Variti ndagba aabo lodi si awọn bot ati awọn ikọlu DDoS, ati tun ṣe aapọn ati idanwo fifuye. Ni apejọ HighLoad ++ 2018 a sọrọ nipa bii o ṣe le ni aabo awọn orisun lati awọn iru ikọlu pupọ. Ni kukuru: ya sọtọ awọn ẹya ara ẹrọ, lo awọn iṣẹ awọsanma ati CDN, ati imudojuiwọn nigbagbogbo. Ṣugbọn iwọ kii yoo ni anfani lati mu aabo laisi awọn ile-iṣẹ amọja :)
Ṣaaju ki o to ka ọrọ naa, o le ka awọn kukuru kukuru .
Ati pe ti o ko ba fẹ lati ka tabi o kan fẹ wo fidio naa, igbasilẹ ti ijabọ wa wa ni isalẹ labẹ apanirun.
Gbigbasilẹ fidio ti ijabọ naa
Ọpọlọpọ awọn ile-iṣẹ ti mọ tẹlẹ bi o ṣe le ṣe idanwo fifuye, ṣugbọn kii ṣe gbogbo wọn ṣe idanwo wahala. Diẹ ninu awọn onibara wa ro pe aaye wọn ko ni ipalara nitori pe wọn ni eto giga, ati pe o ṣe aabo daradara lati awọn ikọlu. A fihan pe eyi kii ṣe otitọ patapata.
Nitoribẹẹ, ṣaaju ṣiṣe awọn idanwo, a gba igbanilaaye lati ọdọ alabara, fowo si ati aami, ati pẹlu iranlọwọ wa kolu DDoS ko le ṣe lori ẹnikẹni. Idanwo ni a ṣe ni akoko ti alabara yan, nigbati ijabọ si orisun rẹ jẹ iwonba, ati awọn iṣoro iwọle kii yoo ni ipa lori awọn alabara. Ni afikun, niwọn igba ti ohunkan le jẹ aṣiṣe nigbagbogbo lakoko ilana idanwo, a ni olubasọrọ nigbagbogbo pẹlu alabara. Eyi gba ọ laaye kii ṣe lati jabo awọn abajade ti o ṣaṣeyọri, ṣugbọn tun lati yi nkan pada lakoko idanwo. Lẹhin ipari idanwo, a ma n ṣe ijabọ nigbagbogbo ninu eyiti a tọka si awọn ailagbara ti a rii ati fun awọn iṣeduro fun imukuro awọn ailagbara aaye naa.
Bawo ni a ṣe n ṣiṣẹ
Nigba idanwo, a farawe botnet kan. Niwọn igba ti a n ṣiṣẹ pẹlu awọn alabara ti ko wa lori awọn nẹtiwọọki wa, lati rii daju pe idanwo naa ko pari ni iṣẹju akọkọ nitori awọn opin tabi aabo ti nfa, a pese ẹru kii ṣe lati IP kan, ṣugbọn lati inu subnet ti ara wa. Pẹlupẹlu, lati ṣẹda ẹru pataki, a ni olupin idanwo ti o lagbara tiwa.
Postlates
Pupọ pupọ ko tumọ si dara
Awọn kere fifuye a le mu a oluşewadi to ikuna, awọn dara. Ti o ba le jẹ ki aaye naa da iṣẹ duro lori ibeere kan fun iṣẹju-aaya, tabi paapaa ibeere kan fun iṣẹju kan, iyẹn dara julọ. Nitoripe ni ibamu si ofin ti aitọ, awọn olumulo tabi awọn ikọlu yoo ṣubu lairotẹlẹ sinu ailagbara pataki yii.
Ikuna apa kan dara ju ikuna pipe lọ
A nigbagbogbo ni imọran ṣiṣe awọn ọna ṣiṣe orisirisi. Pẹlupẹlu, o tọ lati yapa wọn ni ipele ti ara, kii ṣe nipasẹ apoti nikan. Ninu ọran ti iyapa ti ara, paapaa ti nkan ba kuna lori aaye naa, iṣeeṣe giga kan wa pe kii yoo dawọ ṣiṣẹ patapata, ati pe awọn olumulo yoo tẹsiwaju lati ni iwọle si o kere ju apakan ti iṣẹ ṣiṣe naa.
