Variti муҳофизатро аз ботҳо ва ҳамлаҳои DDoS таҳия мекунад ва инчунин санҷиши стресс ва сарборӣ мегузаронад. Дар конфронси HighLoad++ 2018 мо дар бораи чӣ гуна муҳофизат кардани захираҳо аз намудҳои гуногуни ҳамлаҳо сӯҳбат кардем. Хулоса: қисмҳои системаро ҷудо кунед, хидматҳои абрӣ ва CDNҳоро истифода баред ва мунтазам навсозӣ кунед. Аммо шумо ба ҳар ҳол бе ширкатҳои махсус муҳофизат карда наметавонед :)
Пеш аз хондани матн шумо метавонед конспектҳои кӯтоҳро хонед .
Ва агар шумо хонданро дӯст надоред ё танҳо тамошои видеоро дошта бошед, сабти гузориши мо дар зер зери спойлер аст.
Сабти видеоии гузориш
Бисёр ширкатҳо аллакай медонанд, ки чӣ гуна санҷиши сарборӣ анҷом дода шавад, аммо на ҳама санҷиши стрессро анҷом медиҳанд. Баъзе аз муштариёни мо фикр мекунанд, ки сайти онҳо осебпазир аст, зеро онҳо системаи пурборкуниро доранд ва он аз ҳамлаҳо хуб муҳофизат мекунад. Мо нишон медиҳем, ки ин комилан дуруст нест.
Албатта, пеш аз гузаронидани санҷишҳо, мо аз фармоишгар иҷозат мегирем, имзо ва мӯҳр мегузорем ва бо кӯмаки мо ҳамлаи DDoS ба касе анҷом дода намешавад. Санҷиш дар вақте, ки муштарӣ интихоб кардааст, сурат мегирад, вақте ки трафик ба манбаи ӯ ҳадди аққал аст ва мушкилоти дастрасӣ ба мизоҷон таъсир намерасонад. Илова бар ин, азбаски дар ҷараёни санҷиш чизе метавонад ҳамеша хато кунад, мо бо фармоишгар тамоси доимӣ дорем. Ин ба шумо имкон медиҳад, ки на танҳо дар бораи натиҷаҳои бадастомада гузориш диҳед, балки ҳангоми санҷиш чизеро тағир диҳед. Пас аз анҷоми санҷиш, мо ҳамеша гузориш тартиб медиҳем, ки дар он камбудиҳои ошкоршударо нишон медиҳем ва барои рафъи камбудиҳои сайт тавсияҳо медиҳем.
Мо чӣ гуна кор мекунем
Ҳангоми санҷиш, мо ботнетро тақлид мекунем. Азбаски мо бо муштариёне, ки дар шабакаҳои мо ҷойгир нестанд, кор мекунем, то он ки санҷиш дар дақиқаи аввал бо сабаби маҳдудиятҳо ё муҳофизат оғоз нашавад, мо сарбориро на аз як IP, балки аз зершабакаи худамон таъмин мекунем. Илова бар ин, барои эҷоди сарбории назаррас, мо сервери санҷишии хеле пурқуввати худро дорем.
Постулятҳо
Аз ҳад зиёд маънои хуб надорад
Чӣ қадаре ки мо захираро ба шикаст расонем, ҳамон қадар беҳтар аст. Агар шумо тавонед, ки сайт бо як дархост дар як сония ё ҳатто як дархост дар як дақиқа корашро қатъ кунад, ин хеле хуб аст. Зеро тибқи қонуни бадрафторӣ, корбарон ё ҳамлагарон тасодуфан ба ин осебпазирии мушаххас дучор мешаванд.
Нокомии қисман беҳтар аз шикасти пурра аст
Мо ҳамеша маслиҳат медиҳем, ки системаҳоро гетерогенӣ созем. Ғайр аз он, онҳоро дар сатҳи ҷисмонӣ ҷудо кардан лозим аст, на танҳо бо контейнерсозӣ. Дар ҳолати ҷудошавии ҷисмонӣ, ҳатто агар чизе дар сайт ноком шавад, эҳтимоли зиёд вуҷуд дорад, ки он пурра кор намекунад ва корбарон ба ҳадди аққал як қисми функсия дастрасӣ доранд.
