Variti wuxuu horumariyaa ka-hortagga bots iyo weerarrada DDoS, wuxuuna sidoo kale sameeyaa tijaabinta culeyska iyo culeyska. Shirkii HighLoad++ 2018 waxaan uga hadalnay sidii kheyraadka looga ilaalin lahaa noocyada kala duwan ee weerarrada. Marka la soo koobo: go'doomi qaybaha nidaamka, isticmaal adeegyada daruuraha iyo CDN-yada, oo si joogto ah u cusboonaysii. Laakiin wali ma awoodid inaad xakamayso ilaalinta la'aanteed shirkado khaas ah :)
Intaadan akhriyin qoraalka, waxaad akhrin kartaa qoraallada gaaban .
Oo haddii aadan jeclayn inaad wax akhrido ama aad rabto inaad daawato fiidiyowga, duubista warbixintayadu waxay ku hoos jirtaa qaswadayaasha.
Muuqaal laga duubay warbixinta
Shirkado badan ayaa horey u yaqaanay sida loo sameeyo tijaabinta culeyska, laakiin dhammaantood ma sameeyaan baaritaanka walaaca. Qaar ka mid ah macaamiisheena waxay u maleynayaan in boggoodu yahay mid aan la taaban karin sababtoo ah waxay leeyihiin nidaam culeys badan, waxayna si fiican uga ilaalisaa weerarada. Waxaan tusineynaa in tani aysan run ahayn.
Dabcan, ka hor inta aan la samaynin imtixaanada, waxaan ka helnaa ogolaansho macmiilka, saxeexay oo shaabadeeyey, iyo annagoo kaashanayna weerarka DDoS qofna laguma qaadi karo. Tijaabada waxaa la sameeyaa wakhtiga uu doortay macaamilka, marka taraafikada ilaa kheyraadkiisa ay yar tahay, dhibaatooyinka helitaanka ma saameyn doonaan macaamiisha. Intaa waxaa dheer, maadaama shay had iyo jeer khaldami karo inta lagu jiro habka imtixaanka, waxaan xiriir joogto ah la leenahay macaamilka. Tani waxay kuu ogolaaneysaa inaadan kaliya sheegin natiijooyinka la gaaray, laakiin sidoo kale inaad wax ka bedesho inta lagu jiro baaritaanka. Marka la dhammeeyo imtixaannada, waxaan had iyo jeer soo saarnaa warbixin taas oo aan ku tilmaamayno cilladaha la ogaaday oo aan ku siinno talooyin lagu tirtirayo daciifnimada goobta.
Sida aan u shaqeyneyno
Marka la tijaabinayo, waxaan ku daynaa botnet. Maadaama aan la shaqeyno macaamiisha aan ku jirin shabakadahayada, si loo hubiyo in imtixaanku uusan dhammaanin daqiiqadaha ugu horreeya sababtoo ah xaddidaad ama ilaalin la kicinayo, waxaan ka bixinnaa culeyska ma aha hal IP, laakiin ka soo baxa subnetkayaga. Intaa waxaa dheer, si aan u abuurno culeys weyn, waxaan haysanaa adeegyadeena tijaabada ah oo awood leh.
Postlates
Wax badan macnaheedu maaha wanaag
Markasta oo culayska yar ee aan keeni karno kheyraad guul darro, ayaa ka sii wanaagsan. Haddii aad ka dhigi karto in goobta ay ku joojiso shaqeynta hal codsi ilbiriqsikii, ama xitaa hal codsi daqiiqadii, taasi waa wax weyn. Sababtoo ah sida uu qabo sharciga micnaha, isticmaalayaasha ama weeraryahanadu waxay si lama filaan ah ugu dhici doonaan nuglaantan gaarka ah.
Fashilka qayb ka mid ah ayaa ka wanaagsan fashilka dhamaystiran
Waxaan had iyo jeer kugula talineynaa samaynta hababka kala duwan. Waxaa intaa dheer, waxaa habboon in la kala saaro iyaga oo ku jira heerka jireed, oo ma aha oo kaliya weel. Marka laga hadlayo kala-soocidda jireed, xitaa haddii ay wax ku dhacaan goobta, waxaa jira suurtogalnimo sare oo ah in aysan joojin doonin gebi ahaanba shaqada, isticmaalayaashu waxay sii wadi doonaan inay helaan ugu yaraan qayb ka mid ah shaqeynta.