Ti o dara faaji ni ipile fun agbero
Ifarada aṣiṣe ti orisun kan ati agbara rẹ lati koju awọn ikọlu ati awọn ẹru yẹ ki o gbe kalẹ ni ipele apẹrẹ, ni otitọ, ni ipele ti yiya awọn aworan ṣiṣan akọkọ ninu iwe ajako kan. Nitoripe ti awọn aṣiṣe apaniyan ba wọ inu, o ṣee ṣe lati ṣe atunṣe wọn ni ọjọ iwaju, ṣugbọn o nira pupọ.
Ko nikan koodu yẹ ki o dara, sugbon tun konfigi
Ọpọlọpọ eniyan ro pe ẹgbẹ idagbasoke to dara jẹ iṣeduro ti iṣẹ ifarada-aṣiṣe. Ẹgbẹ idagbasoke ti o dara jẹ pataki gaan, ṣugbọn awọn iṣẹ ṣiṣe ti o dara gbọdọ tun wa, DevOps ti o dara. Iyẹn ni, a nilo awọn alamọja ti yoo tunto Linux ni deede ati nẹtiwọọki, kọ awọn atunto ni deede ni nginx, ṣeto awọn opin, ati bẹbẹ lọ. Bibẹẹkọ, awọn orisun yoo ṣiṣẹ daradara ni idanwo nikan, ati ni aaye kan ohun gbogbo yoo fọ ni iṣelọpọ.
Awọn iyatọ laarin fifuye ati idanwo wahala
Idanwo fifuye gba ọ laaye lati ṣe idanimọ awọn opin ti iṣẹ ṣiṣe eto. Idanwo wahala ni ifọkansi lati wa awọn ailagbara ninu eto kan ati pe o lo lati fọ eto yii ki o wo bii yoo ṣe huwa ninu ilana ikuna ti awọn apakan kan. Ni ọran yii, iru ẹru nigbagbogbo jẹ aimọ si alabara ṣaaju idanwo wahala bẹrẹ.
Iyatọ awọn ẹya ara ẹrọ ti L7 ku
Nigbagbogbo a pin awọn iru fifuye sinu awọn ẹru ni awọn ipele L7 ati L3&4. L7 jẹ fifuye ni ipele ohun elo, nigbagbogbo o tumọ si HTTP nikan, ṣugbọn a tumọ si eyikeyi fifuye ni ipele ilana TCP.
Awọn ikọlu L7 ni awọn ẹya pataki kan. Ni akọkọ, wọn wa taara si ohun elo naa, iyẹn ni, ko ṣeeṣe pe wọn yoo ṣe afihan nipasẹ awọn ọna nẹtiwọọki. Iru awọn ikọlu naa lo ọgbọn, ati nitori eyi, wọn jẹ Sipiyu, iranti, disk, data data ati awọn orisun miiran daradara ati pẹlu ijabọ kekere.
HTTP Ìkún
Ninu ọran ti ikọlu eyikeyi, fifuye naa rọrun lati ṣẹda ju lati mu, ati ninu ọran L7 eyi tun jẹ otitọ. Ko rọrun nigbagbogbo lati ṣe iyatọ awọn ijabọ ikọlu lati ijabọ abẹlẹ, ati ni igbagbogbo eyi le ṣee ṣe nipasẹ igbohunsafẹfẹ, ṣugbọn ti ohun gbogbo ba gbero ni deede, lẹhinna ko ṣee ṣe lati ni oye lati awọn akọọlẹ nibiti ikọlu naa wa ati ibiti awọn ibeere ẹtọ wa.
Gẹgẹbi apẹẹrẹ akọkọ, ronu ikọlu Ikun omi HTTP kan. Aya naa fihan pe iru awọn ikọlu nigbagbogbo lagbara pupọ; ninu apẹẹrẹ ni isalẹ, nọmba ti o ga julọ ti awọn ibeere ti kọja 600 ẹgbẹrun fun iṣẹju kan.