Меъмории хуб асоси устуворӣ мебошад
Таҳаммулпазирии камбудиҳои захираҳо ва қобилияти он ба ҳамлаҳо ва борҳо бояд дар марҳилаи тарҳрезӣ, дар асл, дар марҳилаи кашидани схемаҳои аввалин дар дафтар муқаррар карда шавад. Зеро агар хатогиҳои марговар ворид шаванд, дар оянда онҳоро ислоҳ кардан мумкин аст, аммо ин хеле душвор аст.
На танҳо код бояд хуб бошад, балки конфигуратсия низ
Бисёр одамон фикр мекунанд, ки дастаи хуби рушд кафолати хидматрасонии ба хатогиҳо тобовар аст. Гурӯҳи хуби таҳия воқеан зарур аст, аммо бояд амалиёти хуб, DevOps хуб бошад. Яъне, ба мо мутахассисоне лозиманд, ки Linux ва шабакаро дуруст конфигуратсия кунанд, конфигуратсияҳоро дар nginx дуруст нависед, маҳдудиятҳо муқаррар кунанд ва ғайра. Дар акси ҳол, захира танҳо дар санҷиш хуб кор мекунад ва дар баъзе лаҳзаҳо ҳама чиз дар истеҳсолот мешиканад.
Тафовут байни санҷиши сарборӣ ва стресс
Санҷиши сарборӣ ба шумо имкон медиҳад, ки маҳдудиятҳои кори системаро муайян кунед. Санҷиши стресс ба дарёфти камбудиҳои система нигаронида шудааст ва барои шикастани ин система истифода мешавад ва бубинад, ки он дар раванди нокомии қисмҳои муайян чӣ гуна рафтор хоҳад кард. Дар ин ҳолат, табиати сарборӣ одатан пеш аз оғози санҷиши стресс барои фармоишгар номаълум боқӣ мемонад.
Хусусиятҳои фарқкунандаи ҳамлаҳои L7
Мо одатан намудҳои борро дар сатҳҳои L7 ва L3&4 ба борҳо тақсим мекунем. L7 сарборӣ дар сатҳи барнома аст, аксар вақт ин маънои танҳо HTTP-ро дорад, аммо мо ҳама гуна сарбориро дар сатҳи протоколи TCP дар назар дорем.
Ҳамлаҳои L7 дорои баъзе хусусиятҳои фарқкунанда мебошанд. Аввалан, онҳо бевосита ба барнома меоянд, яъне аз эҳтимол дур нест, ки онҳо тавассути воситаҳои шабакавӣ инъикос карда шаванд. Чунин ҳамлаҳо мантиқро истифода мебаранд ва бинобар ин онҳо CPU, хотира, диск, базаи маълумот ва дигар захираҳоро хеле самаранок ва бо трафики кам истеъмол мекунанд.
Тӯфони HTTP
Дар сурати ҳама гуна ҳамла, эҷод кардани сарборӣ нисбат ба идора кардан осонтар аст ва дар мавриди L7 ин ҳам дуруст аст. Фарқ кардани трафики ҳамла аз трафики қонунӣ на ҳамеша осон аст ва аксар вақт ин корро бо басомад анҷом додан мумкин аст, аммо агар ҳама чиз дуруст ба нақша гирифта шуда бошад, пас аз гузоришҳо фаҳмидан ғайриимкон аст, ки ҳамла дар куҷост ва дархостҳои қонунӣ дар куҷост.
Ҳамчун мисоли аввал, ҳамлаи Flood HTTP-ро баррасӣ кунед. График нишон медиҳад, ки чунин ҳамлаҳо одатан хеле пурқувватанд; дар мисоли зер шумораи авҷи дархостҳо дар як дақиқа аз 600 ҳазор зиёд буд.
HTTP Flood роҳи осонтарини эҷоди сарборист. Одатан, он як навъ асбоби санҷиши сарборӣ, ба монанди ApacheBench, мегирад ва дархост ва ҳадафро муқаррар мекунад. Бо чунин равиши оддӣ, эҳтимолияти ворид шудан ба кэши сервер вуҷуд дорад, аммо аз он гузаштан осон аст. Масалан, илова кардани сатрҳои тасодуфӣ ба дархост, ки серверро маҷбур мекунад, ки пайваста ба саҳифаи нав хидмат кунад.