Nashqada wanaagsan ayaa saldhig u ah sii jiritaankeeda
Dulqaadashada khaladka ah ee kheyraadka iyo awoodda ay u leedahay in ay u adkeyso weerarada iyo culeyska waa in la dejiyaa marxaladda naqshadeynta, dhab ahaantii, marxaladda sawiridda jaantusyada ugu horreeya ee qoraalka. Sababtoo ah haddii khaladaadka dilaaga ah ay soo galaan, waa suurtogal in la saxo mustaqbalka, laakiin aad bay u adag tahay.
Ma aha oo kaliya code waa inuu ahaado mid wanaagsan, laakiin sidoo kale qaabeynta
Dad badan ayaa u maleynaya in kooxda horumarinta wanaagsan ay tahay dammaanad adeega dulqaadka leh. Koox horumarineed oo wanaagsan runtii waa lagama maarmaan, laakiin sidoo kale waa inay jiraan hawlgallo wanaagsan, DevOps wanaagsan. Taasi waa, waxaan u baahanahay khabiiro si sax ah u habeyn doona Linux iyo shabakada, si sax ah ugu qori doona nginx, xaddidaya, iwm. Haddii kale, kheyraadku wuxuu si fiican u shaqeyn doonaa oo kaliya tijaabinta, iyo mar uun wax walba waxay jebin doonaan wax soo saarka.
Farqiga u dhexeeya culeyska iyo tijaabinta cadaadiska
Tijaabada culeysku waxay kuu ogolaaneysaa inaad aqoonsato xadka u shaqeynayo nidaamka. Tijaabada walbahaarka waxaa looga dan leeyahay in lagu helo daciifnimada nidaamka waxaana loo adeegsadaa in lagu jebiyo nidaamkan lana eego sida uu u dhaqmayo habka fashilinta qaybaha qaarkood. Xaaladdan oo kale, nooca culeysku inta badan waa mid aan la garanayn macaamilka ka hor intaysan bilaabin baaritaanka cadaadiska.
Tilmaamaha gaarka ah ee weerarrada L7
Sida caadiga ah waxaanu u qaybinnaa noocyada rarka ee heerarka L7 iyo L3&4. L7 waa culeyska heerka codsiga, inta badan waxaa loola jeedaa HTTP oo kaliya, laakiin waxaan ula jeednaa culeys kasta oo ah heerka borotokoolka TCP.
Weerarada L7 waxay leeyihiin astaamo gaar ah. Marka hore, waxay si toos ah u yimaadaan codsiga, taas oo ah, uma badna in ay ka muuqan doonaan habka shabakada. Weerarada noocan oo kale ah waxay isticmaalaan caqli-gal, taasna awgeed, waxay u isticmaalaan CPU, memory, disk, database iyo kheyraadka kale si aad u hufan oo yar yar.
HTTP daad
Xaalad kasta oo weerar ah, culeysku wuu sahlan yahay in la abuuro halkii laga qaban lahaa, iyo kiiska L7 tani sidoo kale waa run. Had iyo jeer ma fududa in la kala saaro taraafikada weerarka iyo taraafikada sharciga ah, iyo inta badan tan waxaa lagu samayn karaa inta jeer, laakiin haddii wax walba si sax ah loo qorsheeyo, markaa suurtagal maaha in laga fahmo diiwaannada halka weerarku yahay iyo meesha codsiyada sharciga ah.
Tusaalaha koowaad, tixgeli weerarka HTTP daad. Jaantusku wuxuu muujinayaa in weerarada noocan oo kale ah ay badanaa yihiin kuwo aad u xoog badan; Tusaalaha hoose, tirada ugu badan ee codsiyada ayaa dhaaftay 600 kun daqiiqadii.
HTTP daadku waa habka ugu fudud ee rarka loo abuuro. Caadi ahaan, waxay qaadataa nooc ka mid ah qalabka tijaabinta culeyska, sida ApacheBench, waxayna dejisaa codsi iyo bartilmaameed. Habka fudud ee sidan oo kale ah, waxaa jira suurtogalnimo sare oo lagu galo kaydinta server-ka, laakiin way fududahay in la dhaafo. Tusaale ahaan, ku darista xadhig random codsiga, taas oo ku qasbi doonta adeegaha inuu si joogto ah ugu adeego bog cusub.