Ikun omi HTTP jẹ ọna ti o rọrun julọ lati ṣẹda ẹru. Ni deede, o gba diẹ ninu iru ohun elo idanwo fifuye, gẹgẹbi ApacheBench, ati ṣeto ibeere kan ati ibi-afẹde kan. Pẹlu iru ọna ti o rọrun, iṣeeṣe giga wa ti ṣiṣe sinu caching olupin, ṣugbọn o rọrun lati fori rẹ. Fun apẹẹrẹ, fifi awọn okun laileto kun ibeere naa, eyiti yoo fi ipa mu olupin naa lati sin oju-iwe tuntun nigbagbogbo.
Paapaa, maṣe gbagbe nipa aṣoju olumulo ni ilana ṣiṣẹda fifuye kan. Ọpọlọpọ awọn aṣoju-olumulo ti awọn irinṣẹ idanwo olokiki ni a ṣe filtered nipasẹ awọn alabojuto eto, ati ninu ọran yii ẹru le jiroro ko de opin ẹhin. O le mu abajade pọ si ni pataki nipa fifi akọle to wulo diẹ sii tabi kere si lati ẹrọ aṣawakiri sinu ibeere naa.
Bii o rọrun bi awọn ikọlu Ikun omi HTTP jẹ, wọn tun ni awọn ailagbara wọn. Ni akọkọ, agbara nla ni a nilo lati ṣẹda ẹru naa. Ni ẹẹkeji, iru awọn ikọlu jẹ rọrun pupọ lati rii, paapaa ti wọn ba wa lati adirẹsi kan. Bi abajade, awọn ibeere lẹsẹkẹsẹ bẹrẹ lati ṣe filtered boya nipasẹ awọn alabojuto eto tabi paapaa ni ipele olupese.
Kini lati wa
Lati dinku nọmba awọn ibeere fun iṣẹju-aaya laisi sisọnu ṣiṣe, o nilo lati fi oju inu kekere han ati ṣawari aaye naa. Nitorinaa, o le fifuye kii ṣe ikanni tabi olupin nikan, ṣugbọn awọn ẹya ara ẹni kọọkan ti ohun elo, fun apẹẹrẹ, awọn apoti isura infomesonu tabi awọn ọna ṣiṣe faili. O tun le wa awọn aaye lori aaye ti o ṣe awọn iṣiro nla: awọn iṣiro, awọn oju-iwe yiyan ọja, ati bẹbẹ lọ. Nikẹhin, o maa n ṣẹlẹ pe aaye naa ni diẹ ninu iru iwe afọwọkọ PHP ti o ṣe agbejade oju-iwe ti ọpọlọpọ awọn laini ọgọrun ẹgbẹrun. Iru iwe afọwọkọ kan tun ṣe ẹru olupin naa ni pataki ati pe o le di ibi-afẹde fun ikọlu kan.
Nibo ni lati wo
Nigba ti a ba ṣayẹwo orisun kan ṣaaju idanwo, a kọkọ wo, dajudaju, ni aaye funrararẹ. A n wa gbogbo iru awọn aaye titẹ sii, awọn faili ti o wuwo - ni gbogbogbo, ohun gbogbo ti o le ṣẹda awọn iṣoro fun orisun ati fa fifalẹ iṣẹ rẹ. Awọn irinṣẹ idagbasoke Banal ni Google Chrome ati Firefox ṣe iranlọwọ nibi, ti n ṣafihan awọn akoko idahun oju-iwe.
A tun ṣayẹwo awọn subdomains. Fun apẹẹrẹ, ile itaja ori ayelujara kan wa, abc.com, ati pe o ni abojuto subdomain.abc.com. O ṣeese julọ, eyi jẹ igbimọ abojuto pẹlu aṣẹ, ṣugbọn ti o ba fi ẹru sori rẹ, o le ṣẹda awọn iṣoro fun orisun akọkọ.
Aaye naa le ni subdomain api.abc.com. O ṣeese julọ, eyi jẹ orisun fun awọn ohun elo alagbeka. Ohun elo naa le rii ni Ile itaja App tabi Google Play, fi aaye iwọle pataki kan sori ẹrọ, pin API ati forukọsilẹ awọn akọọlẹ idanwo. Iṣoro naa ni pe awọn eniyan nigbagbogbo ro pe ohunkohun ti o ni aabo nipasẹ aṣẹ ni ajesara si kiko awọn ikọlu iṣẹ. Ti a ro pe, aṣẹ jẹ CAPTCHA ti o dara julọ, ṣugbọn kii ṣe. O rọrun lati ṣe awọn iroyin idanwo 10-20, ṣugbọn nipa ṣiṣẹda wọn, a ni iraye si iṣẹ ṣiṣe eka ati airotẹlẹ.
