ကယ်တင်ရန် DDoS- ကျွန်ုပ်တို့သည် စိတ်ဖိစီးမှုနှင့် စစ်ဆေးမှုများကို မည်သို့လုပ်ဆောင်သည်။

Variti သည် ဘော့တ်များနှင့် DDoS တိုက်ခိုက်မှုများကို အကာအကွယ်ပေးထားပြီး စိတ်ဖိစီးမှုနှင့် load စစ်ဆေးမှုများကိုလည်း လုပ်ဆောင်သည်။ HighLoad++ 2018 ကွန်ဖရင့်တွင် ကျွန်ုပ်တို့သည် တိုက်ခိုက်မှုအမျိုးအစားအမျိုးမျိုးမှ အရင်းအမြစ်များကို မည်ကဲ့သို့ လုံခြုံအောင်ပြုလုပ်ရမည်ကို ဆွေးနွေးခဲ့ပါသည်။ အတိုချုပ်ပြောရလျှင်- စနစ်၏အစိတ်အပိုင်းများကို သီးခြားခွဲထုတ်ပါ၊ cloud ဝန်ဆောင်မှုများနှင့် CDNs များကို အသုံးပြုကာ ပုံမှန်မွမ်းမံပါ။ ဒါပေမယ့် အထူးပြုကုမ္ပဏီတွေမပါဘဲ အကာအကွယ်ကို သင်မကိုင်တွယ်နိုင်သေးပါဘူး။ :)

စာသားကိုမဖတ်မီ၊ တိုတောင်းသော abstracts ကိုဖတ်နိုင်သည်။ ညီလာခံ website တွင်.
ပြီးတော့ ဗီဒီယိုကို ဖတ်ချင်တာ ဒါမှမဟုတ် မကြည့်ချင်ဘူးဆိုရင်၊ ကျွန်ုပ်တို့ရဲ့ အစီရင်ခံစာကို မှတ်တမ်းတင်ထားတဲ့ spoiler အောက်မှာ ရှိပါတယ်။

အစီရင်ခံစာ ဗီဒီယိုမှတ်တမ်း

ကုမ္ပဏီများစွာသည် load testing ကိုမည်သို့လုပ်ဆောင်ရမည်ကိုသိထားပြီးဖြစ်သော်လည်း၊ အားလုံးသည် stress testing မလုပ်ကြပါ။ ကျွန်ုပ်တို့၏ဖောက်သည်အချို့သည် ၎င်းတို့၏ site သည် မြင့်မားသော load စနစ်ရှိ၍ တိုက်ခိုက်မှုများမှ ကောင်းစွာကာကွယ်နိုင်သောကြောင့် ၎င်းတို့၏ဆိုက်သည် ခုခံနိုင်စွမ်းမရှိဟု ထင်မြင်ပါသည်။ ဤသည်မှာ လုံးဝမမှန်ကြောင်း ကျွန်ုပ်တို့ပြသပါသည်။
ဟုတ်ပါတယ်၊ စမ်းသပ်မှုမပြုလုပ်မီ၊ ကျွန်ုပ်တို့သည် ဝယ်ယူသူထံမှ ခွင့်ပြုချက်ရယူပြီး လက်မှတ်ရေးထိုးကာ တံဆိပ်တုံးထုကာ ကျွန်ုပ်တို့၏အကူအညီဖြင့် DDoS တိုက်ခိုက်မှုကို မည်သူတစ်ဦးတစ်ယောက်မှ လုပ်ဆောင်၍မရပါ။ ဖောက်သည်က သူ့အရင်းအမြစ်သို့ အသွားအလာနည်းပါးသောအခါ၊ ဖောက်သည်များထံ ဝင်ရောက်မှုပြဿနာများသည် သုံးစွဲသူများအပေါ် သက်ရောက်မှုရှိမည်မဟုတ်သော်လည်း ဖောက်သည်မှ ရွေးချယ်သည့်အချိန်တွင် စမ်းသပ်ခြင်းကို လုပ်ဆောင်ပါသည်။ ထို့အပြင်၊ စမ်းသပ်မှုလုပ်ငန်းစဉ်အတွင်း တစ်စုံတစ်ခုသည် အမြဲတမ်းမှားယွင်းသွားနိုင်သောကြောင့်၊ ကျွန်ုပ်တို့သည် ဖောက်သည်နှင့် အဆက်မပြတ်အဆက်အသွယ်ရှိသည်။ ၎င်းသည် သင့်အား အောင်မြင်သောရလဒ်များကို အစီရင်ခံရန်သာမက စမ်းသပ်နေစဉ်အတွင်း တစ်ခုခုကို ပြောင်းလဲနိုင်စေပါသည်။ စမ်းသပ်မှုပြီးသည်နှင့်၊ ကျွန်ုပ်တို့သည် တွေ့ရှိထားသော ချို့ယွင်းချက်များကို ထောက်ပြပြီး ဝဘ်ဆိုက်၏ အားနည်းချက်များကို ဖယ်ရှားရန်အတွက် အကြံပြုချက်များပေးသည့် အစီရင်ခံစာကို အမြဲရေးဆွဲပါသည်။

ငါတို့ဘယ်လိုအလုပ်လုပ်လဲ

စမ်းသပ်သောအခါ၊ ကျွန်ုပ်တို့သည် botnet ကိုအတုယူသည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ကွန်ရက်များတွင် တည်ရှိခြင်းမရှိသော ဖောက်သည်များနှင့် အလုပ်လုပ်သောကြောင့်၊ ကန့်သတ်ချက်များ သို့မဟုတ် ကာကွယ်မှုအစပျိုးခြင်းကြောင့် ပထမမိနစ်တွင် စမ်းသပ်မှုမပြီးဆုံးကြောင်း သေချာစေရန်အတွက်၊ ကျွန်ုပ်တို့သည် ဝန်ကို IP တစ်ခုမှမဟုတ်ဘဲ ကျွန်ုပ်တို့၏ကိုယ်ပိုင် subnet မှ ပံ့ပိုးပေးပါသည်။ ထို့အပြင်၊ သိသာထင်ရှားသောဝန်ထုပ်ဝန်ပိုးကိုဖန်တီးရန်ကျွန်ုပ်တို့၏ကိုယ်ပိုင်အတော်လေးအစွမ်းထက်သောစမ်းသပ်ဆာဗာရှိသည်။

Postulates

များလွန်းရင် ကောင်းတယ်လို့ မဆိုလိုပါဘူး။
ကျွန်ုပ်တို့သည် အရင်းအမြစ်တစ်ခုအား ကျရှုံးမှုဆီသို့ သယ်ဆောင်နိုင်မှုနည်းပါးလေလေ၊ ပိုကောင်းလေဖြစ်သည်။ အကယ်၍ သင်သည် တစ်စက္ကန့်လျှင် တောင်းဆိုချက်တစ်ခု သို့မဟုတ် တစ်မိနစ်လျှင် တောင်းဆိုချက်တစ်ခုဖြင့် ဝဘ်ဆိုက်ကို အလုပ်မလုပ်တော့ဘဲ လုပ်ဆောင်နိုင်လျှင် အလွန်ကောင်းပါသည်။ အဘယ်ကြောင့်ဆိုသော် အယုတ်တမာတရားအရ၊ အသုံးပြုသူများ သို့မဟုတ် တိုက်ခိုက်သူများသည် ဤထူးခြားသောအားနည်းချက်သို့ မတော်တဆကျရောက်နိုင်သောကြောင့်ဖြစ်သည်။

