ကမ္ဘာသို့ ဆိပ်ကမ်းများ မဖွင့်ပါနှင့်။ (အန္တရာယ်များ) ကျိုးပဲ့လိမ့်မည်၊

စာရင်းစစ်တစ်ခုလုပ်ဆောင်ပြီးနောက်၊ ကျွန်ုပ်၏ အကြံပြုချက်များအား white-list ၏နောက်ကွယ်တွင် ဆိပ်ကမ်းများကို ဝှက်ထားရန် အကြံပြုချက်များအား အကြိမ်ကြိမ်အခါခါ နားလည်မှုလွဲမှားနေသော တံတိုင်းတစ်ခုနှင့် ကျွန်ုပ်တွေ့ခဲ့ရသည်။ အရမ်းမိုက်တဲ့ admins/DevOps က "ဘာလို့လဲ!!?"

ဖြစ်ပေါ်လာခြင်းနှင့် ပျက်စီးနိုင်ခြေ၏ ကြီးစဉ်ငယ်လိုက် အန္တရာယ်များကို ထည့်သွင်းစဉ်းစားရန် အဆိုပြုပါသည်။

1. ဖွဲ့စည်းမှု အမှား
2. IP မှ DDoS
3. လူယုတ်မာ
4. ဝန်ဆောင်မှု အားနည်းချက်များ
5. Kernel stack အားနည်းချက်များ
6. DDoS တိုက်ခိုက်မှုများကို တိုးမြှင့်ထားသည်။

ဖွဲ့စည်းမှု အမှား

ပုံမှန်နှင့် အန္တရာယ်အရှိဆုံး အခြေအနေ။ ဘယ်လိုဖြစ်တာလဲ။ ဆော့ဖ်ဝဲရေးသားသူသည် အဆိုပါယူဆချက်အား လျင်မြန်စွာစမ်းသပ်ရန် လိုအပ်သည်၊ သူသည် mysql/redis/mongodb/elastic ဖြင့် ယာယီဆာဗာတစ်ခုကို တည်ဆောက်ထားသည်။ စကားဝှက်က ရှုပ်ထွေးတယ်၊ သူက နေရာတိုင်းမှာ သုံးတယ်။ ၎င်းသည် ဝန်ဆောင်မှုကို ကမ္ဘာသို့ဖွင့်ပေးသည် - သင့်၏ဤ VPN များမပါဘဲ သူ့ PC မှချိတ်ဆက်ရန် အဆင်ပြေသည်။ ပြီးတော့ iptables syntax ကို မှတ်မိဖို့ အရမ်းပျင်းတယ်၊ ဆာဗာက ဘာပဲဖြစ်ဖြစ် ယာယီပါပဲ။ နောက်ထပ် ရက်အနည်းငယ် ဖွံ့ဖြိုးတိုးတက်လာပါပြီ - အဲဒါက အရမ်းကောင်းလာတယ်၊ အဲဒါကို ဖောက်သည်ဆီ ချပြနိုင်တယ်။ ဖောက်သည်က ၎င်းကို နှစ်သက်သည်၊ ပြန်လုပ်ရန် အချိန်မရှိ၊ ကျွန်ုပ်တို့ ၎င်းကို PROD သို့ စတင်လိုက်ပါသည်။