Nipa ti ara, a wo itan-akọọlẹ, ni robots.txt ati WebArchive, ViewDNS, ati wa awọn ẹya atijọ ti orisun naa. Nigba miiran o ṣẹlẹ pe awọn olupilẹṣẹ ti yiyi jade, sọ, mail2.yandex.net, ṣugbọn ẹya atijọ, mail.yandex.net, wa. A ko ṣe atilẹyin mail.yandex.net yii mọ, awọn orisun idagbasoke ko pin si rẹ, ṣugbọn o tẹsiwaju lati jẹ data data naa. Nitorinaa, lilo ẹya atijọ, o le ni imunadoko lo awọn orisun ti ẹhin ati ohun gbogbo ti o wa lẹhin ipilẹ naa. Nitoribẹẹ, eyi kii ṣe nigbagbogbo, ṣugbọn a tun pade eyi ni igbagbogbo.
Nipa ti ara, a ṣe itupalẹ gbogbo awọn aye ibeere ati eto kuki. O le, sọ, sọ iye diẹ silẹ sinu apẹrẹ JSON inu kuki kan, ṣẹda itẹ-ẹiyẹ pupọ ki o jẹ ki orisun naa ṣiṣẹ fun igba pipẹ ti ko ni ironu.
Wa fifuye
Ohun akọkọ ti o wa si ọkan nigbati o n ṣe iwadii aaye kan ni lati ṣajọpọ data data, nitori pe gbogbo eniyan ni wiwa, ati fun gbogbo eniyan, laanu, o ni aabo ti ko dara. Fun idi kan, awọn olupilẹṣẹ ko san akiyesi to si wiwa. Ṣugbọn iṣeduro kan wa nibi - o ko yẹ ki o ṣe awọn ibeere ti iru kanna, nitori o le ba pade caching, gẹgẹ bi ọran pẹlu iṣan omi HTTP.
Ṣiṣe awọn ibeere laileto si aaye data ko tun munadoko nigbagbogbo. O dara pupọ lati ṣẹda atokọ ti awọn koko-ọrọ ti o ṣe pataki si wiwa. Ti a ba pada si apẹẹrẹ ti ile itaja ori ayelujara: jẹ ki a sọ pe aaye naa n ta awọn taya ọkọ ayọkẹlẹ ati pe o fun ọ laaye lati ṣeto radius ti awọn taya, iru ọkọ ayọkẹlẹ ati awọn paramita miiran. Nitorinaa, awọn akojọpọ ti awọn ọrọ ti o yẹ yoo fi ipa mu data lati ṣiṣẹ ni awọn ipo eka pupọ diẹ sii.
Ni afikun, o tọ lati lo pagination: o nira pupọ fun wiwa kan lati da oju-iwe penultimate ti awọn abajade wiwa pada ju ti akọkọ lọ. Iyẹn ni, pẹlu iranlọwọ ti pagination o le ṣe iyatọ diẹ ninu fifuye naa.
Apẹẹrẹ ti o wa ni isalẹ fihan fifuye wiwa. O le rii pe lati iṣẹju keji akọkọ ti idanwo ni iyara ti awọn ibeere mẹwa fun iṣẹju kan, aaye naa lọ silẹ ko dahun.
Ti ko ba si wiwa?
Ti ko ba si wiwa, eyi ko tumọ si pe aaye naa ko ni awọn aaye titẹ sii ipalara miiran ninu. Aaye yii le jẹ aṣẹ. Ni ode oni, awọn olupilẹṣẹ fẹran lati ṣe awọn hashes eka lati daabobo ibi ipamọ data iwọle lati ikọlu tabili Rainbow kan. Eyi dara, ṣugbọn iru awọn hashes n gba ọpọlọpọ awọn orisun Sipiyu. Ṣiṣan nla ti awọn iwe-aṣẹ eke nyorisi ikuna ero isise, ati bi abajade, aaye naa duro ṣiṣẹ.
