"Ninkii sameeyay mareegahayaga ayaa mar hore dejiyey ilaalinta DDoS."
"Waxaan leenahay ilaalinta DDoS, maxay goobta u dhacday?"
"Immisa kun ayuu Qrator rabaa?"
Si aad si sax ah uga jawaabto su'aalaha noocaan ah ee macaamiisha / madaxa, way fiicnaan lahayd in la ogaado waxa ku qarsoon magaca " ilaalinta DDoS". Doorashada adeegyada ammaanku waxay la mid tahay doorashada daawaynta dhakhtarka halkii aad ka dooran lahayd miiska IKEA.
Waxaan taageerayay boggaga internetka 11 sano, waxaan ka badbaaday boqolaal weerar oo lagu qaaday adeegyada aan taageerayo, hadda waxaan wax yar kuu sheegi doonaa shaqada gudaha ee ilaalinta.
Weerarada joogtada ah. 350k req wadar, 52k req sharci ah
Weeraradii ugu horreeyay waxay isku mar la soo baxeen internetka. DDoS sida ifafaale ahaan waxay noqotay mid baahsan ilaa dabayaaqadii 2000aadkii (eeg ).
Ilaa 2015-2016, ku dhawaad dhammaan bixiyeyaasha martigelinta ayaa laga ilaaliyay weerarrada DDoS, sida goobaha ugu caansan ee goobaha tartanka (ku samee whois by IP ee goobaha eldorado.ru, leroymerlin.ru, tilda.ws, waxaad arki doontaa shabakadaha hawlwadeennada ilaalinta).
Haddii 10-20 sano ka hor inta badan weerarrada lagu celin karo server-ka laftiisa (qiimee talooyinka maamulaha nidaamka Lenta.ru Maxim Moshkov ee 90-meeyadii: ), laakiin hadda hawlaha ilaalinta ayaa noqday kuwo aad u adag.
Noocyada weerarrada DDoS marka laga eego aragtida doorashada hawlwadeenka ilaalinta
Weerarada heerka L3/L4 (sida uu qabo qaabka OSI)
- Daadka UDP ee botnet (codsiyo badan ayaa si toos ah looga soo diraa aaladaha cudurka qaba ee adeega la weeraray, adeegayaasha ayaa lagu xannibay kanaalka);
Kordhinta DNS/NTP/iwm (codsiyo badan ayaa laga soo diraa aaladaha cudurka qaba oo loo diro DNS/NTP/iwm ee nugul, ciwaanka soo diraha waa la been abuuray, daruur baakidh ah oo ka jawaabaya codsiyada ayaa daadiya kanaalka qofka la weeraray; tani waa sida ugu badan weeraro waaweyn ayaa lagu qaadaa internetka casriga ah;
- Daadka SYN/ACK (codsiyo badan oo lagu samaynayo xidhiidh ayaa loo diraa adeegayaasha la weeraray, safka isku xidhka ayaa buux dhaafiyay);
- weerrarada kala-jajabinta baakadaha, ping of death, ping flood (Google it please);
- iyo wixii la mid ah.
Weeraradan waxay ujeedadoodu tahay inay "xiraan" kanaalka server-ka ama "dilaan" awoodda ay ku aqbalaan taraafikada cusub.
Inkasta oo daadka SYN/ACK iyo kordhinta ay aad u kala duwan yihiin, shirkado badan ayaa si isku mid ah ula dagaalama. Dhibaatooyin ayaa ka dhasha weerarrada kooxda soo socota.
Weerarada L7 (lakabka codsiga)
Daadadka http (haddii la soo weeraro degel ama qaar ka mid ah api);
- weerar lagu qaado meelaha nugul ee goobta (kuwa aan haysan kayd, oo goobta si aad u culus u raraya, iwm.).
Hadafka waa in la sameeyo server-ka "si adag u shaqeeyo", ka baaraandega wax badan oo ah "codsiyada dhabta ah ee u muuqda" lagana tago iyada oo aan la helin ilo codsiyada dhabta ah.
Inkastoo ay jiraan weeraro kale, kuwan ayaa ah kuwa ugu badan.