Инчунин, дар бораи корбар-агент дар раванди эҷоди бор фаромӯш накунед. Бисёре аз корбар-агентҳои абзорҳои маъмули санҷишӣ аз ҷониби маъмурони система филтр карда мешаванд ва дар ин ҳолат сарборӣ метавонад ба паси пуштибонӣ нарасад. Шумо метавонед ба таври назаррас натиҷаро тавассути ворид кардани сарлавҳаи дуруст ё камтар аз браузер ба дархост беҳтар кунед.
Тавре ки ҳамлаҳои обхезии HTTP соддаанд, онҳо инчунин нуқсонҳои худро доранд. Аввалан, барои эҷоди сарборӣ миқдори зиёди нерӯ лозим аст. Сониян, чунин ҳамлаҳоро ошкор кардан хеле осон аст, хусусан агар онҳо аз як суроға омада бошанд. Дар натиҷа, дархостҳо фавран аз ҷониби маъмурони система ё ҳатто дар сатҳи провайдерҳо филтр карда мешаванд.
Чӣ бояд кард?
Барои кам кардани шумораи дархостҳо дар як сония бе гум кардани самаранокӣ, шумо бояд каме тасаввурот нишон диҳед ва сайтро омӯзед. Ҳамин тариқ, шумо метавонед на танҳо канал ё сервер, балки қисмҳои алоҳидаи барномаро, масалан, пойгоҳи додаҳо ё системаҳои файлиро бор кунед. Шумо инчунин метавонед дар сайт ҷойҳоеро ҷустуҷӯ кунед, ки ҳисобҳои калон анҷом медиҳанд: ҳисобкунакҳо, саҳифаҳои интихоби маҳсулот ва ғайра. Ниҳоят, аксар вақт рӯй медиҳад, ки сайт як навъ скрипти PHP дорад, ки саҳифаи якчанд сад ҳазор сатрро тавлид мекунад. Чунин скрипт инчунин серверро ба таври назаррас бор мекунад ва метавонад ҳадафи ҳамла гардад.
Ба куҷо бояд нигарист
Вақте ки мо манбаро пеш аз санҷиш скан мекунем, мо аввал, албатта, ба худи сайт назар мекунем. Мо ҳама намуди майдонҳои воридотӣ, файлҳои вазнинро меҷӯем - дар маҷмӯъ, ҳама чизҳое, ки метавонанд барои захира мушкилот эҷод кунанд ва кори онро суст кунанд. Асбобҳои таҳияи баналӣ дар Google Chrome ва Firefox дар ин ҷо кӯмак мекунанд, ки вақти посухи саҳифаро нишон медиҳанд.
Мо инчунин зердоменҳоро скан мекунем. Масалан, як мағозаи онлайни муайян вуҷуд дорад, abc.com ва он дорои зердомени admin.abc.com. Эҳтимол, ин як панели маъмурӣ бо иҷозат аст, аммо агар шумо ба он бор кунед, он метавонад барои манбаи асосӣ мушкилот эҷод кунад.
Сайт метавонад зердомени api.abc.com дошта бошад. Эҳтимол, ин як манбаи барномаҳои мобилӣ аст. Барномаро дар App Store ё Google Play пайдо кардан мумкин аст, нуқтаи дастрасии махсусро насб кунед, API-ро ҷудо кунед ва ҳисобҳои санҷиширо ба қайд гиред. Мушкилот дар он аст, ки одамон аксар вақт фикр мекунанд, ки ҳама чизе, ки бо иҷозат муҳофизат карда мешавад, аз рад кардани ҳамлаҳои хидматӣ эмин аст. Гумон меравад, авторизатсия беҳтарин CAPTCHA аст, аммо ин тавр нест. Сохтани 10-20 ҳисобҳои санҷишӣ осон аст, аммо тавассути эҷоди онҳо, мо ба функсияҳои мураккаб ва пинҳоншуда дастрасӣ пайдо мекунем.
