ProHoster > Blog > Pulega > O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS

O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS

"O le tagata na faia le matou upega tafaʻilagi ua uma ona faʻatulagaina le puipuiga o le DDoS."
"E i ai le matou puipuiga DDoS, aisea na alu ifo ai le saite?"
“E fia afe e mana’o ai Qrator?”

Ina ia mafai ona tali lelei ia fesili mai le tagata faʻatau / pule, e manaia le iloa o le mea o loʻo natia i tua o le igoa "DDoS protection". O le filifilia o auaunaga tau puipuiga e pei o le filifilia o se vaila'au mai se foma'i nai lo le filifilia o se laulau i le IKEA.

Sa ou lagolagoina upega tafaʻilagi mo le 11 tausaga, ua ou sao mai le faitau selau o osofaʻiga i auʻaunaga ou te lagolagoina, ma o lenei o le a ou taʻu atu ia te oe se mea itiiti e uiga i galuega i totonu o le puipuiga.
O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS
Osofaiga masani. 350k req aofa'i, 52k mana'omia tatau

O osofaʻiga muamua na faʻaalia toetoe lava faʻatasi ma le Initaneti. O le DDoS o se mea faʻapitoa ua faʻasalalau talu mai le tuai o 2000s (siaki www.cloudflare.com/learning/ddos/famous-ddos-attacks).
Talu mai le 2015-2016, toetoe lava o kamupani talimalo uma na puipuia mai osofaʻiga a le DDoS, e pei o le tele o nofoaga taʻutaʻua i nofoaga faʻatauva (fai whois by IP of the sites eldorado.ru, leroymerlin.ru, tilda.ws, o le a e vaʻai i fesoʻotaʻiga. o le aufaipisinisi puipuiga).

Afai o le 10-20 tausaga talu ai o le tele o osofaʻiga e mafai ona faʻafefe i luga o le 'auʻaunaga lava ia ( iloilo fautuaga a le Lenta.ru system administrator Maxim Moshkov mai le 90s: lib.ru/WEBMASTER/sowetywww2.txt_with-big-pictures.html#10), ae o lea ua sili atu ona faigata galuega tau puipuiga.

Ituaiga o DDoS osofaʻiga mai le tulaga o le filifilia o se tagata faʻapipiʻi puipuiga

Osofaiga ile tulaga L3/L4 (e tusa ai ma le fa'ata'ita'iga OSI)

- UDP lologa mai se botnet (e tele talosaga e lafo saʻo mai masini faʻamaʻi i le osofaʻiga, o loʻo poloka le 'auʻaunaga i le auala);
- DNS/NTP/etc amplification (tele talosaga e lafo mai masini pisipisia i DNS/NTP/etc vaivai, o le tuatusi a le tagata e auina atu ua faia, o le ao o afifi e tali atu i talosaga e lolovaia ai le auala o le tagata ua osofaia; o le auala sili lea osofa'iga tetele o lo'o faia i luga ole Initaneti fa'aonaponei);
- SYN / ACK lologa (o le tele o talosaga e faʻatuina se fesoʻotaʻiga o loʻo auina atu i le au osofaʻia, o loʻo tafe le laina fesoʻotaʻiga);
- osofa'iga fa'atasi ma le fa'asoaina o pepa, ping of death, ping flood (Google fa'amolemole);
- ma faapena atu ai lava.

O nei osofaʻiga e faʻamoemoe e "faʻapipiʻi" le alalaupapa a le 'auʻaunaga poʻo le "fasiotia" lona gafatia e talia auala fou.
E ui o le SYN / ACK lolovaia ma le faʻalauteleina e matua ese lava, e tele kamupani latou te faʻafetaui lelei. O faʻafitauli e tulaʻi mai i osofaʻiga mai le isi vaega.

Osofaiga ile L7 (tulaga fa'aoga)

- http lolo (pe a osofaʻia se upega tafaʻilagi poʻo se http api);
- o se osofaʻiga i vaega vaivai o le 'upega tafaʻilagi (i latou e leai se faʻaoga, e mamafa tele le uta, ma isi).