Sidoo kale, ha ilaawin wax ku saabsan wakiilka isticmaalaha ee habka abuurista culeyska. Qaar badan oo ka mid ah isticmaaleyaasha aaladaha tijaabada caanka ah waxaa shaandheeyay maamulayaasha nidaamka, kiiskanna culeysku wuxuu si fudud u gaari waayaa dhabarka dambe. Waxaad si weyn u wanaajin kartaa natiijada adiga oo gelinaya madax ka badan ama ka yar browserka codsiga.
Si kasta oo ay u fudud yihiin weerarrada daadka HTTP, waxay sidoo kale leeyihiin cilladahooda. Marka hore, xaddi badan oo awood ah ayaa loo baahan yahay si loo abuuro culeyska. Marka labaad, weerarrada noocan oo kale ah aad bay u fududahay in la ogaado, gaar ahaan haddii ay ka yimaadeen hal ciwaan. Natiijo ahaan, codsiyada isla markiiba waxay bilaabaan inay sifeeyaan maamulayaasha nidaamka ama xitaa heerka bixiyaha.
Maxaa la raadiyaa
Si loo yareeyo tirada codsiyada ilbiriqsikii iyada oo aan lumin waxtarka, waxaad u baahan tahay inaad muujiso wax yar oo male ah oo sahamiso goobta. Sidaa darteed, waxaad ku shuban kartaa ma aha oo kaliya kanaalka ama server-ka, laakiin sidoo kale qaybaha gaarka ah ee codsiga, tusaale ahaan, database-yada ama nidaamyada faylka. Waxa kale oo aad ka raadin kartaa goobo ku yaala goobta xisaabinta waaweyn: xisaabiyeyaasha, boggaga xulashada alaabta, iwm. Ugu dambeyntii, inta badan waxay dhacdaa in goobta ay leedahay nooc ka mid ah qoraallada PHP oo soo saara bog ka kooban dhowr boqol oo kun oo xariiq. Qoraallada noocan oo kale ah ayaa sidoo kale si aad ah u buuxiya server-ka waxayna noqon karaan bartilmaameed weerar.
Halkee laga eegayaa
Marka aan iskaan ku baadho kheyraadka ka hor intaanan tijaabin, waxaan marka hore eegnaa, dabcan, goobta lafteeda. Waxaan raadineynaa dhammaan noocyada kala duwan ee goobaha wax gelinta, faylasha culus - guud ahaan, wax kasta oo dhibaato u abuuri kara kheyraadka oo hoos u dhigi kara hawlgalkiisa. Aaladaha horumarinta banal ee Google Chrome iyo Firefox ayaa caawinaya halkan, iyagoo muujinaya waqtiyada jawaabta bogga.
Waxaan sidoo kale iska-baarnaa subdomains-ka. Tusaale ahaan, waxaa jira bakhaar khadka ah oo gaar ah, abc.com, waxayna leedahay maamul hoosaad.abc.com. Waxay u badan tahay, kani waa guddi maamul oo leh oggolaansho, laakiin haddii aad culeys saarto, waxay u abuuri kartaa dhibaatooyin ilaha ugu muhiimsan.
Goobtu waxay yeelan kartaa api.abc.com subdomain Inta badan, tani waa agab loogu talagalay codsiyada mobilada. Codsiga waxaa laga heli karaa App Store ama Google Play, rakib meel gaar ah, kala saar API-ga oo diwaangeli xisaabaadka imtixaanka. Dhibaatadu waxay tahay in dadku inta badan u maleeyaan in wax kasta oo lagu ilaaliyo oggolaansho ay ka badbaadsan yihiin diidmada weerarrada adeegga. Waxaa loo malaynayaa, oggolaanshaha waa CAPTCHA ugu fiican, laakiin maaha. Way fududahay in la sameeyo 10-20 xisaabaadka tijaabada ah, laakiin abuurista iyaga, waxaan helnaa shaqeyn adag oo aan qarsooneyn.
