'għodda għall-ittestjar tat-tagħbija, bħal ApacheBench, u tistabbilixxi talba u mira. B'approċċ sempliċi bħal dan, hemm probabbiltà għolja li tidħol fis-server caching, iżda huwa faċli li tevitah. Per eżempju, iż-żieda ta 'kordi każwali mat-talba, li se jġiegħel lis-server iservi kontinwament paġna ġdida.
Ukoll, tinsiex dwar l-utent-aġent fil-proċess tal-ħolqien ta 'tagħbija. Ħafna utenti-aġenti ta 'għodod ta' ttestjar popolari huma ffiltrati mill-amministraturi tas-sistema, u f'dan il-każ it-tagħbija tista 'sempliċement ma tilħaqx il-backend. Tista' ttejjeb ir-riżultat b'mod sinifikanti billi ddaħħal header bejn wieħed u ieħor validu mill-browser fit-talba.
Sempliċi daqskemm huma l-attakki HTTP Flood, għandhom ukoll l-iżvantaġġi tagħhom. L-ewwelnett, huma meħtieġa ammonti kbar ta 'enerġija biex tinħoloq it-tagħbija. It-tieni, attakki bħal dawn huma faċli ħafna biex jinstabu, speċjalment jekk ikunu ġejjin minn indirizz wieħed. Bħala riżultat, it-talbiet immedjatament jibdew jiġu ffiltrati jew mill-amministraturi tas-sistema jew saħansitra fil-livell tal-fornitur.
X'għandek tfittex
Biex tnaqqas in-numru ta 'talbiet kull sekonda mingħajr ma titlef l-effiċjenza, trid turi ftit immaġinazzjoni u tesplora s-sit. Għalhekk, tista 'tagħbija mhux biss il-kanal jew is-server, iżda wkoll partijiet individwali tal-applikazzjoni, pereżempju, databases jew sistemi ta' fajls. Tista' wkoll tfittex postijiet fuq is-sit li jagħmlu kalkoli kbar: kalkolaturi, paġni tal-għażla tal-prodotti, eċċ. Fl-aħħarnett, ħafna drabi jiġri li s-sit ikollu xi tip ta 'script PHP li jiġġenera paġna ta' diversi mijiet ta 'eluf ta' linji. Tali skript ukoll jgħabbi b'mod sinifikanti s-server u jista 'jsir mira għal attakk.
Fejn tfittex
Meta niskennjaw riżors qabel l-ittestjar, l-ewwel inħarsu, ovvjament, lejn is-sit innifsu. Qegħdin infittxu kull tip ta 'oqsma ta' input, fajls tqal - b'mod ġenerali, dak kollu li jista 'joħloq problemi għar-riżors u jnaqqas it-tħaddim tagħha. Għodod ta 'żvilupp banali f'Google Chrome u Firefox jgħinu hawnhekk, li juru l-ħinijiet ta' rispons tal-paġna.
Aħna wkoll scan subdomains. Pereżempju, hemm ċertu ħanut online, abc.com, u għandu sottodominju admin.abc.com. X'aktarx, dan huwa panel ta 'amministrazzjoni b'awtorizzazzjoni, imma jekk tpoġġi tagħbija fuqu, tista' toħloq problemi għar-riżors ewlieni.
Is-sit jista' jkollu sottodominju api.abc.com. Ħafna probabbli, din hija riżorsa għall-applikazzjonijiet mobbli. L-applikazzjoni tista 'tinstab fl-App Store jew Google Play, tinstalla punt ta' aċċess speċjali, tissekkja l-API u tirreġistra kontijiet tat-test. Il-problema hija li n-nies ħafna drabi jaħsbu li kull ħaġa li hija protetta b'awtorizzazzjoni hija immuni għal attakki ta 'ċaħda ta' servizz. Suppost, l-awtorizzazzjoni hija l-aħjar CAPTCHA, iżda mhix. Huwa faċli li tagħmel 10-20 kontijiet tat-test, iżda billi noħolquhom, ikollna aċċess għal funzjonalità kumplessa u mhux moħbija.