Табиист, ки мо ба таърих назар мекунем, дар robots.txt ва WebArchive, ViewDNS ва версияҳои кӯҳнаи захираро ҷустуҷӯ мекунем. Баъзан чунин мешавад, ки таҳиягарон, масалан, mail2.yandex.net-ро баровардаанд, аммо версияи кӯҳна, mail.yandex.net боқӣ мемонад. Ин mail.yandex.net дигар дастгирӣ намешавад, захираҳои рушд ба он ҷудо карда намешаванд, аммо он ба истеъмоли пойгоҳи додаҳо идома медиҳад. Мувофиқи он, бо истифода аз версияи кӯҳна, шумо метавонед захираҳои пушти сар ва ҳама чизеро, ки дар паси тарҳ ҷойгир аст, самаранок истифода баред. Албатта, ин на ҳамеша рӯй медиҳад, аммо мо ҳоло ҳам бо ин зуд-зуд дучор мешавем.
Табиист, ки мо ҳама параметрҳои дархост ва сохтори кукиҳоро таҳлил мекунем. Шумо метавонед, бигӯед, баъзе арзишҳоро ба массиви JSON дар дохили куки гузоред, лонаҳои зиёде эҷод кунед ва захираро барои муддати беасос кор кунад.
Сарбории ҷустуҷӯ
Аввалин чизе, ки ҳангоми таҳқиқи сайт ба хотир меояд, ин бор кардани пойгоҳи додаҳо мебошад, зеро қариб ҳама ҷустуҷӯ доранд ва барои ҳама, мутаассифона, он суст муҳофизат карда мешавад. Бо баъзе сабабҳо, таҳиягарон ба ҷустуҷӯ аҳамияти кофӣ намедиҳанд. Аммо дар ин ҷо як тавсия вуҷуд дорад - шумо набояд як навъ дархост пешниҳод кунед, зеро шумо метавонед бо кэш дучор шавед, ба монанди сели HTTP.
Қабули дархостҳои тасодуфӣ ба пойгоҳи додаҳо низ на ҳамеша самаранок аст. Эҷоди рӯйхати калимаҳои калидӣ, ки ба ҷустуҷӯ мувофиқанд, беҳтар аст. Агар мо ба мисоли мағозаи онлайн баргардем: бигӯем, ки сайт шинаҳои мошинро мефурӯшад ва ба шумо имкон медиҳад, ки радиуси чархҳо, намуди мошин ва дигар параметрҳоро муқаррар кунед. Мутаносибан, комбинатсияи калимаҳои мувофиқ базаро маҷбур мекунад, ки дар шароити хеле мураккабтар кор кунад.
Илова бар ин, истифодаи саҳифагузориҳо бамаврид аст: барои ҷустуҷӯ баргардонидани саҳифаи охирини натиҷаҳои ҷустуҷӯ нисбат ба аввал хеле мушкилтар аст. Ин аст, ки бо ёрии саҳифабандӣ шумо метавонед бори каме диверсификатсия кунед.
Мисоли зер сарбории ҷустуҷӯро нишон медиҳад. Дидан мумкин аст, ки аз як сонияи аввали санҷиш бо суръати даҳ дархост дар як сония сайт поён рафт ва посух надод.
Агар ҷустуҷӯ набошад?
Агар ягон ҷустуҷӯ вуҷуд надошта бошад, ин маънои онро надорад, ки сайт дигар майдонҳои вуруди осебпазирро дар бар намегирад. Ин майдон метавонад иҷозат бошад. Имрӯзҳо, таҳиягарон мехоҳанд, ки хэшҳои мураккаб созанд, то пойгоҳи додаҳои воридшавиро аз ҳамлаи ҷадвали рангинкамон муҳофизат кунанд. Ин хуб аст, аммо чунин хэшҳо захираҳои зиёди CPU-ро истеъмол мекунанд. Ҷараёни зиёди иҷозатҳои бардурӯғ ба нокомии протсессор оварда мерасонад ва дар натиҷа сайт аз кор мемонад.
Мавҷудияти ҳама гуна шаклҳо барои шарҳҳо ва фикру мулоҳизаҳо дар сайт сабаби фиристодани матнҳои хеле калон ё танҳо эҷод кардани обхезии азим мебошад. Баъзан сайтҳо файлҳои замимашударо қабул мекунанд, аз ҷумла дар формати gzip. Дар ин ҳолат, мо файли 1TB-ро гирифта, онро бо истифода аз gzip ба якчанд байт ё килобайт фишурда мекунем ва ба сайт мефиристем. Пас аз он кушода мешавад ва таъсири хеле ҷолиб ба даст меояд.