တစ်စိတ်တစ်ပိုင်း ရှုံးနိမ့်ခြင်းသည် ပြီးပြည့်စုံသော ကျရှုံးခြင်းထက် ပိုကောင်းသည်။
ကျွန်ုပ်တို့သည် စနစ်များကို ကွဲပြားအောင်ပြုလုပ်ရန် အမြဲအကြံပေးပါသည်။ ထို့အပြင်၊ ၎င်းတို့ကို ရုပ်ပိုင်းဆိုင်ရာအဆင့်တွင် ပိုင်းခြားရန် ထိုက်တန်သည်၊ ကွန်တိန်နာပြုလုပ်ခြင်းဖြင့်သာ မဟုတ်ပါ။ ရုပ်ပိုင်းပိုင်းခြားခြင်းကိစ္စတွင်၊ ဝဘ်ဆိုက်ပေါ်တွင် တစ်စုံတစ်ရာ အဆင်မပြေလျှင်ပင်၊ ၎င်းသည် လုံးဝအလုပ်မလုပ်တော့ဘဲ ဖြစ်နိုင်ခြေများပြီး အသုံးပြုသူများသည် လုပ်ဆောင်ချက်၏ အနည်းဆုံးအစိတ်အပိုင်းကို ဆက်လက်သုံးစွဲနိုင်မည်ဖြစ်သည်။

ကောင်းမွန်သော ဗိသုကာပညာသည် ရေရှည်တည်တံ့မှုအတွက် အခြေခံဖြစ်သည်။
အရင်းအမြစ်တစ်ခု၏ အပြစ်အနာအဆာကို သည်းခံနိုင်စွမ်းနှင့် တိုက်ခိုက်မှုများနှင့် ဝန်များကို ခံနိုင်ရည်ရှိမှုတို့ကို ဒီဇိုင်းအဆင့်တွင် ထားရှိသင့်သည်၊ အမှန်မှာ၊ မှတ်စုစာအုပ်တစ်ခုတွင် ပထမဆုံး flowcharts များကို ရေးဆွဲသည့်အဆင့်တွင် ဒီဇိုင်းရေးဆွဲခြင်းအဆင့်တွင် ထားရှိသင့်သည်။ အဘယ်ကြောင့်ဆိုသော် ဆိုးရွားသော အမှားများ ဝင်လာပါက နောင်တွင် ၎င်းတို့ကို ပြုပြင်ရန် ဖြစ်နိုင်သော်လည်း အလွန်ခက်ခဲပါသည်။

ကုဒ်တင်မကဘဲ config လည်း ကောင်းရမယ်။
ကောင်းမွန်သော ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့သည် အမှားအယွင်းခံနိုင်ရည်ရှိသော ဝန်ဆောင်မှုအတွက် အာမခံချက်တစ်ခုဖြစ်သည်ဟု လူအများက ထင်မြင်ကြသည်။ ကောင်းမွန်သော ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့သည် အမှန်တကယ် လိုအပ်သော်လည်း ကောင်းမွန်သော လုပ်ဆောင်ချက်များ၊ ကောင်းသော DevOps များလည်း ရှိရပါမည်။ ဆိုလိုသည်မှာ၊ Linux နှင့် ကွန်ရက်ကို မှန်ကန်စွာ configure လုပ်ရန်၊ configs များကို nginx တွင် မှန်ကန်စွာရေးရန်၊ ကန့်သတ်ချက်များ သတ်မှတ်ပေးမည့် ကျွမ်းကျင်သူများ လိုအပ်ပါသည်။ မဟုတ်ပါက၊ အရင်းအမြစ်သည် စမ်းသပ်မှုတွင်သာ ကောင်းမွန်စွာ အလုပ်လုပ်နိုင်ပြီး တစ်ချိန်ချိန်တွင် အရာအားလုံးသည် ထုတ်လုပ်မှုတွင် ပျက်စီးသွားမည်ဖြစ်သည်။

ဝန်နှင့်စိတ်ဖိစီးမှုစမ်းသပ်ခြင်းအကြားကွာခြားချက်များ
Load Testing သည် စနစ်လုပ်ဆောင်မှု၏ ကန့်သတ်ချက်များကို ခွဲခြားသတ်မှတ်နိုင်စေပါသည်။ Stress test သည် စနစ်တစ်ခုရှိ အားနည်းချက်များကို ရှာဖွေရန် ရည်ရွယ်ပြီး ဤစနစ်ကို ချိုးဖျက်ရန်နှင့် အချို့သော အစိတ်အပိုင်းများ၏ ချို့ယွင်းမှုဖြစ်စဉ်တွင် ၎င်းသည် မည်သို့ပြုမူမည်ကို ကြည့်ရှုရန် အသုံးပြုသည်။ ဤကိစ္စတွင်၊ စိတ်ဖိစီးမှုစမ်းသပ်ခြင်းမစတင်မီတွင် ဝန်၏သဘောသဘာဝကို ဖောက်သည်အား မသိရှိပါ။

L7 တိုက်ခိုက်မှု၏ထူးခြားသောအင်္ဂါရပ်များ

ကျွန်ုပ်တို့သည် များသောအားဖြင့် ဝန်အမျိုးအစားများကို L7 နှင့် L3&4 အဆင့်များတွင် ပိုင်းခြားထားပါသည်။ L7 သည် အပလီကေးရှင်းအဆင့်ရှိ Load တစ်ခုဖြစ်ပြီး အများစုမှာ HTTP ကိုသာ ဆိုလိုသော်လည်း TCP protocol အဆင့်ရှိ မည်သည့် load ကိုမဆို ဆိုလိုပါသည်။
L7 တိုက်ခိုက်မှုများတွင် ထူးခြားသောအင်္ဂါရပ်များရှိသည်။ ပထမဦးစွာ၊ ၎င်းတို့သည် အပလီကေးရှင်းသို့ တိုက်ရိုက်လာရောက်ကြသည်၊ ဆိုလိုသည်မှာ ၎င်းတို့သည် ကွန်ရက်နည်းလမ်းများမှတစ်ဆင့် ထင်ဟပ်လာလိမ့်မည်မဟုတ်ပေ။ ထိုသို့သောတိုက်ခိုက်မှုများသည် ယုတ္တိဗေဒကိုအသုံးပြုပြီး ၎င်းတို့သည် CPU၊ Memory၊ Disk၊ Database နှင့် အခြားအရင်းအမြစ်များကို အလွန်ထိရောက်စွာနှင့် သွားလာမှုအနည်းငယ်ဖြင့် စားသုံးပါသည်။

HTTP ရေလွှမ်းမိုးမှု

မည်သည့်တိုက်ခိုက်မှုမျိုးတွင်မဆို ကိုင်တွယ်ရန်ထက် ဖန်တီးရန်ပိုမိုလွယ်ကူပြီး L7 တွင်လည်း ၎င်းသည် မှန်ပါသည်။ တိုက်ခိုက်မှုအသွားအလာကို တရားဝင်လမ်းကြောင်းမှ ခွဲခြားရန် မလွယ်ပေ၊ မကြာခဏဆိုသလို ၎င်းကို ကြိမ်နှုန်းဖြင့် လုပ်ဆောင်နိုင်သော်လည်း အရာအားလုံးကို မှန်ကန်စွာ စီစဉ်ထားပါက၊ တိုက်ခိုက်သည့်နေရာနှင့် တရားဝင်တောင်းဆိုမှုများသည် မည်သည့်နေရာတွင်ဖြစ်ကြောင်း မှတ်တမ်းများမှ နားလည်ရန် မဖြစ်နိုင်ပါ။
ပထမဥပမာအနေဖြင့် HTTP Flood တိုက်ခိုက်မှုကို သုံးသပ်ကြည့်ပါ။ ထိုသို့သောတိုက်ခိုက်မှုများသည် များသောအားဖြင့် အလွန်အားကောင်းကြောင်း ဂရပ်ကပြသသည်၊ အောက်ဖော်ပြပါဥပမာတွင်၊ တောင်းဆိုမှုအများဆုံးအရေအတွက်သည် တစ်မိနစ်လျှင် 600 ကျော်သည်။