Weerarada halista ah ee heerka L7 ayaa loo abuuray hab gaar ah mashruuc kasta oo la weeraro.
Waa maxay sababta 2 kooxood?
Sababtoo ah waxaa jira qaar badan oo si fiican u yaqaan sida looga hortago weerarada heerka L3 / L4, laakiin midkoodna ma qaadan ilaalinta heerka codsiga (L7) gabi ahaanba, ama weli way ka daciifsan yihiin beddelka wax ka qabashada iyaga.
Yaa ku jira suuqa ilaalinta DDoS
(fikradayda shakhsi ahaaneed)
Ilaalinta heerka L3/L4
Si looga hortago weerarrada kor u qaadista ("blockage" ee kanaalka serverka), waxaa jira kanaalo ballaaran oo ku filan (badanaa ka mid ah adeegyada ilaalinta waxay ku xiran yihiin inta badan bixiyeyaasha laf-dhabarka weyn ee Ruushka waxayna leeyihiin kanaalo leh awood aragti ah oo ka badan 1 Tbit). Ha iloobin in weerrarada cod-weyneyntu ay aad dhif u tahay inay socdaan wax ka badan saacad. Haddii aad tahay Spamhaus oo qof kastaa aanu ku jeclayn, haa, waxaa laga yaabaa inay isku dayaan inay xidhaan kanaaladaada dhowr maalmood, xitaa khatarta badbaadada dheeraadka ah ee botnet caalamiga ah ee la isticmaalo. Haddii aad leedahay dukaanka khadka tooska ah, xitaa haddii ay tahay mvideo.ru, ma arki doontid 1 Tbit dhowr maalmood gudahood aad ugu dhakhsaha badan (waxaan rajeynayaa).
Si aad isaga celiso werarada leh daadka SYN/ACK, baakadaha jajaban, iwm., waxaad u baahan tahay qalab ama nidaamyada software si aad u ogaato una joojiso weerarradan.
Dad badan ayaa soo saara qalabkan oo kale (Arbor, waxaa jira xalalka Cisco, Huawei, hirgelinta software ee Wanguard, iwm.), hawlwadeeno badan oo laf dhabarta ayaa horay u rakibay oo iibiya adeegyada ilaalinta DDoS (waan ogahay rakibaadda Rostelecom, Megafon, TTK, MTS). , Dhab ahaantii, dhammaan bixiyeyaasha waaweyn waxay si la mid ah u sameeyaan martigeliyayaasha iyaga oo ilaalinaya a-la OVH.com, Hetzner.de, aniga naftayda waxaan la kulmay ilaalinta ihor.ru). Shirkadaha qaarkood waxay horumarinayaan xalal software iyaga u gaar ah (farsamooyinka sida DPDK waxay kuu oggolaanayaan inaad ku socodsiiso tobanaan gigabits ee taraafikada hal mashiin x86 jireed).
Ciyaartoyda caanka ah, qof kastaa wuxuu la dagaallami karaa L3/L4 DDoS wax ka badan ama ka yar. Hadda ma sheegi doono cidda leh awoodda ugu weyn ee kanaalka (tani waa macluumaadka gudaha), laakiin badanaa tani maaha mid muhiim ah, farqiga kaliya ee u dhexeeyaa waa sida ugu dhakhsaha badan ee ilaalinta loo kiciyo (isla markiiba ama ka dib dhowr daqiiqo oo ah mashruuca hoos u dhaca, sida Hetzner).
Su'aashu waxay tahay sida ugu wanaagsan ee tan loo sameeyo: weerarka codka kordhinta waxaa lagu celin karaa iyada oo la xannibo taraafikada wadamada leh tirada ugu badan ee taraafigyada waxyeelada leh, ama kaliya taraafikada aan loo baahnayn ayaa la tuuri karaa.
Laakiin isla mar ahaantaana, iyada oo ku saleysan waayo-aragnimadayda, dhammaan ciyaartoyda halista ah ee suuqa ayaa la tacaalaya tan dhib la'aan: Qrator, DDoS-Guard, Kaspersky, G-Core Labs (hore SkyParkCDN), ServicePipe, Stormwall, Voxility, iwm.