လူယုတ်မာအားလုံးကို ဖြတ်ကျော်နိုင်ရန် တမင်ချဲ့ကားထားသော ဥပမာတစ်ခု။

1. ယာယီထက် ပိုတည်မြဲတာ မရှိပါဘူး - ဒီစကားစုကို ကျွန်တော် မကြိုက်ပေမယ့် ခံစားချက်တွေအရတော့ ယာယီဆာဗာတွေရဲ့ 20-40% ဟာ အချိန်အကြာကြီး ကျန်နေပါသေးတယ်။
2. ဝန်ဆောင်မှုများစွာတွင် အသုံးပြုသည့် ရှုပ်ထွေးသော universal password သည် မကောင်းပါ။ အကြောင်းမှာ ဤစကားဝှက်ကို အသုံးပြုခဲ့သည့် ဝန်ဆောင်မှုများထဲမှ တစ်ခုကို ဟက်ခ်ခံရနိုင်သောကြောင့် ဖြစ်သည်။ တစ်နည်းမဟုတ်တစ်နည်း၊ ဟက်ကာဝန်ဆောင်မှုများ၏ ဒေတာဘေ့စ်များကို [brute force]* အတွက် အသုံးပြုသည့် တစ်ခုသို့ စုစည်းသွားပါသည်။
   တပ်ဆင်ပြီးနောက်၊ redis၊ mongodb နှင့် elastic တို့သည် စစ်မှန်ကြောင်းအထောက်အထားမရှိဘဲ ယေဘူယျအားဖြင့် ရနိုင်သည်၊ မကြာခဏ ဖြည့်စွက်ကြသည်၊ open databases များစုစည်းမှု.
3. ရက်အနည်းငယ်အတွင်း သင့် 3306 port ကို မည်သူမျှ စကင်န်ဖတ်မည်မဟုတ်ဟု ထင်ရပေမည်။ ဒါဟာ မှိုင်းတိုက်ခြင်းပါပဲ။ Masscan သည် အလွန်ကောင်းမွန်သော စကင်နာတစ်ခုဖြစ်ပြီး တစ်စက္ကန့်လျှင် 10M ports ဖြင့် စကင်န်ဖတ်နိုင်သည်။ အင်တာနက်ပေါ်တွင် IPv4 4 ဘီလီယံသာရှိသည်။ ထို့ကြောင့်၊ အင်တာနက်ပေါ်ရှိ 3306 port များအားလုံးသည် 7 မိနစ်အတွင်းတည်ရှိသည်။ ချားလ်!!! ခုနစ်မိနစ်။
   "ဒါကို ဘယ်သူလိုအပ်လဲ" - သင်ကန့်ကွက်သည်။ ဒါကြောင့် ပြုတ်ကျတဲ့ ပက်ကေ့ဂျ်တွေရဲ့ စာရင်းဇယားတွေကို ကြည့်တဲ့အခါ အံ့သြမိပါတယ်။ ထူးခြားသော IP ပေါင်း ၃ဝဝဝ မှ စကန်ဖတ်ရန် ကြိုးစားမှု ၄၀,ဝဝဝ သည် တစ်နေ့လျှင် ဘယ်ကလာသနည်း။ ယခုအခါ လူတိုင်းသည် မိခင်၏ဟက်ကာများမှ အစိုးရများအထိ စကင်န်ဖတ်နေပါသည်။ စစ်ဆေးရန် အလွန်လွယ်ကူသည် - မည်သည့် ** တန်ဖိုးနည်းလေကြောင်းလိုင်းမှမဆို $40-3 ဖြင့် VPS ကိုယူပါ၊ ကျဆင်းသွားသော ပက်ကေ့ဂျ်များကို မှတ်တမ်းဖွင့်ပြီး တစ်ရက်အတွင်း အကောင့်ဝင်ကြည့်ပါ။

မှတ်တမ်းဖွင့်ခြင်း။

/etc/iptables/rules.v4 တွင် အဆုံးတွင် ထည့်ပါ-
-A input -j LOG --log-prefix "[FW - ALL]" --log-level 4

နှင့် /etc/rsyslog.d/10-iptables.conf တွင်
:msg,contains,"[FW - " /var/log/iptables.log
& ရပ်

IP မှ DDoS

အကယ်၍ တိုက်ခိုက်သူသည် သင်၏ IP ကို ​​သိပါက၊ သူသည် သင့်ဆာဗာကို နာရီပေါင်းများစွာ သို့မဟုတ် ရက်ပေါင်းများစွာ အပိုင်စီးနိုင်သည်။ ကုန်ကျစရိတ်သက်သာသော hosting ဝန်ဆောင်မှုပေးသူတိုင်းတွင် DDoS အကာအကွယ်မရှိပါနှင့် သင့်ဆာဗာသည် ကွန်ရက်မှ ရိုးရိုးရှင်းရှင်း ချိတ်ဆက်မှုပြတ်တောက်သွားမည်ဖြစ်သည်။ သင့်ဆာဗာကို CDN နောက်ကွယ်တွင် ဝှက်ထားပါက IP ကိုပြောင်းရန် မမေ့ပါနှင့်၊ သို့မဟုတ်ပါက ဟက်ကာတစ်ဦးမှ ၎င်းကို ဂူဂဲလ်နှင့် CDN ကိုကျော်ဖြတ်ခြင်းဖြင့် သင့်ဆာဗာအား DDoS (အလွန်ရေပန်းစားသောအမှားတစ်ခု)။