Naturalment, inħarsu lejn l-istorja, fuq robots.txt u WebArchive, ViewDNS, u nfittxu verżjonijiet antiki tar-riżorsa. Xi drabi jiġri li l-iżviluppaturi ħarġu, ngħidu aħna, mail2.yandex.net, iżda l-verżjoni l-antika, mail.yandex.net, tibqa '. Dan mail.yandex.net m'għadux appoġġjat, ir-riżorsi tal-iżvilupp mhumiex allokati għalih, iżda jkompli jikkunsma d-database. Għaldaqstant, billi tuża l-verżjoni l-antika, tista 'tuża b'mod effettiv ir-riżorsi tal-backend u dak kollu li hemm wara t-tqassim. Naturalment, dan mhux dejjem iseħħ, iżda xorta niltaqgħu ma 'dan pjuttost spiss.
Naturalment, aħna nanalizzaw il-parametri kollha tat-talba u l-istruttura tal-cookie. Tista ', ngħidu aħna, titfa' xi valur f'firxa JSON ġewwa cookie, toħloq ħafna nesting u tagħmel ir-riżors jaħdem għal żmien twil mhux raġonevoli.
Fittex tagħbija
L-ewwel ħaġa li tiġi f'moħħna meta tirriċerka sit hija li tgħabbi d-database, peress li kważi kulħadd għandu tfittxija, u għal kważi kulħadd, sfortunatament, hija protetta ħażin. Għal xi raġuni, l-iżviluppaturi ma jagħtux biżżejjed attenzjoni biex ifittxu. Iżda hawn rakkomandazzjoni waħda - m'għandekx tagħmel talbiet tal-istess tip, għaliex tista 'tiltaqa' ma 'caching, bħalma huwa l-każ ta' għargħar HTTP.
Li tagħmel mistoqsijiet bl-addoċċ għad-database mhux dejjem huwa effettiv. Huwa ħafna aħjar li tinħoloq lista ta' kliem prinċipali li huma rilevanti għat-tfittxija. Jekk nerġgħu lura għall-eżempju ta 'ħanut online: ejja ngħidu li s-sit ibigħ tajers tal-karozzi u jippermettilek li tissettja r-raġġ tat-tajers, it-tip ta' karozza u parametri oħra. Għaldaqstant, kombinazzjonijiet ta' kliem rilevanti jġiegħlu lid-database taħdem f'kundizzjonijiet ħafna aktar kumplessi.
Barra minn hekk, ta 'min juża l-paġnar: huwa ħafna aktar diffiċli għal tfittxija li tirritorna l-paġna ta' qabel tal-aħħar tar-riżultati tat-tfittxija mill-ewwel. Jiġifieri, bl-għajnuna tal-paġnar tista 'tiddiversifika kemmxejn it-tagħbija.
L-eżempju hawn taħt juri t-tagħbija tat-tfittxija. Wieħed jista 'jara li mill-ewwel sekonda tat-test b'veloċità ta' għaxar talbiet kull sekonda, is-sit niżel u ma weġibx.
Jekk ma jkunx hemm tfittxija?
Jekk ma jkunx hemm tfittxija, dan ma jfissirx li s-sit ma fihx oqsma oħra ta' input vulnerabbli. Dan il-qasam jista' jkun awtorizzazzjoni. Illum il-ġurnata, l-iżviluppaturi jħobbu jagħmlu hashes kumplessi biex jipproteġu d-database tal-login minn attakk tal-mejda tal-qawsalla. Dan huwa tajjeb, iżda hashes bħal dawn jikkunsmaw ħafna riżorsi tas-CPU. Fluss kbir ta 'awtorizzazzjonijiet foloz iwassal għal falliment tal-proċessur, u bħala riżultat, is-sit jieqaf jaħdem.