HTTP Flood သည် load ဖန်တီးရန် အလွယ်ကူဆုံးနည်းလမ်းဖြစ်သည်။ ပုံမှန်အားဖြင့်၊ ၎င်းသည် ApacheBench ကဲ့သို့သော load testing tool တစ်မျိုးမျိုးကို ယူ၍ တောင်းဆိုချက်တစ်ခုနှင့် ပစ်မှတ်တစ်ခုကို သတ်မှတ်သည်။ ဤကဲ့သို့သောရိုးရှင်းသောချဉ်းကပ်မှုဖြင့်၊ server caching သို့လည်ပတ်ရန်ဖြစ်နိုင်ခြေမြင့်မားသော်လည်း၎င်းကိုကျော်ဖြတ်ရန်လွယ်ကူသည်။ ဥပမာအားဖြင့်၊ တောင်းဆိုချက်တွင် ကျပန်းစာကြောင်းများထည့်ခြင်းသည် ဆာဗာအား စာမျက်နှာအသစ်တစ်ခုကို အဆက်မပြတ်လုပ်ဆောင်ရန် တွန်းအားပေးမည်ဖြစ်သည်။
ထို့အပြင်၊ ဝန်တစ်ခုဖန်တီးခြင်းလုပ်ငန်းစဉ်တွင် အသုံးပြုသူ-အေးဂျင့်အကြောင်းကိုလည်း မမေ့ပါနှင့်။ နာမည်ကြီး စမ်းသပ်ကိရိယာများ၏ သုံးစွဲသူ-အေးဂျင့်အများအပြားကို စနစ်စီမံခန့်ခွဲသူများမှ စစ်ထုတ်ပြီး ဤအခြေအနေတွင် ဝန်သည် နောက်ကွယ်သို့ မရောက်နိုင်ပါ။ တောင်းဆိုချက်ထဲသို့ ဘရောက်ဆာမှ မှန်ကန်သော ခေါင်းစီးတစ်ခုကို ထည့်သွင်းခြင်းဖြင့် သင်သည် ရလဒ်ကို သိသိသာသာ မြှင့်တင်နိုင်ပါသည်။
HTTP Flood တိုက်ခိုက်မှုများသည် ရိုးရိုးရှင်းရှင်းကဲ့သို့ပင်၊ ၎င်းတို့တွင် အားနည်းချက်များရှိသည်။ ပထမဦးစွာ ဝန်ကိုဖန်တီးရန်အတွက် ပါဝါအမြောက်အမြား လိုအပ်သည်။ ဒုတိယအနေဖြင့်၊ ထိုသို့သောတိုက်ခိုက်မှုများသည် အထူးသဖြင့် လိပ်စာတစ်ခုမှလာပါက သိရှိရန်အလွန်လွယ်ကူပါသည်။ ရလဒ်အနေဖြင့်၊ တောင်းဆိုချက်များကို စနစ်စီမံခန့်ခွဲသူများ သို့မဟုတ် ဝန်ဆောင်မှုပေးသူအဆင့်တွင်ပင် ချက်ချင်းစစ်ထုတ်ခံရမည်ဖြစ်သည်။

အဘယ်အရာကိုရှာ

ထိရောက်မှု မဆုံးရှုံးဘဲ တစ်စက္ကန့်လျှင် တောင်းဆိုမှု အရေအတွက်ကို လျှော့ချရန်၊ စိတ်ကူးစိတ်သန်း အနည်းငယ် ပြသပြီး ဆိုက်ကို စူးစမ်းရန် လိုအပ်သည်။ ထို့ကြောင့် သင်သည် ချန်နယ် သို့မဟုတ် ဆာဗာသာမက၊ ဥပမာ၊ ဒေတာဘေ့စ်များ သို့မဟုတ် ဖိုင်စနစ်များ သို့မဟုတ် အပလီကေးရှင်း၏ အစိတ်အပိုင်းတစ်ခုချင်းစီကိုလည်း သင်တင်နိုင်သည်။ ဂဏန်းတွက်စက်များ၊ ထုတ်ကုန်ရွေးချယ်ရေး စာမျက်နှာများ စသည်တို့ကို ကြီးမားသော တွက်ချက်မှုများ ပြုလုပ်သည့် ဝဘ်ဆိုက်ပေါ်တွင်လည်း သင်ရှာဖွေနိုင်ပါသည်။ နောက်ဆုံးတွင်၊ site တွင် စာကြောင်းတစ်ထောင်များစွာကို စာမျက်နှာတစ်ထောင်ထုတ်ပေးသည့် PHP script တစ်မျိုးမျိုး မကြာခဏဖြစ်ပေါ်လေ့ရှိသည်။ ထိုကဲ့သို့သော script သည် ဆာဗာကို သိသိသာသာ တိုးစေပြီး တိုက်ခိုက်မှုတစ်ခုအတွက် ပစ်မှတ်ဖြစ်လာနိုင်သည်။

ဘယ်မှာကြည့်မလဲ

မစမ်းသပ်မီ အရင်းအမြစ်တစ်ခုကို စကင်န်ဖတ်သောအခါ၊ ကျွန်ုပ်တို့သည် ဆိုက်ကို ဦးစွာကြည့်ရှုသည်။ ကျွန်ုပ်တို့သည် input fields အမျိုးမျိုး၊ လေးလံသောဖိုင်များကို ရှာဖွေနေသည် - ယေဘုယျအားဖြင့်၊ အရင်းအမြစ်အတွက် ပြဿနာများဖန်တီးနိုင်ပြီး ၎င်း၏လုပ်ဆောင်ချက်ကို နှေးကွေးစေသည့်အရာအားလုံးကို ရှာဖွေနေပါသည်။ Google Chrome နှင့် Firefox ရှိ Banal development tools သည် ဤနေရာတွင် ကူညီပေးသည်၊ စာမျက်နှာ တုံ့ပြန်ချိန်များကို ပြသသည်။
ကျွန်ုပ်တို့သည်လည်း ဒိုမိန်းခွဲများကို စကင်န်ဖတ်ပါသည်။ ဥပမာအားဖြင့်၊ အချို့သောအွန်လိုင်းစတိုး၊ abc.com ရှိပြီး၊ ၎င်းတွင် subdomain admin.abc.com ရှိသည်။ ဖြစ်နိုင်သည်မှာ၊ ဤအရာသည် ခွင့်ပြုချက်ပါသော စီမံခန့်ခွဲသူအကန့်တစ်ခုဖြစ်သည်၊ သို့သော် ၎င်းကို သင်ထည့်သွင်းပါက၊ ၎င်းသည် ပင်မအရင်းအမြစ်အတွက် ပြဿနာများဖန်တီးနိုင်သည်။
ဝဘ်ဆိုက်တွင် ဒိုမိန်းခွဲ api.abc.com ရှိနိုင်သည်။ ဖြစ်နိုင်သည်မှာ၊ ၎င်းသည် မိုဘိုင်းအက်ပ်လီကေးရှင်းများအတွက် အရင်းအမြစ်တစ်ခုဖြစ်သည်။ အပလီကေးရှင်းကို App Store သို့မဟုတ် Google Play တွင်တွေ့နိုင်သည်၊ အထူးဝင်ရောက်ခွင့်အမှတ်ကိုထည့်သွင်းပါ၊ API ကိုခွဲခြမ်းစိပ်ဖြာပြီးစမ်းသပ်အကောင့်များကိုမှတ်ပုံတင်ပါ။ ပြဿနာမှာ ခွင့်ပြုချက်ဖြင့် ကာကွယ်ထားသည့် မည်သည့်အရာမဆို ဝန်ဆောင်မှုတိုက်ခိုက်မှုများကို ငြင်းဆိုရန် ခုခံနိုင်စွမ်းမရှိဟု လူအများက ထင်မြင်လေ့ရှိသည်။ ခွင့်ပြုချက်သည် အကောင်းဆုံး CAPTCHA ဖြစ်သည်၊ သို့သော် ထိုသို့မဟုတ်ပါ။ စမ်းသပ်အကောင့် 10-20 ခု ပြုလုပ်ရန် လွယ်ကူသော်လည်း ၎င်းတို့ကို ဖန်တီးခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် ရှုပ်ထွေးပြီး ပုံဖျက်ထားသော လုပ်ဆောင်နိုင်စွမ်းကို အသုံးပြုခွင့် ရရှိပါသည်။
ထုံးစံအတိုင်း၊ ကျွန်ုပ်တို့သည် robots.txt နှင့် WebArchive၊ ViewDNS တွင် သမိုင်းကို ကြည့်ရှုပြီး အရင်းအမြစ်၏ ဗားရှင်းဟောင်းများကို ရှာဖွေပါသည်။ တခါတရံတွင် developer များသည် mail2.yandex.net ကို ထုတ်လွှတ်လိုက်သော်လည်း ဗားရှင်းဟောင်း mail.yandex.net သည် ကျန်ရှိနေပါသည်။ ဤ mail.yandex.net ကို ပံ့ပိုးမပေးတော့ဘဲ၊ ဖွံ့ဖြိုးတိုးတက်ရေးအရင်းအမြစ်များကို ၎င်းအတွက် ခွဲဝေမပေးထားသော်လည်း ဒေတာဘေ့စ်ကို ဆက်လက်သုံးစွဲနေပါသည်။ ထို့ကြောင့်၊ ဗားရှင်းဟောင်းကို အသုံးပြု၍ backend ၏အရင်းအမြစ်များနှင့် အပြင်အဆင်နောက်ကွယ်ရှိ အရာအားလုံးကို ထိထိရောက်ရောက်အသုံးပြုနိုင်ပါသည်။ ဟုတ်ပါတယ်၊ ဒါက အမြဲတမ်းမဖြစ်ပါဘူး၊ ဒါပေမယ့် ကျွန်တော်တို့ မကြာခဏ ကြုံတွေ့နေရဆဲပါ။
ပုံမှန်အားဖြင့်၊ ကျွန်ုပ်တို့သည် တောင်းဆိုချက်ဘောင်များနှင့် ကွက်ကီးဖွဲ့စည်းပုံအားလုံးကို ပိုင်းခြားစိတ်ဖြာပါသည်။ ကွတ်ကီးတစ်ခုအတွင်း JSON အခင်းအကျင်းတစ်ခုအတွင်း တန်ဖိုးအချို့ကို စွန့်ပစ်ကာ nesting အများအပြားကို ဖန်တီးကာ အရင်းအမြစ်ကို အကြောင်းပြချက်မရှိဘဲ အချိန်အကြာကြီး အလုပ်လုပ်စေသည်ဟု သင်ပြောနိုင်သည်။