Wiwa lori aaye ti gbogbo iru awọn fọọmu fun awọn asọye ati awọn esi jẹ idi kan lati firanṣẹ awọn ọrọ ti o tobi pupọ sibẹ tabi nirọrun ṣẹda iṣan omi nla kan. Nigba miiran awọn aaye gba awọn faili ti a somọ, pẹlu ni ọna kika gzip. Ni idi eyi, a mu faili 1TB kan, rọpọ si ọpọlọpọ awọn baiti tabi kilobytes nipa lilo gzip ati firanṣẹ si aaye naa. Lẹhinna o jẹ ṣiṣi silẹ ati pe o gba ipa ti o nifẹ pupọ.
Isimi API
Emi yoo fẹ lati san ifojusi diẹ si iru awọn iṣẹ olokiki bi API Isinmi. Ṣiṣe aabo API Isinmi kan nira pupọ ju oju opo wẹẹbu deede lọ. Paapaa awọn ọna bintin ti aabo lodi si agbara iro ọrọ igbaniwọle ati iṣẹ ṣiṣe aitọ miiran ko ṣiṣẹ fun API Isinmi.
API isinmi jẹ rọrun pupọ lati fọ nitori o wọle si ibi ipamọ data taara. Ni akoko kanna, ikuna ti iru iṣẹ kan ni awọn abajade to ṣe pataki fun iṣowo. Otitọ ni pe API Isinmi nigbagbogbo lo kii ṣe fun oju opo wẹẹbu akọkọ nikan, ṣugbọn fun ohun elo alagbeka ati diẹ ninu awọn orisun iṣowo inu. Ati pe ti gbogbo eyi ba ṣubu, lẹhinna ipa naa lagbara pupọ ju ninu ọran ti ikuna oju opo wẹẹbu ti o rọrun.
Ikojọpọ eru akoonu
Ti a ba funni lati ṣe idanwo diẹ ninu awọn ohun elo oju-iwe kan lasan, oju-iwe ibalẹ, tabi oju opo wẹẹbu kaadi iṣowo ti ko ni iṣẹ ṣiṣe ti o nipọn, a wa akoonu ti o wuwo. Fun apẹẹrẹ, awọn aworan nla ti olupin firanṣẹ, awọn faili alakomeji, iwe pdf - a gbiyanju lati ṣe igbasilẹ gbogbo eyi. Iru awọn idanwo bẹ gbe eto faili naa daradara ati di awọn ikanni, ati nitorinaa munadoko. Iyẹn ni, paapaa ti o ko ba fi olupin naa silẹ, gbigba faili nla kan ni awọn iyara kekere, iwọ yoo nirọrun di ikanni ti olupin ibi-afẹde lẹhinna kiko iṣẹ yoo waye.
Apeere ti iru idanwo kan fihan pe ni iyara ti 30 RPS aaye naa duro lati dahun tabi ṣe agbejade awọn aṣiṣe olupin 500th.
Maṣe gbagbe nipa eto awọn olupin. Nigbagbogbo o le rii pe eniyan ra ẹrọ foju kan, fi Apache sori ẹrọ nibẹ, tunto ohun gbogbo nipasẹ aiyipada, fi ohun elo PHP sori ẹrọ, ati ni isalẹ o le rii abajade.
Nibi fifuye naa lọ si gbongbo ati pe o jẹ 10 RPS nikan. A duro 5 iṣẹju ati awọn olupin ti kọlu. Otitọ ni pe a ko mọ idi ti o fi ṣubu patapata, ṣugbọn arosinu wa pe o rọrun ni iranti pupọ ati nitorinaa dawọ dahun.
orisun igbi
Ni ọdun to kọja tabi meji, awọn ikọlu igbi ti di olokiki pupọ. Eyi jẹ nitori otitọ pe ọpọlọpọ awọn ajo ra awọn ege ohun elo kan fun aabo DDoS, eyiti o nilo iye akoko kan lati ṣajọ awọn iṣiro lati bẹrẹ sisẹ ikọlu naa. Iyẹn ni, wọn ko ṣe àlẹmọ ikọlu ni awọn aaya 30-40 akọkọ, nitori wọn ṣajọ data ati kọ ẹkọ. Nitorinaa, ni awọn aaya 30-40 wọnyi o le ṣe ifilọlẹ pupọ lori aaye naa pe orisun naa yoo dubulẹ fun igba pipẹ titi gbogbo awọn ibeere yoo fi di mimọ.