Истироҳат API
Ман мехоҳам ба чунин хидматҳои маъмул, ба монанди Rest API каме таваҷҷӯҳ кунам. Амнияти API Rest нисбат ба вебсайти муқаррарӣ хеле мушкилтар аст. Ҳатто усулҳои ночизи муҳофизат аз қувваи бераҳмонаи парол ва дигар фаъолиятҳои ғайриқонунӣ барои API Rest кор намекунанд.
Rest API-ро шикастан хеле осон аст, зеро он мустақиман ба пойгоҳи додаҳо дастрасӣ пайдо мекунад. Дар айни замон, нокомии чунин хидмат барои тиҷорат оқибатҳои хеле ҷиддӣ дорад. Гап дар он аст, ки Rest API одатан на танҳо барои вебсайти асосӣ, балки барои замимаи мобилӣ ва баъзе захираҳои дохилии тиҷорат низ истифода мешавад. Ва агар ҳамаи ин афтад, пас таъсир нисбат ба нокомии оддии вебсайт хеле қавитар аст.
Боркунии мундариҷаи вазнин
Агар ба мо пешниҳод карда шавад, ки ягон барномаи оддии яксаҳифа, саҳифаи кушода ё вебсайти корти тиҷорӣ, ки функсияҳои мураккаб надоранд, озмоиш кунем, мо мундариҷаи вазнинро ҷустуҷӯ мекунем. Масалан, тасвирҳои калоне, ки сервер мефиристад, файлҳои дуӣ, ҳуҷҷатҳои pdf - мо кӯшиш мекунем, ки ҳамаи инро зеркашӣ кунем. Чунин санҷишҳо системаи файлиро хуб бор мекунанд ва каналҳоро мебанданд ва аз ин рӯ самаранок мебошанд. Яъне, ҳатто агар шумо серверро нагузоред, файли калонро бо суръати паст зеркашӣ кунед, шумо танҳо канали сервери мавриди ҳадафро маҳкам мекунед ва он гоҳ радди хидмат ба амал меояд.
Намунаи чунин санҷиш нишон медиҳад, ки бо суръати 30 RPS сайт ҷавоб доданро қатъ кард ё хатогиҳои 500-уми серверро ба вуҷуд овард.
Дар бораи танзими серверҳо фаромӯш накунед. Шумо аксар вақт метавонед пайдо кунед, ки шахс як мошини виртуалӣ харидааст, дар он ҷо Apache насб кардааст, ҳама чизро ба таври нобаёнӣ танзим кардааст, барномаи PHP-ро насб кардааст ва дар зер шумо натиҷаро мебинед.
Дар ин ҷо сарборӣ ба реша рафт ва танҳо 10 RPS-ро ташкил дод. Мо 5 дақиқа интизор шудем ва сервер суқут кард. Дуруст аст, ки чаро афтид, комилан маълум нест, аммо тахмине ҳаст, ки ӯ танҳо хотираи аз ҳад зиёд дошт ва аз ин рӯ посух доданро бас кардааст.
Дар асоси мавҷ
Дар як ё ду соли охир ҳамлаҳои мавҷӣ хеле маъмул гаштанд. Ин ба он вобаста аст, ки бисёре аз созмонҳо қисмҳои муайяни сахтафзорро барои муҳофизати DDoS мехаранд, ки барои ҷамъоварии омор барои оғози филтр кардани ҳамла миқдори муайяни вақт лозим аст. Яъне онҳо дар 30-40 сонияи аввал ҳамларо филтр намекунанд, зеро онҳо маълумот ҷамъ мекунанд ва меомӯзанд. Мутаносибан, дар ин 30-40 сония шумо метавонед дар сайт он қадар кор кунед, ки то он даме, ки ҳама дархостҳо тоза карда шаванд, манба муддати тӯлонӣ хобида мемонад.
Дар ҳолати ҳамла дар поён, фосилаи 10 дақиқа вуҷуд дошт, ки пас аз он қисми нави тағирёфтаи ҳамла ворид шуд.