ရှာဖွေပေးပါသည်။

ဝဘ်ဆိုက်တစ်ခုကို သုတေသနလုပ်သောအခါ ပထမဆုံး သတိရမိသည်မှာ လူတိုင်းနီးပါးတွင် ရှာဖွေမှုတစ်ခုရှိပြီး လူတိုင်းနီးပါးအတွက် ဒေတာဘေ့စ်ကို တင်ရန်မှာ ကံမကောင်းစွာဖြင့်၊ ၎င်းကို ကာကွယ်မှု ညံ့ဖျင်းသောကြောင့် ဖြစ်သည်။ အကြောင်းတစ်ခုခုကြောင့် developer များသည် ရှာဖွေရန် လုံလောက်သော အာရုံစိုက်မှု မရှိကြပါ။ သို့သော် ဤနေရာတွင် အကြံပြုချက်တစ်ခုရှိသည် - သင်သည် HTTP ရေလွှမ်းမိုးမှုကဲ့သို့ပင် ကက်ချခြင်းကို ကြုံတွေ့ရနိုင်သောကြောင့် အမျိုးအစားတူ တောင်းဆိုမှုများကို မလုပ်သင့်ပါ။
ဒေတာဘေ့စ်သို့ ကျပန်းမေးမြန်းမှုများကို ပြုလုပ်ခြင်းသည် အမြဲတမ်းထိရောက်မှုမရှိပါ။ ရှာဖွေမှုနှင့် သက်ဆိုင်သည့် အဓိကစကားလုံးများစာရင်းကို ဖန်တီးခြင်းသည် ပိုကောင်းပါတယ်။ အွန်လိုင်းစတိုး၏နမူနာသို့ပြန်သွားပါက- ကားတာယာရောင်းချသည့်ဆိုက်သည် တာယာ၏အချင်းဝက်၊ ကားအမျိုးအစားနှင့် အခြားကန့်သတ်ချက်များကို သတ်မှတ်ခွင့်ပြုသည်ဆိုကြပါစို့။ ထို့ကြောင့်၊ သက်ဆိုင်ရာ စကားလုံးများ ပေါင်းစပ်ထားသော ဒေတာဘေ့စ်သည် ပိုမိုရှုပ်ထွေးသော အခြေအနေများတွင် အလုပ်လုပ်ရန် တွန်းအားပေးမည်ဖြစ်သည်။
ထို့အပြင်၊ ၎င်းသည် pagination ကို အသုံးပြု၍ တန်ဖိုးရှိပါသည်- ရှာဖွေမှုရလဒ်များ၏ နောက်ဆုံးစာမျက်နှာကို ပထမအကြိမ်ထက် ပြန်ပို့ရန် ရှာဖွေမှုတစ်ခုအတွက် ပိုမိုခက်ခဲပါသည်။ ဆိုလိုသည်မှာ pagination ၏အကူအညီဖြင့် သင်သည် ဝန်ကို အနည်းငယ်ကွဲပြားစေနိုင်သည်။
အောက်တွင်ဖော်ပြထားသောဥပမာသည်ရှာဖွေရေးဝန်ကိုပြသသည်။ စမ်းသပ်မှု၏ ပထမတစ်စက္ကန့်တွင် တစ်စက္ကန့်လျှင် တောင်းဆိုချက် ဆယ်ခု အမြန်နှုန်းဖြင့် ဆိုက်သည် ကျဆင်းသွားပြီး တုံ့ပြန်ခြင်း မရှိသည်ကို တွေ့မြင်နိုင်သည်။

ရှာဖွေမှု မရှိရင် ?

ရှာဖွေမှု မရှိပါက၊ ၎င်းသည် ဝဘ်ဆိုက်တွင် အခြား ထိခိုက်လွယ်သော ထည့်သွင်းမှုနယ်ပယ်များ မပါဝင်ဟု မဆိုလိုပါ။ ဤအကွက်သည် ခွင့်ပြုချက်ဖြစ်နိုင်သည်။ ယခုခေတ်တွင် developer များသည် rainbow table attack မှ login database ကိုကာကွယ်ရန် ရှုပ်ထွေးသော hashe များကို ပြုလုပ်လိုကြသည်။ ၎င်းသည် ကောင်းမွန်သော်လည်း ထိုသို့သော hash များသည် CPU အရင်းအမြစ်များကို များစွာစားသုံးပါသည်။ မှားယွင်းသော ခွင့်ပြုချက်များစွာ စီးဆင်းမှုသည် ပရိုဆက်ဆာ ချို့ယွင်းမှုကို ဖြစ်စေပြီး ရလဒ်အနေဖြင့် ဆိုက်သည် အလုပ်မလုပ်တော့ပါ။
မှတ်ချက်များနှင့် အကြံပြုချက်များအတွက် ပုံစံမျိုးစုံရှိသော ဆိုက်ပေါ်တွင် ရှိနေခြင်းသည် ထိုနေရာ၌ အလွန်ကြီးမားသော စာသားများကို ပေးပို့ရန် သို့မဟုတ် ကြီးမားသော ရေလွှမ်းမိုးမှုကို ဖန်တီးရန် အကြောင်းပြချက်တစ်ခုဖြစ်သည်။ တစ်ခါတစ်ရံတွင် ဝဘ်ဆိုက်များသည် gzip ဖော်မတ်အပါအဝင် ပူးတွဲဖိုင်များကို လက်ခံပါသည်။ ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် 1TB ဖိုင်ကိုယူ၍ gzip ကို အသုံးပြု၍ ဘိုက်များစွာ သို့မဟုတ် ကီလိုဘိုက်များသို့ ချုံ့ပြီး ဆိုက်သို့ ပို့ပါ။ ထို့နောက် ၎င်းကို ဇစ်ဖွင့်ပြီး အလွန်စိတ်ဝင်စားစရာကောင်းသည့် အကျိုးသက်ရောက်မှုကို ရရှိသည်။