Maan la kulmin ilaalinta hawlwadeenada sida Rostelecom, Megafon, TTK, Beeline; marka loo eego dib u eegista asxaabta, waxay si fiican u bixiyaan adeegyadan, laakiin ilaa hadda khibrad la'aanta ayaa si joogto ah u saameeya: mararka qaarkood waxaad u baahan tahay inaad wax ku beddesho taageerada ee hawlwadeenka ilaalinta.
Hawl-wadeennada qaarkood waxay leeyihiin adeeg gaar ah "ka ilaalinta weerarrada heerka L3/L4", ama "ilaalinta kanaalka"; waxay ku kacaysaa wax aad uga yar ilaalinta heerarka oo dhan.
Waa maxay sababta bixiyaha laf-dhabarku u celin waayay weerarrada boqolaal Gbits, maadaama aysan lahayn kanaalo u gaar ah?Hawlwadeenka ilaalinta waxa uu ku xidhi karaa mid kasta oo ka mid ah bixiyayaasha waaweyn oo wuu iska celin karaa "kharashkeeda." Waa inaad bixisaa kharashka kanaalka, laakiin dhammaan boqollaalkan Gbits mar walba lagama faa'iidaysan doono; waxaa jira ikhtiyaarro lagu dhimi karo qiimaha kanaalada kiiskan, markaa nidaamku wuxuu ahaanayaa mid shaqayn kara.
Kuwani waa warbixinadii aan si joogto ah uga helay ilaalinta heerka sare ee L3/L4 anigoo taageeraya nidaamyada bixiyaha martigelinta.
Ilaalinta heerka L7 (heerka codsiga)
Weerarada heerka L7 (heerka codsiga) waxay awoodaan inay iska celiyaan unugyada si joogto ah oo hufan.
Waxaan khibrad badan u leeyahay
- Qrator.net;
- DDoS-Guard;
- G-Core Labs;
- Kaspersky.
Waxay ka qaadaan megabit kasta oo taraafig saafi ah, megabit wuxuu ku kacayaa ilaa dhowr kun oo rubi. Haddii aad haysato ugu yaraan 100 Mbps oo taraafig saafi ah - oh. Ilaalinta ayaa noqon doonta mid aad qaali u ah. Waxaan kuu sheegi karaa maqaallada soo socda sida loo naqshadeeyo codsiyada si loo badbaadiyo wax badan oo ku saabsan awoodda kanaalada amniga.
"Boqorka buurta" dhabta ah waa Qrator.net, inta soo hartay iyaga ka dambeeya. Qrator ilaa hadda waa kuwa kaliya ee waayo-aragnimadayda ah ee bixiya boqolkiiba been-abuurka beenta ah ee ku dhow eber, laakiin isla mar ahaantaana waxay dhowr jeer ka qaalisan yihiin ciyaartoyda kale ee suuqa.
Hawl-wadeennada kale waxay sidoo kale bixiyaan ilaalin tayo sare leh oo deggan. Adeegyo badan oo aan taageerno (ay ku jiraan kuwa aadka looga yaqaan dalka!) ayaa laga ilaaliyaa DDoS-Guard, G-Core Labs, waxayna aad ugu qanacsan yihiin natiijooyinka la helay.
Weerarada uu iska caabiyey Qrator
Waxaan sidoo kale khibrad u leeyahay hawlwadeennada amniga ee yaryar sida Cloud-shield.ru, ddosa.net, kumanaan iyaga ka mid ah. Xaqiiqdii kuma talin doono, sababtoo ah... Ma lihi waayo-aragnimo badan, laakiin waxaan kuu sheegi doonaa mabaadi'da shaqadooda. Kharashkooda ilaalinta inta badan waa 1-2 amar oo ka hooseeya kan ciyaartoyda waaweyn. Sida caadiga ah, waxay ka iibsadaan adeegga ilaalinta qayb ahaan (L3/L4) mid ka mid ah ciyaartoyda waaweyn + waxay sameeyaan difaac u gaar ah oo ka dhan ah weerarada heerarka sare. Tani waxay noqon kartaa mid aad waxtar u leh + waxaad ku heli kartaa adeeg wanaagsan lacag yar, laakiin kuwani wali waa shirkado yaryar oo leh shaqaale yar, fadlan taas maskaxda ku hay.