Яъне, дифоъ ёд гирифт, филтр карданро оғоз кард, аммо як қисми нави комилан дигар ҳамла омад ва дифоъ аз нав омӯхтанро оғоз кард. Дар асл, филтр кор карданро қатъ мекунад, муҳофизат бесамар мешавад ва сайт дастрас нест.
Ҳамлаҳои мавҷӣ бо арзишҳои хеле баланд дар авҷи худ тавсиф мешаванд, он метавонад дар як сония ба сад ҳазор ё миллион дархост дар ҳолати L7 расад. Агар мо дар бораи L3&4 сухан ронем, он гоҳ метавонад садҳо гигабит трафик ё мутаносибан садҳо mpps бошад, агар шумо дар пакетҳо ҳисоб кунед.
Мушкилоти чунин ҳамлаҳо ҳамоҳангсозӣ аст. Ҳамлаҳо аз ботнет бармеоянд ва дараҷаи баланди синхронизатсияро барои эҷоди як хӯшаи хеле калони якдафъаина талаб мекунанд. Ва ин ҳамоҳангӣ на ҳама вақт кор мекунад: баъзан натиҷа як навъ қуллаи параболӣ аст, ки хеле ғамгин менамояд.
На танҳо HTTP
Илова ба HTTP дар L7, мо мехоҳем, ки протоколҳои дигарро истифода барем. Чун қоида, вебсайти муқаррарӣ, махсусан хостинги муқаррарӣ, дорои протоколҳои почтаи электронӣ ва MySQL-ро мемонад. Протоколҳои почта нисбат ба пойгоҳи додаҳо камтар сарборӣ мекунанд, аммо онҳо инчунин метавонанд ба таври муассир бор карда шаванд ва дар сервер CPU аз ҳад зиёд пурбор шаванд.
Мо бо истифода аз осебпазирии SSH дар соли 2016 хеле муваффақ будем. Ҳоло ин осебпазирӣ қариб барои ҳама ислоҳ шудааст, аммо ин маънои онро надорад, ки сарборӣ ба SSH пешниҳод карда намешавад. Метавонед. Танҳо як бори бузурги иҷозатҳо вуҷуд дорад, SSH қариб тамоми CPU-ро дар сервер мехӯрад ва он гоҳ вебсайт аз як ё ду дархост дар як сония вайрон мешавад. Аз ин рӯ, ин як ё ду дархост дар асоси гузоришҳоро аз бори қонунӣ фарқ кардан мумкин нест.
Бисёре аз пайвастагиҳое, ки мо дар серверҳо мекушоем, низ мувофиқ боқӣ мемонанд. Пештар, Apache дар ин гунаҳкор буд, ҳоло nginx воқеан дар ин гунаҳкор аст, зеро он аксар вақт бо нобаёнӣ танзим карда мешавад. Миқдори пайвастҳое, ки nginx метавонад кушода нигоҳ дорад, маҳдуд аст, бинобар ин мо ин шумораи пайвастҳоро мекушоем, nginx дигар пайвасти навро қабул намекунад ва дар натиҷа сайт кор намекунад.
Кластери санҷишии мо дорои CPU-и кофӣ барои ҳамла ба дастфишори SSL мебошад. Аслан, тавре ки таҷриба нишон медиҳад, ботнетҳо баъзан ин корро кардан мехоҳанд. Аз як тараф, равшан аст, ки шумо бе SSL кор карда наметавонед, зеро Google натиҷаҳо, рейтинг, амният. Аз тарафи дигар, мутаассифона SSL мушкилоти CPU дорад.
L3 & 4
Вақте ки мо дар бораи ҳамла дар сатҳҳои L3 & 4 сӯҳбат мекунем, мо одатан дар бораи ҳамла дар сатҳи пайванд гап мезанем. Чунин сарборӣ қариб ҳамеша аз як қонунӣ фарқ мекунад, ба истиснои ҳолатҳое, ки он ҳамлаи SYN-обхезӣ набошад. Мушкилот бо ҳамлаҳои обхезии SYN барои асбобҳои амниятӣ ҳаҷми калони онҳост. Арзиши максималии L3&4 1,5-2 Tbit/s буд. Коркарди ин намуди трафик ҳатто барои ширкатҳои бузург, аз ҷумла Oracle ва Google хеле душвор аст.