Il-preżenza fuq is-sit ta 'kull tip ta' formoli għal kummenti u feedback hija raġuni biex jintbagħtu testi kbar ħafna hemmhekk jew sempliċement toħloq għargħar massiv. Xi drabi s-siti jaċċettaw fajls mehmuża, inkluż fil-format gzip. F'dan il-każ, nieħdu fajl 1TB, nikkompressah għal diversi bytes jew kilobytes billi tuża gzip u nibagħtu lis-sit. Imbagħad huwa unzipped u jinkiseb effett interessanti ħafna.
Rest API
Nixtieq nagħti ftit attenzjoni lil servizzi popolari bħalma huma l-API Rest. L-iżgurar ta' Rest API huwa ħafna aktar diffiċli minn websajt regolari. Anke metodi trivjali ta 'protezzjoni kontra l-forza bruta tal-password u attività illeġittima oħra ma jaħdmux għall-API Rest.
L-API Rest huwa faċli ħafna li tkisser minħabba li taċċessa d-database direttament. Fl-istess ħin, in-nuqqas ta 'servizz bħal dan jinvolvi konsegwenzi pjuttost serji għan-negozju. Il-fatt hu li l-API Rest huwa normalment użat mhux biss għall-websajt prinċipali, iżda wkoll għall-applikazzjoni mobbli u xi riżorsi tan-negozju interni. U jekk dan kollu jaqa ', allura l-effett huwa ħafna aktar b'saħħtu milli fil-każ ta' falliment sempliċi tal-websajt.
Tagħbija kontenut tqil
Jekk niġu offruti li nittestjaw xi applikazzjoni ordinarja ta' paġna waħda, paġna ta' destinazzjoni jew websajt tal-kards tan-negozju li m'għandhiex funzjonalità kumplessa, infittxu kontenut tqil. Pereżempju, immaġini kbar li jibgħat is-server, fajls binarji, dokumentazzjoni pdf - nippruvaw tniżżel dan kollu. Testijiet bħal dawn jgħabbu s-sistema tal-fajls sew u jinstaddu l-kanali, u għalhekk huma effettivi. Jiġifieri, anki jekk ma tpoġġix is-server, tniżżel fajl kbir b'veloċitajiet baxxi, inti sempliċiment tinstadd il-kanal tas-server fil-mira u mbagħad isseħħ ċaħda ta 'servizz.
Eżempju ta 'tali test juri li b'veloċità ta' 30 RPS is-sit waqaf jirrispondi jew ipproduċa 500th server żball.
Tinsiex dwar it-twaqqif ta' servers. Ħafna drabi tista 'ssib li persuna xtrat magna virtwali, installat Apache hemmhekk, ikkonfigurat kollox awtomatikament, installat applikazzjoni PHP, u hawn taħt tista' tara r-riżultat.
Hawnhekk it-tagħbija marret għall-għerq u ammontat għal 10 RPS biss. Aħna stennejna 5 minuti u s-server ġġarraf. Huwa minnu li mhux magħruf għal kollox għaliex waqa’, iżda hemm suppożizzjoni li sempliċement kellu wisq memorja u għalhekk waqaf jirrispondi.
Ibbażat fuq il-mewġ
Fl-aħħar sena jew tnejn, l-attakki tal-mewġ saru popolari pjuttost. Dan huwa dovut għall-fatt li ħafna organizzazzjonijiet jixtru ċerti biċċiet ta 'ħardwer għall-protezzjoni DDoS, li jeħtieġu ċertu ammont ta' żmien biex jakkumulaw statistika biex tibda tiffiltra l-attakk. Jiġifieri ma jiffiltrawx l-attakk fl-ewwel 30-40 sekondi, minħabba li jakkumulaw data u jitgħallmu. Għaldaqstant, f'dawn is-sekondi 30-40 tista 'tniedi tant fuq is-sit li r-riżorsa tibqa' għal żmien twil sakemm it-talbiet kollha jiġu ċċarati.
Fil-każ tal-attakk hawn taħt, kien hemm intervall ta '10 minuti, u wara wasal porzjon ġdid u modifikat tal-attakk.