ကြွင်းသောအရာ API ကို

Rest API ကဲ့သို့ လူကြိုက်များသော ဝန်ဆောင်မှုများကို အနည်းငယ် အာရုံစိုက်လိုပါသည်။ Rest API ကို လုံခြုံအောင်ပြုလုပ်ခြင်းသည် ပုံမှန်ဝဘ်ဆိုဒ်ထက် များစွာခက်ခဲသည်။ စကားဝှက် brute force နှင့် အခြားတရားမ၀င်သော လုပ်ဆောင်ချက်များကို အကာအကွယ်ပေးသည့် အသေးအဖွဲနည်းလမ်းများပင်လျှင် Rest API အတွက် အလုပ်မဖြစ်ပါ။
Rest API သည် ဒေတာဘေ့စ်ကို တိုက်ရိုက်ဝင်ရောက်နိုင်သောကြောင့် ချိုးဖျက်ရန် အလွန်လွယ်ကူပါသည်။ တစ်ချိန်တည်းမှာပင်၊ ထိုသို့သောဝန်ဆောင်မှု၏ပျက်ကွက်မှုသည်စီးပွားရေးအတွက်အတော်လေးဆိုးရွားသောအကျိုးဆက်များကိုဖြစ်ပေါ်စေသည်။ အမှန်မှာ Rest API ကို ပင်မဝဘ်ဆိုဒ်အတွက်သာမက မိုဘိုင်းလ်အပလီကေးရှင်းနှင့် အချို့သော ဌာနတွင်းစီးပွားရေးအရင်းအမြစ်များအတွက်လည်း အသုံးပြုပါသည်။ ဒါတွေအားလုံး ကျသွားရင်၊ ရိုးရှင်းတဲ့ ဝဘ်ဆိုဒ် ပျက်ကွက်မှုထက် အကျိုးသက်ရောက်မှုက ပိုပြင်းထန်ပါတယ်။

လေးလံသောအကြောင်းအရာကို တင်နေသည်။

အကယ်၍ ကျွန်ုပ်တို့သည် ရှုပ်ထွေးသော လုပ်ဆောင်နိုင်စွမ်းမရှိသော သာမန်စာမျက်နှာတစ်ခုတည်းအက်ပ်၊ ဆင်းသက်သည့်စာမျက်နှာ သို့မဟုတ် စီးပွားရေးကတ်ဝဘ်ဆိုက်အချို့ကို စမ်းသပ်ရန် ကမ်းလှမ်းခံရပါက၊ ကျွန်ုပ်တို့သည် လေးလံသော အကြောင်းအရာများကို ရှာဖွေနေပါသည်။ ဥပမာအားဖြင့်၊ ဆာဗာမှပေးပို့သောကြီးမားသောပုံများ၊ binary ဖိုင်များ၊ pdf စာရွက်စာတမ်းများ - ဤအရာအားလုံးကိုကျွန်ုပ်တို့ဒေါင်းလုဒ်လုပ်ရန်ကြိုးစားသည်။ ထိုသို့သောစစ်ဆေးမှုများသည် ဖိုင်စနစ်ကောင်းမွန်စေပြီး လမ်းကြောင်းများကိုပိတ်ဆို့သောကြောင့် ထိရောက်မှုရှိပါသည်။ ဆိုလိုသည်မှာ၊ သင်သည် ဆာဗာကို အောက်သို့မချဘဲ မြန်နှုန်းနိမ့်သော ဖိုင်ကြီးတစ်ခုကို ဒေါင်းလုဒ်ဆွဲလျှင်ပင်၊ သင်သည် ပစ်မှတ်ဆာဗာ၏ ချန်နယ်ကို ပိတ်ဆို့သွားမည်ဖြစ်ပြီး၊ ထို့နောက် ဝန်ဆောင်မှု ငြင်းပယ်ခြင်း ဖြစ်ပေါ်လာမည်ဖြစ်သည်။
ထိုသို့သောစမ်းသပ်မှု၏ဥပမာတစ်ခုသည် 30 RPS အမြန်နှုန်းဖြင့်ဆိုက်သည် တုံ့ပြန်မှုရပ်တန့်ခြင်း သို့မဟုတ် 500th server error များကိုထုတ်ပေးကြောင်းပြသသည်။

ဆာဗာများသတ်မှတ်ခြင်းအကြောင်းမမေ့ပါနှင့်။ လူတစ်ဦးသည် virtual machine တစ်ခုဝယ်ပြီး၊ ထိုနေရာတွင် Apache ကိုထည့်သွင်းကာ၊ အရာအားလုံးကို ပုံသေပုံစံဖြင့် စီစဉ်ပေးသည်၊ PHP အပလီကေးရှင်းကို ထည့်သွင်းပြီး အောက်တွင် ရလဒ်ကို သင်မြင်နိုင်သည်ကို မကြာခဏတွေ့နိုင်သည်။

ဤတွင် load သည် root သို့သွားခဲ့ပြီး 10 RPS သာရှိသည်။ ကျွန်ုပ်တို့ 5 မိနစ်စောင့်ပြီး ဆာဗာပျက်သွားသည်။ သူဘာကြောင့် ပြုတ်ကျတယ်ဆိုတာ လုံးလုံးမသိရပေမယ့် သူ့မှာ မှတ်ဥာဏ်များလွန်းတာကြောင့် တုံ့ပြန်မှုရပ်တန့်သွားတယ်လို့ ယူဆချက်တစ်ခုရှိပါတယ်။

လှိုင်းအခြေခံ

ပြီးခဲ့သည့်နှစ် သို့မဟုတ် နှစ်နှစ်အတွင်းတွင်၊ လှိုင်းတိုက်ခိုက်မှုများသည် အတော်လေးရေပန်းစားလာခဲ့သည်။ အကြောင်းမှာ အဖွဲ့အစည်းများစွာသည် တိုက်ခိုက်မှုကိုစစ်ထုတ်ရန်အတွက် စာရင်းအင်းများစုဆောင်းရန် အချိန်အတိုင်းအတာတစ်ခုလိုအပ်သည့် DDoS ကာကွယ်ရေးအတွက် ဟာ့ဒ်ဝဲအချို့ကို ဝယ်ယူရခြင်းဖြစ်သောကြောင့် ဖြစ်သည်။ ဆိုလိုသည်မှာ၊ ၎င်းတို့သည် အချက်အလက်စုဆောင်းပြီး လေ့လာသောကြောင့် ပထမ 30-40 စက္ကန့်အတွင်း တိုက်ခိုက်ခြင်းကို စစ်ထုတ်ခြင်းမပြုပါ။ ထို့ကြောင့်၊ ဤ 30-40 စက္ကန့်အတွင်း အရင်းအမြစ်သည် တောင်းဆိုမှုအားလုံးကို ရှင်းသွားသည်အထိ အချိန်အတော်ကြာအောင် တည်ရှိနေမည့် site ပေါ်တွင် သင်စတင်နိုင်မည်ဖြစ်သည်။
အောက်ဖော်ပြပါ တိုက်ခိုက်မှုဖြစ်စဉ်တွင်၊ 10 မိနစ်ကြားကာလရှိခဲ့ပြီး၊ ပြုပြင်ထားသော အစိတ်အပိုင်းအသစ်တစ်ခုရောက်ရှိလာသည်။