Dabiici ahaan, waxaan eegnaa taariikhda, robots.txt iyo WebArchive, ViewDNS, oo raadi agabka noocyadii hore. Mararka qaarkood waxaa dhacda in horumariyayaashu ay soo baxeen, dheh, mail2.yandex.net, laakiin nuqulkii hore, mail.yandex.net, ayaa weli ah. Mail.yandex.net-kan hadda lama taageero, agabka horumarinta looma qoondayn, laakiin waxa ay sii waddaa isticmaalka xogta. Iyadoo la raacayo, adigoo isticmaalaya nuqulkii hore, waxaad si wax ku ool ah u isticmaali kartaa kheyraadka dhabarka iyo wax kasta oo ka dambeeya qaabka. Dabcan, tani had iyo jeer ma dhacdo, laakiin wali waxaan la kulannaa tan marar badan.
Dabiici ahaan, waxaan falanqeyneynaa dhammaan cabirrada codsiga iyo qaab dhismeedka buskudka. Waxaad odhan kartaa, waxaad ku daadi kartaa qaar ka mid ah qiimaha shaxda JSON ee ku jirta buskudka, abuurto buul badan oo ka dhigi agabku inuu shaqeeyo muddo dheer oo aan macquul ahayn.
Raad rarista
Waxa ugu horreeya ee maskaxda ku soo dhaca marka la baarayo goobta waa in lagu shubo xogta xogta, maadaama ku dhawaad qof kastaa uu raadinayo, iyo ku dhawaad qof kasta, nasiib darro, si liidata loo ilaaliyo. Sababaha qaar, horumariyayaashu ma bixiyaan feejignaan ku filan raadinta. Laakiin waxaa jira hal talo oo halkan ah - waa inaadan samayn codsiyo isku nooc ah, sababtoo ah waxaad la kulmi kartaa kaydinta, sida kiiska HTTP.
Su'aalo aan kala sooc lahayn oo lagu sameeyo kaydka xogta sidoo kale had iyo jeer waxtar ma leh. Aad bay u fiican tahay in la sameeyo liiska ereyada muhiimka ah ee khuseeya raadinta. Haddii aan ku soo laabanno tusaalaha dukaanka internetka: aan sheegno in goobta ay iibiso taayirrada baabuurta waxayna kuu ogolaaneysaa inaad dejiso radius taayirada, nooca gaariga iyo xuduudaha kale. Sidaas awgeed, isku-darka kelmadaha khuseeya waxay ku qasbi doonaan kaydinta in ay ku shaqeeyaan xaalado aad u adag.
Intaa waxaa dheer, waxaa habboon in la isticmaalo pagination: aad bay ugu adag tahay raadinta si loo soo celiyo bogga ugu sarreeya ee natiijooyinka raadinta marka loo eego kii hore. Taasi waa, iyadoo la kaashanayo pagination aad wax yar kala duwan kartaa load.
Tusaalaha hoose wuxuu muujinayaa culeyska raadinta. Waxaa la arki karaa in ilbiriqsigii ugu horreeyay ee imtixaanka xawli toban codsi ah ilbiriqsi kasta, goobtu hoos u dhacday oo aysan ka jawaabin.
Haddii aan la raadin?
Haddii aan la raadin, tani macnaheedu maaha in goobta aysan ku jirin meelo kale oo nugul. Goobtani waxay noqon kartaa oggolaansho. Maalmahan, horumariyayaashu waxay jecel yihiin inay sameeyaan hashes adag si ay uga ilaaliyaan xogta galitaanka weerarka miiska qaanso roobaadka. Tani way fiican tahay, laakiin xashiishyada noocan oo kale ah waxay cunaan ilo badan oo CPU ah. Socod badan oo oggolaansho been abuur ah ayaa horseedaysa fashilka processor-ka, natiijaduna waxay tahay, goobta shaqada ayaa joojisa.
Joogitaanka goobta dhammaan noocyada foomamka ee faallooyinka iyo faallooyinka ayaa sabab u ah in loo diro qoraallo aad u waaweyn halkaas ama si fudud loo abuuro daad weyn. Mararka qaarkood goobuhu waxay aqbalaan faylasha ku lifaaqan, oo ay ku jiraan qaabka gzip. Xaaladdan oo kale, waxaan qaadnaa faylka 1TB, ku cadaadi dhowr bytes ama kilobytes isticmaalaya gzip oo u dir goobta. Kadibna waa la furay waxaana la helay saameyn aad u xiiso badan.