Jiġifieri, id-difiża tgħallmet, bdiet tiffiltra, iżda waslet porzjon ġdid, kompletament differenti tal-attakk, u d-difiża reġgħet bdiet titgħallem. Fil-fatt, il-filtrazzjoni tieqaf taħdem, il-protezzjoni ssir ineffettiva, u s-sit mhux disponibbli.
L-attakki tal-mewġ huma kkaratterizzati minn valuri għoljin ħafna fil-quċċata, jistgħu jilħqu mitt elf jew miljun talba kull sekonda, fil-każ ta 'L7. Jekk nitkellmu dwar L3 & 4, allura jista 'jkun hemm mijiet ta' gigabits ta 'traffiku, jew, għaldaqstant, mijiet ta' mpps, jekk tgħodd f'pakketti.
Il-problema b'attakki bħal dawn hija s-sinkronizzazzjoni. L-attakki ġejjin minn botnet u jeħtieġu grad għoli ta 'sinkronizzazzjoni biex joħolqu spike ta' darba kbir ħafna. U din il-koordinazzjoni mhux dejjem taħdem: xi kultant l-output huwa xi tip ta 'quċċata parabolika, li tidher pjuttost patetika.
Mhux HTTP waħdu
Minbarra l-HTTP f'L7, nixtiequ nisfruttaw protokolli oħra. Bħala regola, websajt regolari, speċjalment hosting regolari, għandha protokolli tal-posta u MySQL jissejħu. Il-protokolli tal-posta huma suġġetti għal inqas tagħbija mid-databases, iżda jistgħu wkoll jitgħabbew b'mod pjuttost effiċjenti u jispiċċaw b'CPU mgħobbi żżejjed fuq is-server.
B'mod pjuttost realistiku kellna suċċess bil-vulnerabbiltà SSH tal-2016. Issa din il-vulnerabbiltà ġiet iffissata għal kważi kulħadd, iżda dan ma jfissirx li t-tagħbija ma tistax tiġi sottomessa lil SSH. Can. Hemm sempliċiment tagħbija kbira ta 'awtorizzazzjonijiet, SSH jiekol kważi s-CPU kollu fuq is-server, u mbagħad il-websajt tiġġarraf minn rikjesta waħda jew tnejn kull sekonda. Għaldaqstant, dawn it-talbiet waħda jew tnejn ibbażati fuq ir-zkuk ma jistgħux jiġu distinti minn tagħbija leġittima.
Ħafna konnessjonijiet li niftħu fis-servers jibqgħu rilevanti wkoll. Preċedentement, Apache kien ħati ta 'dan, issa nginx huwa fil-fatt ħati ta' dan, peress li ħafna drabi huwa kkonfigurat awtomatikament. In-numru ta 'konnessjonijiet li nginx jista' jżomm miftuħ huwa limitat, għalhekk aħna niftħu dan in-numru ta 'konnessjonijiet, nginx m'għadux jaċċetta konnessjoni ġdida, u bħala riżultat is-sit ma jaħdimx.
Il-cluster tat-test tagħna għandu biżżejjed CPU biex jattakka l-handshake SSL. Fil-prinċipju, kif turi l-prattika, il-botnets kultant jixtiequ jagħmlu dan ukoll. Min-naħa waħda, huwa ċar li ma tistax tgħaddi mingħajr SSL, minħabba li Google riżultati, klassifikazzjoni, sigurtà. Min-naħa l-oħra, SSL sfortunatament għandu kwistjoni ta 'CPU.
L3&4
Meta nitkellmu dwar attakk fil-livelli L3 & 4, ġeneralment inkunu qed nitkellmu dwar attakk fil-livell tal-link. Tagħbija bħal din hija kważi dejjem tingħaraf minn waħda leġittima, sakemm ma tkunx attakk SYN-flood. Il-problema bl-attakki SYN-flood għall-għodod tas-sigurtà hija l-volum kbir tagħhom. Il-valur massimu L3&4 kien 1,5-2 Tbit/s. Dan it-tip ta’ traffiku huwa diffiċli ħafna biex jiġi pproċessat anke għal kumpaniji kbar, inklużi Oracle u Google.