ဆိုလိုသည်မှာ ကာကွယ်ရေးသည် သင်ယူခဲ့သည်၊ စစ်ထုတ်ခြင်းစတင်ခဲ့သော်လည်း၊ တိုက်ခိုက်မှု၏ လုံးဝကွဲပြားသော အစိတ်အပိုင်းအသစ်တစ်ခုရောက်ရှိလာပြီး ကာကွယ်ရေးသည် ထပ်မံသင်ယူခဲ့သည်။ အမှန်မှာ၊ စစ်ထုတ်ခြင်း အလုပ်မလုပ်တော့ဘဲ အကာအကွယ်များ ထိရောက်မှုမရှိသလို၊ ဆိုက်ကို မရနိုင်ပါ။
Wave တိုက်ခိုက်မှုများသည် အထွတ်အထိပ်တွင် အလွန်မြင့်မားသော တန်ဖိုးများဖြင့် လက္ခဏာရပ်ပြပြီး L7 တွင် တစ်စက္ကန့်လျှင် တောင်းဆိုချက် တစ်သိန်း သို့မဟုတ် တစ်သန်းအထိ ရောက်ရှိနိုင်သည်။ L3&4 အကြောင်းပြောရင်၊ packets တွေထဲ ထည့်တွက်ရင် ရာနဲ့ချီတဲ့ traffic gigabits ရှိနိုင်သလို၊ ဒါမှမဟုတ် packet တွေထဲထည့်ရင် mpps ရာနဲ့ချီရှိနိုင်ပါတယ်။
ထိုသို့သော တိုက်ခိုက်မှုများ၏ ပြဿနာမှာ ထပ်တူပြုခြင်း ဖြစ်သည်။ တိုက်ခိုက်မှုများသည် botnet မှလာ၍ အလွန်ကြီးမားသော တစ်ကြိမ်သုံး spike ကိုဖန်တီးရန် မြင့်မားသောထပ်တူပြုမှုအဆင့် လိုအပ်ပါသည်။ ပြီးတော့ ဒီညှိနှိုင်းဆောင်ရွက်မှုက အမြဲတမ်း အဆင်မပြေပါဘူး- တစ်ခါတစ်ရံမှာ အထွက်နှုန်းက သနားစရာကောင်းတဲ့ ပုံသဏ္ဍာန်ရှိတဲ့ parabolic peak အမျိုးအစားအချို့ ဖြစ်ပါတယ်။

HTTP တစ်ခုတည်းမဟုတ်ပါ။

L7 ရှိ HTTP အပြင်၊ ကျွန်ုပ်တို့သည် အခြားသော ပရိုတိုကောများကို အသုံးချလိုပါသည်။ စည်းကမ်းအတိုင်း၊ ပုံမှန်ဝဘ်ဆိုဒ်၊ အထူးသဖြင့် ပုံမှန် hosting တစ်ခုတွင် mail protocol များနှင့် MySQL သည် ကပ်နေပါသည်။ မေးလ်ပရိုတိုကောများသည် ဒေတာဘေ့စ်များထက် ဝန်ပိုနည်းသော်လည်း ၎င်းတို့ကိုလည်း ထိရောက်စွာ တင်ဆောင်နိုင်ပြီး ဆာဗာတွင် ဝန်ပိုနေသော CPU ဖြင့် အဆုံးသတ်နိုင်သည်။
ကျွန်ုပ်တို့သည် 2016 SSH အားနည်းချက်ကြောင့် လက်တွေ့ကျကျ အောင်မြင်ခဲ့ပါသည်။ ယခု ဤအားနည်းချက်ကို လူတိုင်းနီးပါးအတွက် ပြင်ဆင်ပြီးဖြစ်သော်လည်း၊ ၎င်းသည် load ကို SSH သို့ မတင်ပြနိုင်ဟု မဆိုလိုပါ။ နိုင်သလား။ ရိုးရှင်းစွာခွင့်ပြုချက်များစွာရှိသည်၊ SSH သည်ဆာဗာပေါ်ရှိ CPU တစ်ခုလုံးနီးပါးကိုစားသည်၊ ထို့နောက်တစ်စက္ကန့်လျှင်တောင်းဆိုမှုတစ်ခုသို့မဟုတ်နှစ်ခုမှ ၀ ဘ်ဆိုဒ်ပြိုကျသွားသည်။ ထို့ကြောင့်၊ မှတ်တမ်းများပေါ်တွင်အခြေခံထားသော ဤတောင်းဆိုချက်တစ်ခု သို့မဟုတ် နှစ်ခုကို တရားဝင်ဝန်နှင့် ခွဲခြား၍မရပါ။
ဆာဗာများတွင် ကျွန်ုပ်တို့ဖွင့်ထားသော ချိတ်ဆက်မှုများစွာသည်လည်း သက်ဆိုင်နေသေးသည်။ ယခင်က၊ Apache သည် ၎င်းအတွက် အပြစ်ရှိခဲ့ပြီး ယခုအခါ nginx သည် ၎င်းကို မကြာခဏ ပုံသေသတ်မှတ်ထားသောကြောင့် ၎င်းကို အမှန်တကယ်ခံစားနေရသည်။ nginx ဖွင့်ထားနိုင်သည့် ချိတ်ဆက်မှုအရေအတွက်မှာ အကန့်အသတ်ရှိသည်၊ ထို့ကြောင့် ဤချိတ်ဆက်မှုအရေအတွက်ကို ကျွန်ုပ်တို့ဖွင့်လိုက်ရာ nginx သည် ချိတ်ဆက်မှုအသစ်ကို လက်မခံတော့ဘဲ ရလဒ်အနေဖြင့် ဆိုက်သည် အလုပ်မလုပ်တော့ပါ။
ကျွန်ုပ်တို့၏စမ်းသပ်မှုအစုအဝေးတွင် SSL လက်ဆွဲခြင်းကိုတိုက်ခိုက်ရန် CPU လုံလောက်ပါသည်။ မူအရ၊ လက်တွေ့ပြသထားသည့်အတိုင်း botnets များသည် တစ်ခါတစ်ရံတွင်လည်း ၎င်းကို နှစ်သက်ကြသည်။ တစ်ဖက်တွင်၊ Google ရလဒ်များ၊ အဆင့်သတ်မှတ်ချက်များ၊ လုံခြုံရေးကြောင့် SSL မပါဘဲ သင်မလုပ်နိုင်ကြောင်း ရှင်းပါသည်။ တစ်ဖက်တွင်၊ SSL သည် CPU ပြဿနာရှိနေသည်။