Nasashada API
Waxaan jeclaan lahaa inaan fiiro gaar ah u yeesho adeegyada caanka ah sida API Rest. Xaqiijinta nasashada API aad ayey uga adag tahay mareegta caadiga ah. Xataa hababka fudud ee ka hortagga xoogga sirta ah iyo hawlaha kale ee sharci darrada ah uma shaqeeyaan API inteeda kale.
API intiisa kale aad bay u fududahay in la jebiyo sababtoo ah waxay si toos ah u gasho xogta xogta. Isla mar ahaantaana, guuldarada adeeggan oo kale waxay keenaysaa cawaaqib xumo ganacsi. Xaqiiqdu waxay tahay in API intiisa kale loo isticmaalo kaliya maahan bogga ugu weyn, laakiin sidoo kale codsiga moobiilka iyo qaar ka mid ah ilaha ganacsiga gudaha. Oo haddii waxaas oo dhami ay dhacaan, markaa saameyntu aad bay uga xoog badan tahay marka loo eego xaaladda bogga internetka ee fudud.
Raraya waxyaabo culus
Haddii naloo soo bandhigo inaan tijaabinno qaar ka mid ah codsiyada caadiga ah ee hal bog ah, bogga degitaanka, ama mareegta kaararka ganacsiga ee aan lahayn hawlo adag, waxaan raadineynaa waxyaabo culus. Tusaale ahaan, sawirro waaweyn oo adeeguhu soo diro, faylasha binary, dukumeenti pdf - waxaan isku dayeynaa inaan soo dejino waxaas oo dhan. Tijaabooyinka noocan oo kale ah waxay si fiican u shubaan nidaamka faylka waxayna xiraan kanaalada, sidaas darteedna waa kuwo waxtar leh. Taasi waa, xitaa haddii aadan hoos u dhigin server-ka, soo dejinta faylka weyn ee xawaaraha hooseeya, waxaad si fudud u xiri doontaa kanaalka server-ka bartilmaameedka ka dibna diidmada adeegga ayaa dhici doonta.
Tusaalaha tijaabada noocan oo kale ah ayaa muujinaya in xawaaraha 30 RPS goobta ay joojisay ka jawaabista ama soo saartay khaladaadka 500th ee serverka.
Ha iloobin dejinta server-yada Waxaad inta badan ogaan kartaa in qofku iibsaday mashiinka farsamada, halkaas oo Apache ku rakibay, wax walbana u habeeyey, ku rakibay codsiga PHP, hoostana waxaad arki kartaa natiijada.
Halkan culeysku wuxuu aaday xididka wuxuuna gaaray 10 RPS kaliya. Waxa aanu sugaynay 5 daqiiqo oo uu shil galay seerfarkii. Waa run in aan si buuxda loo garanayn sababta uu u dhacay, laakiin waxaa jira malo ah in uu si fudud u lahaa xasuus badan oo sidaas darteed uu joojiyay jawaab celinta.
Hirarka ku salaysan
Sannadkii ama labadii sano ee la soo dhaafay, weerarrada mowjadaha ayaa noqday kuwo caan ah. Tani waxay sabab u tahay xaqiiqda ah in ururo badani ay iibsadaan qaybo qalab ah oo loogu talagalay ilaalinta DDoS, kuwaas oo u baahan wakhti go'an si ay u ururiyaan tirakoobka si ay u bilaabaan shaandhaynta weerarka. Taasi waa, ma shaandheeyaan weerarka 30-40 ilbiriqsi ee ugu horreeya, sababtoo ah waxay ururiyaan xogta oo ay bartaan. Sidaa darteed, 30-40 ilbiriqsi gudahood waxaad ku bilaabi kartaa wax badan oo ku saabsan goobta in kheyraadku uu jiifsan doono waqti dheer ilaa dhammaan codsiyada la nadiifiyo.
Xaaladda weerarka hoose, waxaa socday muddo 10 daqiiqo ah, ka dib waxaa yimid qayb cusub oo wax laga beddelay.
Taasi waa, difaacu wuu bartay, wuxuu bilaabay shaandhayn, laakiin qayb cusub oo gabi ahaanba ka duwan weerarka ayaa timid, difaacuna wuxuu bilaabay inuu mar kale barto. Dhab ahaantii, shaandhayntu waxay joojisaa shaqada, ilaalintu waxay noqotaa mid aan waxtar lahayn, goobtana lama heli karo.