O le sini o le faia lea o le 'auʻaunaga "galue malosi", faʻagasolo le tele o "talosaga foliga moni" ma tuʻu ai e aunoa ma ni punaoa mo talosaga moni.

E ui lava o loʻo i ai isi osofaʻiga, o mea ia e sili ona taatele.

O osofaʻiga ogaoga i le tulaga L7 ua faia i se auala tulaga ese mo poloketi taʻitasi e osofaʻia.

Aisea 2 vaega?
Talu ai e toʻatele e iloa le auala e faʻafefe ai osofaʻiga i le tulaga L3 / L4, ae e le o faia se puipuiga i le tulaga o le talosaga (L7), pe sili atu ona vaivai nai lo isi auala e taulimaina ai.

O ai o lo'o i le maketi puipuiga a le DDoS

(lo'u lava manatu)

Puipuiga ile tulaga L3/L4

Ina ia faʻateʻaina osofaʻiga faʻatasi ai ma le faʻateleina ("faʻapipiʻiina" o le alalaupapa o le server), e lava le lautele o alalaupapa (o le tele o auaunaga puipuia e fesoʻotaʻi ma le tele o kamupani tuʻufaʻatasia tele i Rusia ma o loʻo i ai alalaupapa e iai le malosi faʻapitoa e sili atu i le 1 Tbit). Aua ne'i galo o osofa'iga fa'ateleina seasea e umi atu nai lo le itula. Afai o oe o Spamhaus ma e le fiafia tagata uma ia te oe, ioe, atonu latou te taumafai e tapuni au auala mo ni nai aso, e oʻo lava i le lamatiaga o le ola atili o le botnet o le lalolagi o loʻo faʻaaogaina. Afai e iai sau faleoloa i luga ole laiga, e tusa lava pe o le mvideo.ru, e te le vaʻaia le 1 Tbit i totonu o ni nai aso vave (ou te faʻamoemoe).

Ina ia faʻateʻaina osofaʻiga faʻatasi ma SYN / ACK lolovaia, paʻu fragmentation, ma isi, e te manaʻomia meafaigaluega poʻo polokalama faakomepiuta e iloa ai ma taofi ia osofaʻiga.
O le toʻatele o tagata e gaosia ia meafaigaluega (Arbor, o loʻo i ai fofo mai Cisco, Huawei, polokalama faʻapipiʻi mai Wanguard, ma isi), o le tele o tagata faʻapipiʻi pito i tua ua uma ona faʻapipiʻiina ma faʻatau atu auaunaga puipuia DDoS (Ou te iloa faʻapipiʻi mai Rostelecom, Megafon, TTK, MTS , o le mea moni, o kamupani tetele uma latou te faia tutusa ma tagata talimalo ma a latou lava puipuiga a-la OVH.com, Hetzner.de, o aʻu lava na feagai ma puipuiga i ihor.ru). O nisi kamupani o loʻo atiaʻe a latou lava fofo faʻapipiʻi (tekinolosi e pei o le DPDK e faʻatagaina oe e faʻatautaia le sefulu o gigabits o fefaʻatauaiga i luga o le masini x86 faaletino).

Mai ta'aloga ta'uta'ua, e mafai e tagata uma ona fusu L3/L4 DDoS sili atu pe fa'aitiitia lelei. O le taimi nei ou te le fai atu po o ai e sili atu le maualuga o le gafatia o le alalaupapa (o le faʻamatalaga faʻamatalaga lea), ae masani lava e le taua tele, ma na o le pau lava le eseesega o le vave faʻaalia o le puipuiga (i le taimi lava lena pe a maeʻa ni nai minute o le faʻaletonu o le poloketi, pei o Hetzner).
O le fesili o le a le lelei o le faia o lenei mea: o se osofaʻiga faʻateleina e mafai ona faʻasalaina e ala i le polokaina o fefaʻatauaiga mai atunuʻu o loʻo i ai le tele o faʻalavelave faʻaleagaina, pe naʻo le le manaʻomia moni e mafai ona lafoai.
Ae i le taimi lava e tasi, e faʻavae i luga o loʻu poto masani, o tagata taʻavale mataʻutia uma e feagai ma lenei mea e aunoa ma ni faʻafitauli: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (muamua SkyParkCDN), ServicePipe, Stormwall, Voxility, ma isi.
Ou te leʻi oʻo i le puipuiga mai le au faʻatautaia e pei o Rostelecom, Megafon, TTK, Beeline; e tusa ai ma iloiloga mai a latou uo, latou te saunia lelei nei auaunaga, ae o le taimi nei o le leai o se poto masani e aʻafia ai i lea taimi ma lea taimi: o nisi taimi e te manaʻomia le faʻaogaina o se mea e ala i le lagolago. a le tagata fa'afoe puipuiga.
O nisi o fa'alapotopotoga e iai le 'au'aunaga 'ese'ese "puipuiga mai osofa'iga ile tulaga L3/L4", po'o le "puipuiga o le ala"; e sili atu le tau nai lo le puipuiga i tulaga uma.