SYN u SYN-ACK huma pakketti li jintużaw meta tiġi stabbilita konnessjoni. Għalhekk, SYN-flood huwa diffiċli li ssir distinzjoni minn tagħbija leġittima: mhuwiex ċar jekk dan huwiex SYN li ġie biex jistabbilixxi konnessjoni, jew parti minn għargħar.
UDP-għargħar
Tipikament, l-attakkanti m'għandhomx il-kapaċitajiet li għandna, għalhekk l-amplifikazzjoni tista 'tintuża biex torganizza attakki. Jiġifieri, l-attakkant jiskenja l-Internet u jsib servers vulnerabbli jew konfigurati ħażin li, pereżempju, bi tweġiba għal pakkett SYN wieħed, jirrispondu bi tliet SYN-ACKs. Billi spoofing l-indirizz tas-sors mill-indirizz tas-server fil-mira, huwa possibbli li tiżdied il-qawwa billi, ngħidu aħna, tliet darbiet b'pakkett wieħed u terġa 'tidderieġi t-traffiku lejn il-vittma.
Il-problema bl-amplifikazzjonijiet hija li huma diffiċli biex jinstabu. Eżempji riċenti jinkludu l-każ sensazzjonali tal-memcached vulnerabbli. Barra minn hekk, issa hemm ħafna apparati IoT, kameras IP, li huma wkoll l-aktar konfigurati awtomatikament, u awtomatikament huma kkonfigurati ħażin, u huwa għalhekk li l-attakkanti ħafna drabi jagħmlu attakki permezz ta 'apparat bħal dan.
Diffiċli SYN-għargħar
SYN-flood huwa probabbilment l-aktar interessanti tip ta 'attakk mill-aspett ta' żviluppatur. Il-problema hija li l-amministraturi tas-sistema spiss jużaw l-imblukkar tal-IP għall-protezzjoni. Barra minn hekk, l-imblukkar tal-IP jaffettwa mhux biss l-amministraturi tas-sistema li jaġixxu bl-użu ta 'skripts, iżda wkoll, sfortunatament, xi sistemi ta' sigurtà li jinxtraw għal ħafna flus.
Dan il-metodu jista 'jinbidel f'diżastru, għaliex jekk l-attakkanti jissostitwixxu l-indirizzi IP, il-kumpanija timblokka s-subnet tagħha stess. Meta l-Firewall jimblokka l-cluster tiegħu stess, l-output ifalli l-interazzjonijiet esterni u r-riżors ifalli.
Barra minn hekk, mhuwiex diffiċli li timblokka n-netwerk tiegħek stess. Jekk l-uffiċċju tal-klijent għandu netwerk Wi-Fi, jew jekk il-prestazzjoni tar-riżorsi titkejjel bl-użu ta 'diversi sistemi ta' monitoraġġ, allura nieħdu l-indirizz IP ta 'din is-sistema ta' monitoraġġ jew l-uffiċċju tal-klijent Wi-Fi u nużawha bħala sors. Fl-aħħar, ir-riżors jidher li huwa disponibbli, iżda l-indirizzi IP fil-mira huma mblukkati. Għalhekk, in-netwerk Wi-Fi tal-konferenza HighLoad, fejn qed jiġi ppreżentat il-prodott il-ġdid tal-kumpanija, jista 'jiġi mblukkat, u dan jinvolvi ċerti spejjeż kummerċjali u ekonomiċi.
Waqt l-ittestjar, ma nistgħux nużaw l-amplifikazzjoni permezz tal-memcached ma 'xi riżorsi esterni, minħabba li hemm ftehimiet biex jintbagħat it-traffiku biss għal indirizzi IP permessi. Għaldaqstant, nużaw l-amplifikazzjoni permezz ta 'SYN u SYN-ACK, meta s-sistema twieġeb biex tibgħat SYN wieħed b'żewġ jew tliet SYN-ACKs, u fl-output l-attakk jiġi mmultiplikat b'żewġ jew tliet darbiet.