Ninu ọran ikọlu ti o wa ni isalẹ, aarin iṣẹju 10 wa, lẹhinna apakan tuntun, ti a tunṣe ti ikọlu de.
Iyẹn ni, olugbeja kọ ẹkọ, bẹrẹ sisẹ, ṣugbọn apakan tuntun, ti o yatọ patapata ti ikọlu de, ati olugbeja bẹrẹ ikẹkọ lẹẹkansi. Ni otitọ, sisẹ duro ṣiṣẹ, aabo di asan, ati pe aaye ko si.
Awọn ikọlu igbi jẹ ijuwe nipasẹ awọn iye giga pupọ ni tente oke, o le de ọdọ ẹgbẹrun tabi awọn ibeere miliọnu kan fun iṣẹju kan, ni ọran ti L7. Ti a ba sọrọ nipa L3 & 4, lẹhinna awọn ọgọọgọrun gigabits ti ijabọ le wa, tabi, gẹgẹbi, awọn ọgọọgọrun mpps, ti o ba ka ninu awọn apo-iwe.
Iṣoro pẹlu iru awọn ikọlu jẹ mimuuṣiṣẹpọ. Awọn ikọlu naa wa lati botnet kan ati pe o nilo iwọn giga ti amuṣiṣẹpọ lati ṣẹda iwasoke akoko kan ti o tobi pupọ. Ati pe isọdọkan yii ko ṣiṣẹ nigbagbogbo: nigbakan abajade jẹ diẹ ninu iru tente oke parabolic, eyiti o dabi kuku alaanu.
Kii ṣe HTTP nikan
Ni afikun si HTTP ni L7, a fẹ lati lo nilokulo awọn ilana miiran. Gẹgẹbi ofin, oju opo wẹẹbu deede, paapaa alejo gbigba deede, ni awọn ilana meeli ati MySQL ti o duro jade. Awọn Ilana meeli jẹ koko-ọrọ si ẹru ti o kere ju awọn apoti isura infomesonu, ṣugbọn wọn tun le ṣe kojọpọ daradara ati pari pẹlu Sipiyu ti o pọju lori olupin naa.
A ṣe aṣeyọri pupọ ni lilo ailagbara SSH 2016. Bayi ailagbara yii ti wa titi fun gbogbo eniyan, ṣugbọn eyi ko tumọ si pe fifuye ko le fi silẹ si SSH. Le. Ẹru nla ti awọn aṣẹ ni irọrun wa, SSH njẹ gbogbo Sipiyu lori olupin naa, lẹhinna oju opo wẹẹbu ṣubu lati ọkan tabi meji awọn ibeere fun iṣẹju-aaya. Nitorinaa, awọn ibeere ọkan tabi meji wọnyi ti o da lori awọn akọọlẹ ko le ṣe iyatọ si ẹru ẹtọ.
Ọpọlọpọ awọn asopọ ti a ṣii ni awọn olupin tun wa ni ibamu. Ni iṣaaju, Apache jẹbi eyi, ni bayi nginx jiya lati eyi, niwọn igba ti o ti tunto nigbagbogbo nipasẹ aiyipada. Nọmba awọn asopọ ti nginx le ṣii ni opin, nitorinaa a ṣii nọmba awọn asopọ yii, nginx ko gba asopọ tuntun mọ, ati nitori abajade aaye naa ko ṣiṣẹ.
iṣupọ idanwo wa ni Sipiyu ti o to lati kọlu ọwọ ọwọ SSL. Ni opo, bi iṣe ṣe fihan, awọn botnets nigbakan fẹran lati ṣe eyi paapaa. Ni apa kan, o han gbangba pe o ko le ṣe laisi SSL, nitori awọn abajade Google, ipo, aabo. Ni apa keji, SSL laanu ni ọrọ Sipiyu kan.