SYN ва SYN-ACK бастаҳое мебошанд, ки ҳангоми барқарор кардани пайваст истифода мешаванд. Аз ин рӯ, SYN-обхезро аз бори қонунӣ фарқ кардан душвор аст: маълум нест, ки ин SYN аст, ки барои барқарор кардани пайвастшавӣ омадааст ё як қисми обхезӣ.
UDP - обхезӣ
Одатан, ҳамлагарон қобилиятҳое, ки мо дорем, надоранд, аз ин рӯ амплификацияро барои ташкили ҳамлаҳо истифода бурдан мумкин аст. Яъне, ҳамлакунанда интернетро скан мекунад ва серверҳои осебпазир ё нодуруст танзимшударо пайдо мекунад, ки масалан, дар посух ба як бастаи SYN бо се SYN-ACK ҷавоб медиҳанд. Бо тақаллуби суроғаи манбаъ аз суроғаи сервери мавриди ҳадаф, имкон дорад, ки қудратро бо як баста се маротиба зиёд кунед ва трафикро ба ҷабрдида равона кунед.
Мушкилоти амплификация дар он аст, ки онҳоро ошкор кардан душвор аст. Намунаҳои охирин парвандаи ҳассосонаи memcached осебпазирро дар бар мегиранд. Илова бар ин, ҳоло бисёр дастгоҳҳои IoT, камераҳои IP мавҷуданд, ки онҳо низ асосан бо нобаёнӣ танзим карда мешаванд ва ба таври нобаёнӣ онҳо нодуруст танзим карда мешаванд, аз ин рӯ ҳамлагарон аксар вақт тавассути чунин дастгоҳҳо ҳамла мекунанд.
SYN-обхезии душвор
SYN-обед шояд як намуди ҷолибтарин ҳамла аз нуқтаи назари таҳиякунанда аст. Мушкилот дар он аст, ки маъмурони система аксар вақт блоки IP-ро барои муҳофизат истифода мебаранд. Гузашта аз ин, бастани IP на танҳо ба маъмурони системае, ки бо истифода аз скриптҳо амал мекунанд, таъсир мерасонад, балки мутаассифона, баъзе системаҳои амниятӣ, ки бо пули зиёд харида мешаванд, таъсир мерасонад.
Ин усул метавонад ба фалокат табдил ёбад, зеро агар ҳамлагарон суроғаҳои IP-ро иваз кунанд, ширкат зершабакаи худро маҳкам мекунад. Вақте ки Firewall кластери худро маҳкам мекунад, баромади мутақобилаи беруна ноком мешавад ва манбаъ ноком мешавад.
Гузашта аз ин, бастани шабакаи худ душвор нест. Агар офиси муштарӣ шабакаи Wi-Fi дошта бошад ё кори захираҳо бо истифода аз системаҳои гуногуни мониторинг чен карда шавад, мо суроғаи IP-и ин системаи мониторинг ё Wi-Fi-и дафтари муштариро гирифта, онро ҳамчун манбаъ истифода мебарем. Дар ниҳоят, ба назар чунин мерасад, ки манбаъ дастрас аст, аммо суроғаҳои IP-и мақсаднок баста шудаанд. Ҳамин тариқ, шабакаи Wi-Fi конфронси HighLoad, ки дар он маҳсулоти нави ширкат муаррифӣ мешавад, метавонад баста шавад ва ин боиси хароҷоти муайяни тиҷоратӣ ва иқтисодӣ мегардад.
Ҳангоми санҷиш, мо наметавонем амплификацияро тавассути memcached бо ягон захираҳои беруна истифода барем, зеро созишномаҳо оид ба фиристодани трафик танҳо ба суроғаҳои IP иҷозатдодашуда мавҷуданд. Мувофиқи он, мо тақвиятро тавассути SYN ва SYN-ACK истифода мебарем, вақте ки система ба фиристодани як SYN бо ду ё се SYN-ACK ҷавоб медиҳад ва ҳангоми баромад ҳамла ду ё се маротиба зиёд мешавад.