Għodod
Waħda mill-għodod ewlenin li nużaw għall-ammont ta 'xogħol L7 hija Yandex-tank. B'mod partikolari, fantażma tintuża bħala pistola, kif ukoll hemm diversi skripts għall-ġenerazzjoni ta 'skrataċ u għall-analiżi tar-riżultati.
Tcpdump jintuża biex janalizza t-traffiku tan-netwerk, u Nmap jintuża biex janalizza s-server. Biex tinħoloq it-tagħbija fil-livell L3 & 4, jintużaw OpenSSL u ftit tal-maġija tagħna stess bil-librerija DPDK. DPDK hija librerija minn Intel li tippermettilek taħdem bl-interface tan-netwerk billi tevita l-munzell Linux, u b'hekk iżżid l-effiċjenza. Naturalment, nużaw DPDK mhux biss fil-livell L3 & 4, iżda wkoll fil-livell L7, minħabba li jippermettilna noħolqu fluss ta 'tagħbija għoli ħafna, fil-medda ta' bosta miljuni ta 'rikjesti kull sekonda minn magna waħda.
Aħna nużaw ukoll ċerti ġeneraturi tat-traffiku u għodod speċjali li niktbu għal testijiet speċifiċi. Jekk infakkru l-vulnerabbiltà taħt SSH, allura s-sett ta 'hawn fuq ma jistax jiġi sfruttat. Jekk nattakkaw il-protokoll tal-posta, nieħdu utilitajiet tal-posta jew sempliċement niktbu skripts fuqhom.
Sejbiet
Bħala konklużjoni nixtieq ngħid:
- Minbarra l-ittestjar tat-tagħbija klassika, huwa meħtieġ li jsir ittestjar tal-istress. Għandna eżempju reali fejn is-sottokuntrattur ta' sieħeb wettaq biss ittestjar tat-tagħbija. Wera li r-riżors jista 'jiflaħ it-tagħbija normali. Imma mbagħad dehret tagħbija anormali, il-viżitaturi tas-sit bdew jużaw ir-riżorsa ftit differenti, u bħala riżultat is-sottokuntrattur jistabbilixxi. Għalhekk, ta 'min ifittex vulnerabbiltajiet anki jekk inti diġà protett minn attakki DDoS.
- Huwa meħtieġ li jiġu iżolati xi partijiet tas-sistema minn oħrajn. Jekk għandek tfittxija, trid tmexxiha għal magni separati, jiġifieri lanqas għal Docker. Għax jekk tfalli t-tfittxija jew l-awtorizzazzjoni, tal-inqas xi ħaġa tibqa’ taħdem. Fil-każ ta’ ħanut online, l-utenti jkomplu jsibu prodotti fil-katalgu, imorru mill-aggregatur, jixtru jekk ikunu diġà awtorizzati, jew jawtorizzaw permezz ta’ OAuth2.
- Tittraskurax kull tip ta' servizzi tal-cloud.
- Uża CDN mhux biss biex tottimizza d-dewmien tan-netwerk, iżda wkoll bħala mezz ta 'protezzjoni kontra attakki fuq l-eżawriment tal-kanali u sempliċiment għargħar fit-traffiku statiku.
- Huwa meħtieġ li jintużaw servizzi ta 'protezzjoni speċjalizzati. Ma tistax tipproteġi lilek innifsek minn attakki L3 & 4 fil-livell tal-kanal, għax x'aktarx sempliċement ma jkollokx kanal suffiċjenti. X'aktarx ma tiġġieledx ukoll l-attakki L7, peress li jistgħu jkunu kbar ħafna. Barra minn hekk, it-tfittxija għal attakki żgħar għadha l-prerogattiva ta 'servizzi speċjali, algoritmi speċjali.
- Aġġorna regolarment. Dan japplika mhux biss għall-qalba, iżda wkoll għad-daemon SSH, speċjalment jekk ikollokhom miftuħa għal barra. Fil-prinċipju, kollox jeħtieġ li jiġi aġġornat, għax x'aktarx li ma tkunx tista' ssegwi ċerti vulnerabbiltajiet waħdek.
Sors: www.habr.com