Aisea e le mafai ai e le kamupani tu'ufa'atasi ona tete'e atu osofa'iga a le fiaselau o Gbits, talu ai e leai ni ana lava auala?E mafai e le tagata faʻapipiʻi puipuiga ona faʻafesoʻotaʻi i soʻo se kamupani tele e tuʻuina atu ma faʻateʻaina osofaʻiga "i lona tau." E tatau ona e totogia le auala, ae o nei selau o Gbits o le a le faʻaaogaina i taimi uma; o loʻo i ai filifiliga e faʻaitiitia ai le tau o auala i lenei tulaga, o lea e tumau ai le faʻaogaina o le polokalame.
O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS
O lipoti ia e masani ona ou mauaina mai le maualuga maualuga o le L3 / L4 puipuiga aʻo lagolagoina faiga a le kamupani talimalo.

Puipuiga ile tulaga L7 (tulaga fa'aoga)

O osofa'iga i le tulaga L7 (tulaga fa'aoga) e mafai ona fa'ato'a fa'ato'a fa'ato'a fa'ato'a ma lelei.
E tele naua o'u poto masani i
— Qrator.net;
- DDoS-Leoleo;
- G-Core Labs;
— Kaspersky.

Latou te totogiina mo megabit taʻitasi o feoaiga mama, o le megabit tau e tusa ma le afe rubles. Afai e iai sau 100 Mbps o feoaiga mama - oi. O le puipuiga o le a taugata tele. E mafai ona ou taʻu atu ia te oe i tala o loʻo mulimuli mai pe faʻapefea ona mamanuina talosaga ina ia faʻapolopolo tele i luga o le gafatia o auala saogalemu.
O le "tupu o le mauga" moni o le Qrator.net, o le isi o loʻo i tua atu ia i latou. Qrator e na o le pau lava lea o loʻu poto masani e tuʻuina atu se pasene o mea sese e latalata ile zero, ae i le taimi lava e tasi e tele taimi e sili atu le taugata nai lo isi tagata maketi maketi.

O isi fa'alapotopotoga e tu'uina atu fo'i le puipuiga maualuga ma mautu. Le tele o auaunaga o loʻo lagolagoina e matou (e aofia ai ma taʻutaʻua i totonu o le atunuʻu!) e puipuia mai le DDoS-Guard, G-Core Labs, ma e matua faamalieina i taunuʻuga na maua.
O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS
O osofa'iga na te'ena e Qrator

E iai foʻi loʻu poto masani i faʻalapotopotoga faʻapitoa saogalemu e pei o cloud-shield.ru, ddoso.net, afe o latou. E mautinoa lava ou te le fautuaina, aua ... E le tele so’u poto masani, ae o le a ou ta’u atu ia te outou mataupu faavae o la latou galuega. O latou tau o le puipuiga e masani ona 1-2 poloaiga o le maualuga e maualalo ifo nai lo le au taaalo tetele. I le avea ai ma tulafono, latou te faʻatau se vaega o le puipuiga (L3 / L4) mai se tasi o taʻaloga tetele + faia a latou lava puipuiga mai osofaʻiga i tulaga maualuga. E mafai ona aoga tele lenei mea + e mafai ona e maua se auaunaga lelei mo le itiiti ifo o tupe, ae o kamupani laiti nei ma e toʻaitiiti le aufaigaluega, faamolemole ia manatua lena mea.