Weerarrada mowjadaha waxaa lagu gartaa qiyam aad u sarreeya marka ugu sarreysa, waxay gaari kartaa boqol kun ama hal milyan oo codsi ilbiriqsi kasta, marka laga hadlayo L7. Haddii aan ka hadalno L3 & 4, markaa waxaa jiri kara boqolaal gigabits ee taraafikada, ama, si waafaqsan, boqolaal mpps, haddii aad ku xisaabtanto baakadaha.
Dhibaatada weerarradan oo kale waa isku-dubbarid. Weeraradu waxay ka yimaadaan botnet waxayna u baahan yihiin heerar sare oo is-waafajin si loo abuuro koror aad u weyn oo hal mar ah. Isku-dubbaridkani had iyo jeer ma shaqeeyo: mararka qaarkood wax-soo-saarku waa nooc ka mid ah kuwa ugu sarreeya, oo u muuqda mid naxariis leh.
Kaliya maaha HTTP
Marka lagu daro HTTP ee L7, waxaan jecelnahay inaan ka faa'iidaysano borotokoolka kale. Sida caadiga ah, mareegaha caadiga ah, gaar ahaan martigelinta joogtada ah, ayaa leh borotokoolka boostada iyo MySQL oo soo baxaya. Hab-maamuusyada boostada waxay ku xiran yihiin culeys ka yar marka loo eego xogta macluumaadka, laakiin sidoo kale si hufan ayaa loo rari karaa waxayna ku dhamaan karaan CPU-da xad dhaafka ah ee server-ka.
Aad baanu ugu guulaysanay adeegsiga nuglaanta SSH 2016. Hadda baylahdan ayaa loo hagaajiyay ku dhawaad qof kasta, laakiin tani macnaheedu maaha in culayska aan loo gudbin karin SSH. Karaa Si fudud waxaa jira culeys weyn oo oggolaansho ah, SSH waxay cuntaa ku dhawaad CPU oo dhan server-ka, ka dibna websaydhku wuxuu ka burburaa hal ama laba codsi ilbiriqsi kasta. Sidaa awgeed, hal ama labadan codsi ee ku salaysan diiwaannada laguma kala saari karo culays sharci ah.
Xiriiro badan oo aan ku furno server-yada ayaa sidoo kale ah kuwo khuseeya. Markii hore, Apache wuxuu ahaa dambiile kan, hadda nginx dhab ahaantii waa dembiile kan, maadaama inta badan lagu habeeyo si caadi ah. Tirada isku xirka ee nginx ay sii furi karto waa xadidan tahay, markaa waxaan furaynaa tiradan isku xirka, nginx mar dambe ma aqbasho xiriir cusub, natiijaduna waa goobtu ma shaqeyso.
Kooxdayada imtixaanku waxay haysataa CPU ku filan oo ay ku weerarto gacan-qaadka SSL. Mabda 'ahaan, sida ficilku muujinayo, botnets mararka qaarkood waxay jecel yihiin inay tan sameeyaan. Dhinaca kale, way caddahay inaadan samayn karin SSL la'aanteed, sababtoo ah natiijooyinka Google, darajada, amniga. Dhanka kale, SSL nasiib darro waxay leedahay arrin CPU ah.
L3&4
Marka aan ka hadalno weerarka heerarka L3 & 4, waxaan inta badan ka hadleynaa weerarka heerka isku xirka. Culayska noocan oo kale ah had iyo jeer waa laga sooci karaa kan sharciga ah, haddii aanu ahayn weerar SYN-daad ah. Dhibaatada weerarrada SYN-daadka ee aaladaha amniga waa mugga weyn. Qiimaha ugu badan ee L3&4 wuxuu ahaa 1,5-2 Tbit/s. Gaadiidka noocaan ah aad ayey u adagtahay in laga shaqeeyo xitaa shirkadaha waaweyn, oo ay ku jiraan Oracle iyo Google.
SYN iyo SYN-ACK waa baakado la isticmaalo marka la samaynayo xidhiidh. Sidaa darteed, SYN-daadku way adag tahay in la kala saaro culayska sharciga ah: ma cadda inuu kani yahay SYN oo u yimid inuu xidhiidh sameeyo, ama qayb ka mid ah daadka.