L3&4

L3&4 အဆင့်ရှိ တိုက်ခိုက်မှုတစ်ခုအကြောင်း ကျွန်ုပ်တို့ပြောသောအခါ၊ ကျွန်ုပ်တို့သည် များသောအားဖြင့် လင့်ခ်အဆင့်တွင် တိုက်ခိုက်ခြင်းအကြောင်း ပြောဆိုကြသည်။ ထိုသို့သောဝန်သည် SYN-ရေလွှမ်းမိုးမှုတိုက်ခိုက်မှုမဟုတ်ပါက တရား၀င်တစ်ခုနှင့် အမြဲတမ်းနီးပါး ခွဲခြားနိုင်သည်။ လုံခြုံရေးကိရိယာများအတွက် SYN-flood တိုက်ခိုက်မှုများနှင့် ပြဿနာမှာ ၎င်းတို့၏ ထုထည်ကြီးမားသည်။ အမြင့်ဆုံး L3&4 တန်ဖိုးသည် 1,5-2 Tbit/s ဖြစ်သည်။ ဤလမ်းကြောင်းသည် Oracle နှင့် Google အပါအဝင် ကုမ္ပဏီကြီးများအတွက်ပင် လုပ်ဆောင်ရန် အလွန်ခက်ခဲပါသည်။
SYN နှင့် SYN-ACK များသည် ချိတ်ဆက်မှုတစ်ခုတည်ဆောက်ရာတွင် အသုံးပြုသည့် ပက်ကတ်များဖြစ်သည်။ ထို့ကြောင့် SYN-ရေလွှမ်းမိုးမှုသည် တရားဝင်ဝန်နှင့် ခွဲခြားရန်ခက်ခဲသည်- ၎င်းသည် ချိတ်ဆက်မှုတစ်ခုတည်ထောင်ရန် SYN သို့မဟုတ် ရေလွှမ်းမိုးမှု၏တစ်စိတ်တစ်ပိုင်းဖြစ်သည်ကို ရှင်းရှင်းလင်းလင်းမသိရပါ။

UDP - ရေဘေး

ပုံမှန်အားဖြင့်၊ တိုက်ခိုက်သူများသည် ကျွန်ုပ်တို့တွင်ရှိသော စွမ်းရည်များမရှိသောကြောင့် တိုက်ခိုက်မှုများကို စုစည်းရန် ချဲ့ထွင်မှုကို အသုံးပြုနိုင်သည်။ ဆိုလိုသည်မှာ၊ တိုက်ခိုက်သူသည် အင်တာနက်ကို စကင်န်ဖတ်ပြီး ဥပမာအားဖြင့်၊ SYN ပက်ကတ်တစ်ခုအား တုံ့ပြန်ရာတွင်၊ SYN-ACK သုံးခုဖြင့် တုံ့ပြန်သည့် အားနည်းချက် သို့မဟုတ် မှားယွင်းစွာဖွဲ့စည်းထားသော ဆာဗာများကို တွေ့ရှိသည်။ ပစ်မှတ်ဆာဗာ၏ လိပ်စာမှ ရင်းမြစ်လိပ်စာကို အတုအယောင်ပြုလုပ်ခြင်းဖြင့်၊ ထုပ်ပိုးတစ်ခုတည်းဖြင့် သုံးဆဖြင့် ပါဝါတိုးစေပြီး သားကောင်ထံသို့ အသွားအလာကို ပြန်ညွှန်းနိုင်သည်။

ချဲ့ထွင်ခြင်းဆိုင်ရာ ပြဿနာမှာ ၎င်းတို့ကို သိရှိရန် ခက်ခဲသည်။ မကြာသေးမီက ဥပမာများတွင် ထိခိုက်လွယ်သော memcached ၏ ထိတ်လန့်ဖွယ်ဖြစ်ရပ်များ ပါဝင်သည်။ ထို့အပြင် ယခုအခါ IoT စက်ပစ္စည်းများ၊ IP ကင်မရာများ အများအပြားရှိနေပြီဖြစ်ပြီး အများအားဖြင့် ပုံသေသတ်မှတ်ထားသည့်အတိုင်း မှားယွင်းစွာ ပုံဖော်ထားသောကြောင့် တိုက်ခိုက်သူများသည် ယင်းကဲ့သို့သော စက်ပစ္စည်းများမှတစ်ဆင့် တိုက်ခိုက်မှုများကို ပြုလုပ်လေ့ရှိပါသည်။

SYN - ရေလွှမ်းမိုးမှုခက်ခဲ

SYN-flood သည် developer ၏အမြင်မှ စိတ်ဝင်စားစရာအကောင်းဆုံးတိုက်ခိုက်မှုအမျိုးအစားဖြစ်နိုင်သည်။ ပြဿနာမှာ စနစ်စီမံခန့်ခွဲသူများသည် အကာအကွယ်အတွက် IP ပိတ်ဆို့ခြင်းကို မကြာခဏ အသုံးပြုခြင်းကြောင့်ဖြစ်သည်။ ထို့အပြင်၊ IP ပိတ်ဆို့ခြင်းသည် scripts များကိုအသုံးပြုသည့်စနစ်စီမံခန့်ခွဲသူများသာမက၊ ငွေကြေးများစွာဖြင့်ဝယ်ယူထားသော လုံခြုံရေးစနစ်အချို့ကိုလည်း ထိခိုက်စေပါသည်။
ဤနည်းလမ်းသည် တိုက်ခိုက်သူများသည် IP လိပ်စာများကို အစားထိုးပါက၊ ကုမ္ပဏီသည် ၎င်း၏ကိုယ်ပိုင် subnet ကို ပိတ်ဆို့မည်ဖြစ်သောကြောင့်၊ ဤနည်းလမ်းသည် ဘေးဥပဒ်အဖြစ်သို့ ပြောင်းလဲသွားနိုင်သည်။ Firewall သည် ၎င်း၏ကိုယ်ပိုင်အစုအဝေးကို ပိတ်ဆို့သောအခါ၊ အထွက်သည် ပြင်ပ အပြန်အလှန်ဆက်သွယ်မှုများကို ပျက်ပြယ်စေပြီး ရင်းမြစ်ပျက်သွားမည်။
ထို့အပြင်၊ သင်၏ကိုယ်ပိုင်ကွန်ရက်ကိုပိတ်ဆို့ရန်မခက်ခဲပါ။ အကယ်၍ ကလိုင်းယင့်၏ရုံးခန်းတွင် Wi-Fi ကွန်ရက်ရှိလျှင်၊ သို့မဟုတ် အမျိုးမျိုးသောစောင့်ကြည့်ရေးစနစ်များကို အသုံးပြု၍ အရင်းအမြစ်များ၏စွမ်းဆောင်ရည်ကို တိုင်းတာပါက၊ ထို့နောက် ကျွန်ုပ်တို့သည် ဤစောင့်ကြည့်ရေးစနစ်၏ IP လိပ်စာ သို့မဟုတ် ဖောက်သည်၏ရုံး Wi-Fi ကို အရင်းအမြစ်အဖြစ် အသုံးပြုပါသည်။ အဆုံးတွင်၊ အရင်းအမြစ်ကိုရရှိနိုင်ပုံရသည်၊ သို့သော်ပစ်မှတ် IP လိပ်စာများကိုပိတ်ဆို့ထားသည်။ ထို့ကြောင့်၊ ကုမ္ပဏီ၏ထုတ်ကုန်အသစ်ကိုပြသနေသည့် HighLoad ကွန်ဖရင့်၏ Wi-Fi ကွန်ရက်ကို ပိတ်ဆို့ထားနိုင်ပြီး ၎င်းသည် အချို့သောစီးပွားရေးနှင့် စီးပွားရေးကုန်ကျစရိတ်များပါရှိသည်။
စမ်းသပ်နေစဉ်အတွင်း၊ ခွင့်ပြုထားသော IP လိပ်စာများသို့သာ အသွားအလာပေးပို့ရန် သဘောတူညီချက်များရှိနေသောကြောင့်၊ ပြင်ပအရင်းအမြစ်များနှင့် memcached မှတဆင့် ချဲ့ထွင်မှုကို ကျွန်ုပ်တို့ အသုံးမပြုနိုင်ပါ။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် SYN နှင့် SYN-ACK မှတဆင့် ချဲ့ထွင်မှုကို အသုံးပြုပြီး SYN တစ်ခုအား SYN-ACKs နှစ်ခု သို့မဟုတ် သုံးခုဖြင့် တုံ့ပြန်သောအခါတွင်၊ အထွက်တွင် တိုက်ခိုက်မှုကို နှစ်ကြိမ် သို့မဟုတ် သုံးကြိမ်မြှောက်သည်။