O le a le faigata o le faʻafefeina o osofaʻiga i le tulaga L7?

O talosaga uma e tulaga ese, ma e tatau ona e faʻatagaina fefaʻatauaiga e aoga mo i latou ma poloka mea leaga. E le o taimi uma e mafai ai ona faʻamalo ese bots, o lea e tatau ai ona e faʻaaogaina le tele, matua TELE tikeri o le faʻamamaina o feoaiga.

I se tasi taimi, na lava le module nginx-testcookie (https://github.com/kyprizel/testcookie-nginx-module), ma e lava lava e teteʻe ai le tele o osofaʻiga. Ina ua ou galue i le fale talimalo, L7 puipuiga na faʻavae i le nginx-testcookie.
Ae paga lea, o osofaiga ua atili faigata. e fa'aaoga e le kuki su'esu'e su'ega bot e fa'atatau i le JS, ma e tele bots fa'aonaponei e mafai ona pasi manuia.

Attack botnets e tulaga ese foi, ma o uiga o botnet tetele taitasi e tatau ona amanaia.
Faʻateleina, lolovaia saʻo mai se botnet, faʻamama faʻasalalau mai atunuʻu eseese (faʻamamaina eseese mo atunuʻu eseese), lologa SYN / ACK, paʻu fragmentation, ICMP, http lolovaia, aʻo i le tulaga talosaga / http e mafai ona e sau i luga ma se numera e le faʻatapulaʻaina o osofa'iga eseese.
I le aofaʻi, i le tulaga o le puipuiga o le alalaupapa, meafaigaluega faʻapitoa mo le faʻamamaina o fefaʻatauaiga, polokalama faʻapitoa, faʻaopoopo faʻapipiʻi faʻapipiʻi mo tagata taʻitasi e mafai ona i ai le sefulu ma le selau o tulaga faʻamamaina.
Ina ia pulea lelei lenei mea ma faʻaoga saʻo le faʻaogaina o tulaga mo tagata faʻaoga eseese, e te manaʻomia le tele o le poto masani ma tagata agavaa. E oʻo lava i se faʻalapotopotoga tele na filifili e tuʻuina atu auaunaga tau puipuiga e le mafai ona "faʻavalevalea lafo tupe i le faʻafitauli": o le poto masani e tatau ona maua mai nofoaga pepelo ma mea sese i luga o fefaʻatauaiga talafeagai.
E leai se "repel DDoS" faʻamau mo le faʻalapotopotoga saogalemu; e tele naua meafaigaluega, ma e tatau ona e iloa pe faʻapefea ona faʻaogaina.

Ma se isi fa'ata'ita'iga ponesi.
O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS
O se 'auʻaunaga e leʻi puipuia na poloka e le talimalo i le taimi o se osofaʻiga ma le malosi o le 600 Mbit
("O le leiloa" o feoaiga e le o maitauina, aua e na o le 1 nofoaga na osofaia, na aveese mo sina taimi mai le server ma na aveese le poloka i totonu o le itula).
O le a le mea ma o ai o loʻo i le maketi puipuiga DDoS
O le server lava lea e tasi e puipuia. O le au osofaʻi na "tuu atu" ina ua mavae se aso o osofaʻiga tetee. O le osofaiga lava ia e le o se mea sili ona malosi.

O le osofaʻiga ma le puipuiga o le L3/L4 e sili atu ona le taua; latou te faʻalagolago lava i le mafiafia o alalaupapa, suʻesuʻeina ma faʻamamaina algorithms mo osofaʻiga.
L7 osofaʻiga e sili atu ona faigata ma muamua; latou faʻalagolago i le talosaga o loʻo osofaia, o gafatia ma mafaufauga o le au osofaʻi. O le puipuiga mai ia i latou e manaʻomia ai le tele o le malamalama ma le poto masani, ma o le taunuuga atonu e le vave ma e le selau pasene. Seia oʻo mai Google i se isi neural network mo le puipuiga.

puna: www.habr.com

Faaopoopo i ai se faamatalaga