ဝန်ဆောင်မှု အားနည်းချက်များ

လူကြိုက်များသော ဆော့ဖ်ဝဲလ်များအားလုံးသည် အနှေးနှင့်အမြန်ဆိုသလိုပင် အမှားအယွင်းများကို စမ်းသပ်ပြီး အစိုးရိမ်ရဆုံးများပင် ဖြစ်သည်။ IB အထူးကျွမ်းကျင်သူများထဲတွင်၊ တစ်ဝက်တစ်ပျက်ဟာသတစ်ခုပါရှိသည် - အခြေခံအဆောက်အအုံ၏လုံခြုံရေးကိုနောက်ဆုံးမွမ်းမံမှုအပြီးတွင်လုံခြုံစွာအကဲဖြတ်နိုင်သည်။ သင့်အခြေခံအဆောက်အအုံသည် ကမ္ဘာသို့ထွက်ကျလာသော ဆိပ်ကမ်းများ ကြွယ်ဝပြီး ၎င်းကို တစ်နှစ်တာမျှ မွမ်းမံမွမ်းမံပါက၊ သင်သည် ပေါက်ကြားနေပြီဖြစ်ကြောင်း မကြည့်ဘဲ လုံခြုံရေးကျွမ်းကျင်သူက သင့်ကို ပြောပြမည်ဖြစ်ပြီး အများစုမှာ ဟက်ခ်ခံရပြီး ဖြစ်နိုင်ပါသည်။
သိထားသည့် အားနည်းချက်များအားလုံးကို တစ်ချိန်က မသိခဲ့ကြောင်းလည်း မှတ်သားထိုက်ပါသည်။ ထိုသို့သော အားနည်းချက်တစ်ခုကို တွေ့ရှိပြီး 7 မိနစ်အတွင်း အင်တာနက်တစ်ခုလုံးကို စကင်န်ဖတ်ကြည့်လိုက်သော ဟက်ကာတစ်ဦးကို စိတ်ကူးကြည့်လိုက်ပါ။ ဤတွင် ဗိုင်းရပ်စ်ကူးစက်မှုအသစ်တစ်ခု) ကျွန်ုပ်တို့ မွမ်းမံရန်လိုအပ်သော်လည်း ၎င်းသည် ထုတ်ကုန်ကို အန္တရာယ်ဖြစ်စေနိုင်သည်ဟု သင်ပြောပါသည်။ ပက်ကေ့ဂျ်များကို တရားဝင် OS သိုလှောင်နေရာများမှ မထည့်သွင်းပါက သင်သည် မှန်ကန်ပါလိမ့်မည်။ အတွေ့အကြုံအရ၊ တရားဝင်သိုလှောင်မှုမှ အပ်ဒိတ်များသည် ထုတ်ကုန်ကို ချိုးဖျက်ခဲပါသည်။

လူယုတ်မာ

အထက်တွင်ဖော်ပြထားသည့်အတိုင်း၊ ကီးဘုတ်မှရိုက်ရန်အဆင်ပြေသောဘီလီယံတစ်ဝက်သောစကားဝှက်များပါရှိသောဒေတာဘေ့စ်တစ်ခုရှိသည်။ တစ်နည်းဆိုရသော် သင်သည် စကားဝှက်ကို မထုတ်လုပ်ဘဲ ကီးဘုတ်ပေါ်တွင် ကပ်လျက်သင်္ကေတများကို ရိုက်ထည့်ပါက၊ ၎င်းတို့သည် သင့်အား စိတ်ရှုပ်ထွေးစေမည်ကို စိတ်ချပါ။

Kernel stack အားနည်းချက်များ။

kernel network stack သူ့ဟာသူ အားနည်းနေချိန်မှာ ဘယ်ဝန်ဆောင်မှုက ဆိပ်ကမ်းကိုဖွင့်ထားလဲဆိုတာတောင် အရေးမကြီးပါဘူး **** ဖြစ်သွားပါတယ်။ ဆိုလိုသည်မှာ နှစ်နှစ်သက်တမ်းရှိ စနစ်ရှိ tcp/udp socket သည် DDoS သို့ ဦးတည်သော အားနည်းချက်တစ်ခု ဖြစ်နိုင်သည်။

DDoS တိုက်ခိုက်မှုများကို တိုးမြှင့်ထားသည်။

၎င်းသည် မည်သည့်တိုက်ရိုက် ပျက်စီးမှုမှ မဖြစ်စေသော်လည်း ၎င်းသည် သင့်ချန်နယ်ကို ပိတ်ဆို့နိုင်ပြီး စနစ်တွင် ဝန်တိုးစေကာ၊ သင့် IP သည် အချို့သော black-list ***** တွင်အဆုံးသတ်သွားမည်ဖြစ်ပြီး၊ hoster ထံမှ အလွဲသုံးစားမှုများကို လက်ခံရရှိမည်ဖြစ်သည်။