တူရိယာ

L7 အလုပ်တာဝန်အတွက်ကျွန်ုပ်တို့အသုံးပြုသောအဓိကကိရိယာတစ်ခုမှာ Yandex-tank ဖြစ်သည်။ အထူးသဖြင့်၊ phantom ကို သေနတ်အဖြစ်အသုံးပြုသည်၊ ထို့အပြင် ကျည်တောင့်များထုတ်လုပ်ရန်နှင့် ရလဒ်များကိုခွဲခြမ်းစိတ်ဖြာရန်အတွက် script အများအပြားရှိသည်။
Tcpdump ကို ကွန်ရက်အသွားအလာ ပိုင်းခြားစိတ်ဖြာရန် အသုံးပြုပြီး ဆာဗာခွဲခြမ်းစိတ်ဖြာရန် Nmap ကို အသုံးပြုသည်။ L3&4 အဆင့်တွင် ဝန်ကိုဖန်တီးရန်၊ OpenSSL နှင့် DPDK စာကြည့်တိုက်ရှိ ကျွန်ုပ်တို့၏ကိုယ်ပိုင်မှော်ပညာအနည်းငယ်ကို အသုံးပြုပါသည်။ DPDK သည် သင့်အား Linux stack ကိုကျော်ဖြတ်ကာ ကွန်ရက်ချိတ်ဆက်မှုဖြင့် အလုပ်လုပ်နိုင်စေသည့် Intel မှ စာကြည့်တိုက်တစ်ခုဖြစ်ပြီး ထိရောက်မှုကို တိုးမြှင့်ပေးသည်။ သဘာဝအားဖြင့်၊ ကျွန်ုပ်တို့သည် DPDK ကို L3&4 အဆင့်တွင်သာမက L7 အဆင့်တွင်ပါ အသုံးပြုပါသည်။ စက်တစ်လုံးမှ တစ်စက္ကန့်လျှင် သန်းပေါင်းများစွာ တောင်းဆိုချက်များစွာရှိသည့် အကွာအဝေးအတွင်း အလွန်မြင့်မားသောဝန်စီးဆင်းမှုကို ဖန်တီးနိုင်သောကြောင့် ကျွန်ုပ်တို့အား အသုံးပြုပါသည်။
တိကျသောစမ်းသပ်မှုများအတွက် ကျွန်ုပ်တို့ရေးသားထားသော အချို့သော traffic generator များနှင့် အထူးကိရိယာများကိုလည်း အသုံးပြုပါသည်။ SSH လက်အောက်ရှိ အားနည်းချက်ကို ကျွန်ုပ်တို့ ပြန်လည်သိမ်းဆည်းပါက၊ အထက်ဖော်ပြပါ set အား အသုံးချ၍ မရနိုင်ပါ။ အကယ်၍ ကျွန်ုပ်တို့သည် မေးလ်ပရိုတိုကောကို တိုက်ခိုက်ပါက၊ ကျွန်ုပ်တို့သည် mail utilities ကိုယူသည် သို့မဟုတ် ၎င်းတို့တွင် script များကို ရိုးရိုးရှင်းရှင်းရေးပါ။

တွေ့ရှိချက်များ

နိဂုံးချုပ်အနေနဲ့ ပြောချင်ပါတယ်

• classic load testing အပြင်၊ stress testing လုပ်ရန်လိုအပ်ပါသည်။ ပါတနာ၏ လက်အောက်ခံ ကန်ထရိုက်တာတစ်ဦးသည် ဝန်စမ်းသပ်မှုကိုသာ လုပ်ဆောင်သည့် တကယ့်ဥပမာတစ်ခုရှိသည်။ အရင်းအမြစ်သည် ပုံမှန်ဝန်ကို ခံနိုင်ရည်ရှိကြောင်း ပြသခဲ့သည်။ သို့သော် နောက်ပိုင်းတွင် ပုံမှန်မဟုတ်သော ဝန်ပေါ်လာပြီး ဆိုက်လည်ပတ်သူများသည် အရင်းအမြစ်ကို အနည်းငယ်ကွဲပြားစွာ အသုံးပြုလာကြပြီး အကျိုးဆက်အနေဖြင့် ကန်ထရိုက်တာသည် ရပ်တန့်သွားခဲ့သည်။ ထို့ကြောင့် သင်သည် DDoS တိုက်ခိုက်မှုများမှ ကာကွယ်ပြီးသားဖြစ်လျှင်ပင် အားနည်းချက်များကို ရှာဖွေသင့်ပါသည်။
• စနစ်၏ အစိတ်အပိုင်းအချို့ကို အခြားသူများနှင့် ခွဲထုတ်ရန် လိုအပ်ပါသည်။ ရှာဖွေမှုတစ်ခုရှိပါက၊ ၎င်းကို Docker သို့ပင်မဟုတ်ဘဲ သီးခြားစက်များသို့ ရွှေ့ရန် လိုအပ်သည်။ အဘယ်ကြောင့်ဆိုသော် ရှာဖွေမှု သို့မဟုတ် ခွင့်ပြုချက် ပျက်ကွက်ပါက၊ အနည်းဆုံး တစ်ခုခု ဆက်လက် လုပ်ဆောင်နေမည် ဖြစ်သောကြောင့် ဖြစ်သည်။ အွန်လိုင်းစတိုးတစ်ခုတွင်၊ အသုံးပြုသူများသည် ကတ်တလောက်တွင် ထုတ်ကုန်များကို ဆက်လက်ရှာဖွေရန်၊ စုစည်းပေးသူထံမှ သွားရန်၊ ၎င်းတို့ကို ခွင့်ပြုထားပြီးဖြစ်ပါက ဝယ်ယူမည် သို့မဟုတ် OAuth2 မှတစ်ဆင့် ခွင့်ပြုမည်ဖြစ်သည်။
• cloud ဝန်ဆောင်မှုအမျိုးမျိုးကို လစ်လျူမရှုပါနှင့်။
• ကွန်ရက်နှောင့်နှေးမှုများကို ပိုမိုကောင်းမွန်အောင်ပြုလုပ်ရန်သာမက ချန်နယ်အားကုန်ခန်းစေသည့်တိုက်ခိုက်မှုများကို အကာအကွယ်ပေးသည့်နည်းလမ်းအဖြစ် CDN ကိုအသုံးပြုကာ တည်ငြိမ်လမ်းကြောင်းသို့ ရိုးရှင်းစွာဝင်ရောက်သွားမည်ဖြစ်သည်။
• အထူးပြု ကာကွယ်ရေး ဝန်ဆောင်မှုများကို အသုံးပြုရန် လိုအပ်ပါသည်။ ချန်နယ်အဆင့်ရှိ L3&4 တိုက်ခိုက်မှုများမှ သင့်ကိုယ်သင် မကာကွယ်နိုင်ပါ။ ၎င်းတို့သည် အလွန်ကြီးမားသောကြောင့် သင်သည် L7 တိုက်ခိုက်မှုများကို တိုက်ဖျက်ရန် မဖြစ်နိုင်ပေ။ ထို့အပြင်၊ သေးငယ်သောတိုက်ခိုက်မှုများကိုရှာဖွေခြင်းသည် အထူးဝန်ဆောင်မှုများ၊ အထူး algorithms များ၏အခွင့်ထူးဖြစ်နေဆဲဖြစ်သည်။
• ပုံမှန် Update လုပ်ပါ။ ၎င်းသည် kernel နှင့်သာမက SSH daemon နှင့်လည်း သက်ဆိုင်သည်၊ အထူးသဖြင့် သင့်တွင် ၎င်းတို့ကို ပြင်ပသို့ဖွင့်ထားလျှင်။ မူအရ၊ သင်သည် အချို့သော အားနည်းချက်များကို သင်ကိုယ်တိုင် ခြေရာခံရန် မဖြစ်နိုင်သောကြောင့် အရာအားလုံးကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ပါသည်။

source: www.habr.com