Waa maxay dhibaatada ka hortagga weerarrada heerka L7?
Dhammaan codsiyada waa kuwo gaar ah, waxaadna u baahan tahay inaad ogolaato taraafikada iyaga faa'iido u leh oo aad xannibto kuwa waxyeellada leh. Mar walba suurtagal maaha in si aan shaki lahayn loo gooyo bots-ka, markaa waa inaad isticmaashaa wax badan, runtii shahaado badan oo nadiifin taraafikada ah.
Mar, module nginx-testcookie ayaa ku filnaa (), oo wali waa ku filan tahay in la iska celiyo tiro badan oo weeraro ah. Markii aan ka shaqeeyay warshadaha martigelinta, ilaalinta L7 waxay ku saleysan tahay nginx-testcookie.
Nasiib darro, weerarradu waxay noqdeen kuwo aad u adag. testcookie waxay isticmaashaa jeegaga bot-ku salaysan ee JS, iyo bots badan oo casri ah ayaa si guul leh u gudbin kara.
Botnets-ka weerarka sidoo kale waa mid gaar ah, iyo sifooyinka botnet kasta oo weyn waa in la tixgeliyaa.
Kordhinta, daadad toos ah oo ka imanaya botnet, shaandhaynta taraafikada dalal kala duwan (shaandhayn kala duwan oo dalal kala duwan ah), daadka SYN/ACK, jajabinta baakidhka, ICMP, daadinta http, halka heerka codsiga / http aad la iman karto tiro aan xadidnayn weeraro kala duwan.
Guud ahaan, heerka ilaalinta kanaalka, qalab gaar ah oo loogu talagalay nadiifinta taraafikada, software gaar ah, goobaha shaandhaynta dheeraadka ah ee macmiil kasta waxaa jiri kara tobanaan iyo boqolaal heerar shaandhayn ah.
Si aad tan si sax ah u maamusho oo aad si sax ah ugu habayso dejimaha shaandhaynta ee isticmaalayaasha kala duwan, waxaad u baahan tahay khibrad badan iyo shaqaale aqoon leh. Xitaa hawl wadeen weyn oo go'aansaday inuu bixiyo adeegyada ilaalinta ma "si nacasnimo ah lacag ugu tuuri karo dhibaatada": waayo-aragnimada waa in laga helaa goobaha beenta ah iyo been-abuurka saxda ah ee gaadiidka sharciga ah.
Ma jiro badhanka "dib-u-celinta DDoS" ee hawlwadeenka amniga; waxaa jira tiro badan oo qalab ah, waxaadna u baahan tahay inaad ogaato sida loo isticmaalo.
Iyo hal tusaale oo gunno ah.
Seerfar aan la ilaalin ayaa waxaa xannibay martigeliyaha inta lagu guda jiro weerar qaadistiisa 600 Mbit
("khasaaraha" taraafikada lama dareemi karo, sababtoo ah kaliya 1 goob ayaa la weeraray, si ku meel gaar ah ayaa looga saaray server-ka iyo xannibaadda ayaa la qaaday saacad gudaheed).
Isla server waa la ilaaliyaa. Weeraryahannada "waa is dhiibeen" ka dib maalin weerarro la iska caabiyay. Weerarka laftiisa ma ahayn kii ugu xooganaa.
Weerarada iyo difaaca L3/L4 waa kuwo aad u fudud; waxay inta badan ku xiran yihiin dhumucda kanaalada, ogaanshaha iyo shaandhaynta algorithms ee weerarada.
Weerarrada L7 waa kuwo aad u adag oo asal ah; waxay ku xiran yihiin codsiga la weeraray, kartida iyo mala-awaalka weeraryahannada. Ka ilaalintooda waxay u baahan yihiin aqoon iyo khibrad badan, natiijaduna ma noqon karto mid degdeg ah oo boqolkiiba boqol ah. Ilaa Google uu la yimid shabakad kale oo neerfaha ilaalinta.
Source: www.habr.com