Tools
Яке аз воситаҳои асосие, ки мо барои сарбории L7 истифода мебарем, Яндекс-танк мебошад. Аз ҷумла, фантом ҳамчун таппонча истифода мешавад, илова бар ин, якчанд скриптҳо барои тавлиди картриджҳо ва таҳлили натиҷаҳо мавҷуданд.
Tcpdump барои таҳлили трафики шабака истифода мешавад ва Nmap барои таҳлили сервер истифода мешавад. Барои эҷод кардани сарборӣ дар сатҳи L3&4, OpenSSL ва каме ҷодугарии мо бо китобхонаи DPDK истифода мешаванд. DPDK як китобхонаи Intel мебошад, ки ба шумо имкон медиҳад, ки бо интерфейси шабакавӣ аз стеки Linux кор кунед ва ба ин васила самаранокиро афзун кунед. Табиист, ки мо DPDK-ро на танҳо дар сатҳи L3&4, балки дар сатҳи L7 низ истифода мебарем, зеро он ба мо имкон медиҳад, ки ҷараёни сарбории хеле баландро дар доираи чанд миллион дархост дар як сония аз як мошин эҷод кунем.
Мо инчунин генераторҳои трафики муайян ва асбобҳои махсусеро истифода мебарем, ки барои санҷишҳои мушаххас менависем. Агар мо осебпазириро дар зери SSH ба ёд орем, пас маҷмӯи дар боло зикршударо истифода бурдан мумкин нест. Агар мо ба протоколи почта ҳамла кунем, мо утилитаҳои почтаро мегирем ё дар онҳо скрипт менависем.
натиҷаҳои
Дар хотима мехоҳам бигӯям:
- Илова ба озмоиши классикии сарборӣ, санҷиши стресс гузаронидан лозим аст. Мо як мисоли воқеиро дорем, ки зерпудратчии шарик танҳо санҷиши сарбориро анҷом додааст. Он нишон дод, ки ресурс ба бори мукаррарй тоб оварда метавонад. Аммо баъд бори ғайримуқаррарӣ пайдо шуд, меҳмонони сайт захираро каме дигар истифода бурданд ва дар натиҷа пудратчӣ хобид. Ҳамин тариқ, ҷустуҷӯи осебпазирӣ бамаврид аст, ҳатто агар шумо аллакай аз ҳамлаҳои DDoS муҳофизат карда бошед.
- Баъзе қисмҳои системаро аз дигарон ҷудо кардан лозим аст. Агар шумо ҷустуҷӯ дошта бошед, шумо бояд онро ба мошинҳои алоҳида интиқол диҳед, яъне на ҳатто ба Docker. Зеро, агар ҷустуҷӯ ё иҷозат наояд, ҳадди аққал чизе корашро идома медиҳад. Дар мавриди як мағозаи онлайн, корбарон минбаъд дар каталог маҳсулот пайдо мекунанд, аз агрегатор мегузаранд, агар онҳо аллакай ваколатдор бошанд, харидорӣ кунанд ё тавассути OAuth2 иҷозат диҳанд.
- Аз ҳама намуди хидматҳои абрӣ беэътиноӣ накунед.
- CDN-ро на танҳо барои оптимизатсияи таъхирҳои шабака истифода баред, балки ҳамчун воситаи муҳофизат аз ҳамлаҳо ба тамомшавии канал ва танҳо обхезӣ ба трафики статикӣ.
- Хизматхои махсуси мухофизатро истифода бурдан лозим аст. Шумо наметавонед худро аз ҳамлаҳои L3 ва 4 дар сатҳи канал муҳофизат кунед, зеро шумо эҳтимолан канали кофӣ надоред. Шумо инчунин гумон аст, ки бо ҳамлаҳои L7 мубориза баред, зеро онҳо метавонанд хеле калон бошанд. Илова бар ин, ҷустуҷӯи ҳамлаҳои хурд то ҳол салоҳияти хадамоти махсус, алгоритмҳои махсус аст.
- Мунтазам навсозӣ кунед. Ин на танҳо ба ядро, балки ба демони SSH низ дахл дорад, хусусан агар шумо онҳоро ба берун кушода дошта бошед. Аслан, ҳама чиз бояд нав карда шавад, зеро шумо гумон аст, ки шумо осебпазирии муайянро мустақилона пайгирӣ карда тавонед.
Манбаъ: will.com