UDP-daadka
Caadi ahaan, weeraryahanadu ma laha awoodaha aan leenahay, sidaas darteed cod-qaadis ayaa loo isticmaali karaa si loo abaabulo weerarrada. Taasi waa, weeraryahanku wuxuu baaraa internetka oo wuxuu helaa mid nugul ama si khaldan loo habeeyey server-yada, tusaale ahaan, ka jawaabista hal baakidh SYN, ku jawaaba saddex SYN-ACKs. Adigoo ka xayuubinaya ciwaanka isha ee ciwaanka bartilmaameedka, waxaa suurtagal ah in la kordhiyo awoodda, dheh, saddex jeer hal baakidh oo taraafikada loo jiheeyo dhibbanaha.
Dhibaatada ka jirta cod-weyneyayaashu waa inay adagtahay in la ogaado. Tusaalooyinka dhow waxaa ka mid ah kiis dareenka leh ee kuwa nugul memcached. Intaa waxaa dheer, hadda waxaa jira aalado badan oo IoT ah, kamaradaha IP, kuwaas oo sidoo kale inta badan lagu qaabeeyay qaab caadi ah, iyo qaab ahaan si khaldan ayaa loo qaabeeyay, waana sababta ay weerarradu inta badan u geystaan aaladahaas.
SYN-daadka adag
SYN-daad malaha waa nooca ugu xiisaha badan ee weerarka marka laga eego aragtida horumariyaha. Dhibaatadu waxay tahay in maamulayaasha nidaamka ay inta badan isticmaalaan xannibaadda IP-ga ilaalinta. Waxaa intaa dheer, xannibaadda IP-gu waxay saamaysaa ma aha oo kaliya maamulayaasha nidaamka kuwaas oo ku dhaqma iyaga oo isticmaalaya qoraallada, laakiin sidoo kale, nasiib daro, qaar ka mid ah nidaamyada amniga ee lagu iibsado lacag badan.
Habkani wuxuu isu rogi karaa musiibo, sababtoo ah haddii weeraryahannadu beddelaan cinwaannada IP, shirkadu waxay xannibi doontaa shabakadeeda hoose. Marka Firewall-ku xannibo kutlada u gaar ah, wax-soo-saarku wuxuu ku guuldareysan doonaa isdhexgalka dibadda iyo kheyraadku wuu guuldareysan doonaa.
Waxaa intaa dheer, ma adka inaad xannibto shabakadaada. Haddii xafiiska macmiilku leeyahay shabakad Wi-Fi ah, ama haddii waxqabadka kheyraadka lagu cabbiro iyadoo la adeegsanayo nidaamyo kala duwan oo la socodka, markaa waxaanu qaadannaa cinwaanka IP-ga ee nidaamka kormeerka ama xafiiska macmiilka Wi-Fi oo u isticmaal ilo ahaan. Dhamaadka, kheyraadka ayaa u muuqda mid la heli karo, laakiin cinwaannada IP-da ee bartilmaameedka ah waa la xannibay. Sidaa darteed, shabakadda Wi-Fi ee shirka HighLoad, halkaas oo alaabta cusub ee shirkadda la soo bandhigay, waxaa laga yaabaa in la xannibo, taasina waxay ku lug leedahay kharashyada ganacsiga iyo dhaqaalaha qaarkood.
Inta lagu jiro tijaabada, ma isticmaali karno cod-weyneysiinta iyada oo loo marayo memcached kheyraad dibadda ah, sababtoo ah waxaa jira heshiisyo loogu diro taraafikada kaliya cinwaannada IP-ga ee la oggol yahay. Sidaa darteed, waxaan isticmaalnaa cod-weyneeye iyada oo loo marayo SYN iyo SYN-ACK, marka nidaamku ka jawaabo soo dirida hal SYN oo leh laba ama saddex SYN-ACKs, iyo marka la soo saaro weerarka waxaa lagu dhuftey laba ama saddex jeer.
alaabtii
Mid ka mid ah aaladaha ugu muhiimsan ee aan u isticmaalno culeyska shaqada L7 waa Yandex-tank. Gaar ahaan, fantamka waxaa loo isticmaalaa qori ahaan, oo ay weheliso qoraallo dhowr ah oo loogu talagalay abuurista kartoonada iyo falanqaynta natiijooyinka.