ဤအန္တရာယ်များအားလုံးကို သင် အမှန်တကယ် လိုအပ်ပါသလား။ သင့်အိမ်နှင့် အလုပ် IP ကို ​​အဖြူရောင်စာရင်းတွင် ထည့်ပါ။ ၎င်းသည် ဒိုင်းနမစ်ဖြစ်နေလျှင်ပင်၊ hoster ၏ admin panel မှတဆင့်၊ ဝဘ်ကွန်ဆိုးလ်မှတဆင့် ဝင်ရောက်ပြီး နောက်တစ်ခု ထပ်ထည့်လိုက်ပါ။

ကျွန်ုပ်သည် အိုင်တီအခြေခံအဆောက်အအုံကို တည်ဆောက်ပြီး ကာကွယ်နေသည်မှာ ၁၅ နှစ်ရှိပြီ။ ကျွန်ုပ်သည် လူတိုင်းအတွက် အထူးအကြံပြုလိုသည့် စည်းကမ်းချက်တစ်ရပ်ကို ရေးဆွဲထားပါသည်။ ဝှိုက်စာရင်းမပါဘဲ ကမ္ဘာသို့ မည်သည့်ဆိပ်ကမ်းမှ မထွက်သင့်ပါ။.

ဥပမာအားဖြင့်၊ အလုံခြုံဆုံးဝဘ်ဆာဗာ*** သည် CDN/WAF အတွက်သာ 80 နှင့် 443 ကိုဖွင့်ပေးသည်။ ဝန်ဆောင်မှု ဆိပ်ကမ်းများ (ssh၊ netdata၊ bacula၊ phpmyadmin) များသည် အနည်းဆုံး white-list ၏ နောက်ကွယ်တွင် ရှိသင့်ပြီး VPN နောက်ကွယ်တွင် ပိုကောင်းပါသည်။ မဟုတ်ပါက သင်သည် အလျှော့အတင်း ခံရရန် အန္တရာယ်ရှိသည်။

ဒါပဲ ကျွန်တော်ပြောချင်တယ်။ သင်၏ဆိပ်ကမ်းများကိုပိတ်ထားပါ။

• (1) UPD1: ဒါဟာဖြစ်ပါတယ် သင်၏ အေးမြသော universal password ကို သင် စစ်ဆေးနိုင်သည် (ဝန်ဆောင်မှုအားလုံးတွင် ဤစကားဝှက်ကို ကျပန်းတစ်ခုဖြင့် အစားထိုးခြင်းမရှိဘဲ ၎င်းကို မလုပ်ပါနှင့်) ပေါင်းစပ်ဒေတာဘေ့စ်တွင်ပေါ်လာသလား။ ပြီးတော့ ဒီမှာ သင့်အီးမေးလ် ပါ၀င်သည့်နေရာတွင် ဝန်ဆောင်မှုများ မည်မျှ ဟက်ခ်ခံရသည်ကို သင်တွေ့မြင်နိုင်ပြီး၊ ထို့ကြောင့် သင်၏အမိုက်စား universal စကားဝှက်ကို ဖောက်ထွင်းခံရခြင်းရှိမရှိကို ရှာဖွေပါ။
• (၂) Amazon ၏ ခရက်ဒစ်အတွက် LightSail တွင် စကင်န်အနည်းငယ်သာရှိသည်။ အဲဒါကို တစ်နည်းနည်းနဲ့ စစ်ထုတ်ကြပုံရတယ်။
• (၃) ပိုမိုလုံခြုံသော ဝဘ်ဆာဗာသည် သီးခြား firewall၊ ၎င်း၏ကိုယ်ပိုင် WAF နောက်ကွယ်မှ တစ်ခုဖြစ်ပြီး၊ ကျွန်ုပ်တို့သည် public VPS/Dedicated အကြောင်း ပြောနေပါသည်။
• (၄) Segmentsmak။
• (၅) Firehol။

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

မင်းရဲ့ port တွေ ထွက်နေသလား။

• အမြဲ

• တခါတလေ

• ဘယ်တော့မှ

• မသိဘူး

အသုံးပြုသူ 54 ဦး မဲပေးခဲ့သည်။ သုံးစွဲသူ ၁၉ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com