Tcpdump waxaa loo istcimaalaa in lagu falanqeeyo taraafikada shabakada, Nmap waxaa loo istcimaalaa in lagu falanqeeyo serverka. Si loo abuuro culeyska heerka L3&4, OpenSSL iyo in yar oo sixir noo gaar ah oo leh maktabadda DPDK ayaa la isticmaalaa. DPDK waa maktabad ka timid Intel taasoo kuu ogolaaneysa inaad la shaqeyso is dhexgalka shabakada adoo ka gudbaya xirmooyinka Linux, taasoo kordhineysa waxtarka. Dabiici ahaan, waxaan isticmaalnaa DPDK kaliya maaha heerka L3 & 4, laakiin sidoo kale heerka L7, sababtoo ah waxay noo ogolaaneysaa inaan abuurno qulqulka culeyska aad u sarreeya, gudaha inta u dhaxaysa dhowr milyan oo codsi halkii labaad ee hal mashiin.
Waxaan sidoo kale isticmaalnaa taraafikada qaarkood iyo qalab gaar ah oo aan u qorno baaritaanno gaar ah. Haddii aan dib u soo celino nuglaanshaha hoos yimaada SSH, markaa qaybta kore lagama faa'iidaysan karo. Haddii aan weerarno borotokoolka boostada, waxaan qaadanaa utilities mail ama si fudud qoraalo ku qor iyaga.
natiijooyinka
Gabagabadii waxaan rabaa inaan idhaahdo:
- Marka lagu daro tijaabada culeyska caadiga ah, waxaa lagama maarmaan ah in la sameeyo baaritaanka cadaadiska. Waxaan haynaa tusaale dhab ah oo qandaraas-hoosaadka lammaanuhu uu sameeyay kaliya tijaabinta culeyska. Waxay muujisay in kheyraadku u adkeysan karo culeyska caadiga ah. Laakiin markaa culays aan caadi ahayn ayaa soo muuqday, booqdayaasha goobta ayaa bilaabay inay u isticmaalaan kheyraadka si ka duwan sidii hore, natiijadiina qandaraaslaha hoose ayaa jiifsaday. Sidaa darteed, waxaa habboon in la raadiyo dayacanka xitaa haddii mar hore lagaa ilaaliyo weerarrada DDoS.
- Waa lagama maarmaan in qaybo ka mid ah nidaamka laga sooco kuwa kale. Haddii aad raadinayso, waxaad u baahan tahay inaad u guurto mashiinno kala duwan, taas oo ah, xitaa xitaa Docker. Sababtoo ah haddii raadinta ama oggolaanshaha uu guuldareysto, ugu yaraan wax ayaa sii wadi doona inuu shaqeeyo. Marka laga hadlayo dukaanka khadka tooska ah, isticmaalayaashu waxay sii wadi doonaan inay ka helaan alaabada buug-yaraha, ka baxaan isku-darka, iibsadaan haddii hore loo oggolaaday, ama waxay ku oggolaan doonaan OAuth2.
- Ha dayacin dhammaan noocyada adeegyada daruuraha.
- Isticmaal CDN ma aha oo kaliya si aad u wanaajiso daahitaanka shabakada, laakiin sidoo kale si aad uga hortagto weerarrada daalka kanaalka oo si fudud ugu qulqulaya taraafikada taagan.
- Waa lagama maarmaan in la isticmaalo adeegyada ilaalinta gaarka ah. Kama ilaalin kartid naftaada weerarada L3&4 ee heerka kanaalka, sababtoo ah waxay u badan tahay inaadan si fudud u haysan kanaal kugu filan. Sidoo kale uma badna inaad la dagaallanto weerarrada L7, maadaama ay aad u weyn karaan. Waxaa dheer, raadinta weerarrada yaryar ayaa weli ah mudnaanta adeegyada gaarka ah, algorithms gaar ah.
- Si joogto ah u cusboonaysii Tani ma khusayso kaliya kernel-ka, laakiin sidoo kale SSH daemon, gaar ahaan haddii aad bannaanka u furan tahay. Mabda 'ahaan, wax walba waxay u baahan yihiin in dib loo cusbooneysiiyo, sababtoo ah uma badna inaad awood u yeelatid inaad la socoto dayacnaantaada qaarkood.
Source: www.habr.com