L3&4
Nigba ti a ba sọrọ nipa ikọlu ni awọn ipele L3 & 4, a maa n sọrọ nipa ikọlu ni ipele ọna asopọ. Iru ẹru bẹẹ fẹrẹẹ jẹ iyatọ nigbagbogbo lati ti ẹtọ, ayafi ti o jẹ ikọlu iṣan omi SYN. Iṣoro pẹlu awọn ikọlu iṣan omi SYN fun awọn irinṣẹ aabo jẹ iwọn nla wọn. Iwọn L3&4 ti o pọju jẹ 1,5-2 Tbit/s. Iru ijabọ yii nira pupọ lati ṣe ilana paapaa fun awọn ile-iṣẹ nla, pẹlu Oracle ati Google.
SYN ati SYN-ACK jẹ awọn apo-iwe ti o lo nigbati o ba ṣeto asopọ kan. Nitorina, SYN-ikun omi jẹ soro lati ṣe iyatọ si ẹru ti o tọ: ko ṣe kedere boya eyi jẹ SYN ti o wa lati fi idi asopọ kan mulẹ, tabi apakan ti iṣan omi.
UDP-ikún omi
Ni deede, awọn ikọlu ko ni awọn agbara ti a ni, nitorinaa a le lo imudara lati ṣeto awọn ikọlu. Iyẹn ni, ikọlu naa ṣawari Intanẹẹti ati rii boya ipalara tabi awọn olupin ti ko tọ si ti, fun apẹẹrẹ, ni idahun si apo-iwe SYN kan, dahun pẹlu SYN-ACKs mẹta. Nipa sisọ adiresi orisun lati adirẹsi ti olupin ibi-afẹde, o ṣee ṣe lati mu agbara pọ si nipasẹ, sọ, ni igba mẹta pẹlu apo-iwe kan ati ki o darí ijabọ si olufaragba naa.
Iṣoro pẹlu awọn ampilifaya ni pe wọn nira lati rii. Awọn apẹẹrẹ aipẹ pẹlu ọran ifarakanra ti memcached ti o ni ipalara. Pẹlupẹlu, ni bayi ọpọlọpọ awọn ẹrọ IoT wa, awọn kamẹra IP, eyiti o tun tunto pupọ julọ nipasẹ aiyipada, ati nipasẹ aiyipada wọn tunto ni aṣiṣe, eyiti o jẹ idi ti awọn ikọlu nigbagbogbo ṣe ikọlu nipasẹ iru awọn ẹrọ.
Soro SYN-ikún omi
SYN-ikun omi jẹ jasi julọ awon iru ti kolu lati kan Olùgbéejáde ká ojuami ti wo. Iṣoro naa ni pe awọn alabojuto eto nigbagbogbo lo idinamọ IP fun aabo. Pẹlupẹlu, idinamọ IP kii ṣe awọn alakoso eto nikan ti o ṣiṣẹ nipa lilo awọn iwe afọwọkọ, ṣugbọn tun, laanu, diẹ ninu awọn eto aabo ti o ra fun owo pupọ.
Ọna yii le yipada si ajalu, nitori ti awọn olupako ba rọpo awọn adirẹsi IP, ile-iṣẹ yoo dina subnet tirẹ. Nigbati ogiriina naa ba di iṣupọ tirẹ, iṣẹjade yoo kuna awọn ibaraẹnisọrọ ita ati orisun yoo kuna.
Pẹlupẹlu, ko nira lati dènà nẹtiwọki tirẹ. Ti ọfiisi alabara ba ni nẹtiwọọki Wi-Fi kan, tabi ti iṣẹ ṣiṣe ti awọn orisun ba ni iwọn lilo awọn eto ibojuwo pupọ, lẹhinna a mu adiresi IP ti eto ibojuwo yii tabi ọfiisi alabara Wi-Fi ati lo bi orisun kan. Ni ipari, awọn oluşewadi dabi pe o wa, ṣugbọn awọn adiresi IP ibi-afẹde ti dina. Nitorinaa, nẹtiwọọki Wi-Fi ti apejọ HighLoad, nibiti a ti ṣafihan ọja tuntun ti ile-iṣẹ, le dina, ati pe eyi ni awọn iṣowo ati awọn idiyele eto-ọrọ kan.
Lakoko idanwo, a ko le lo imudara nipasẹ memcached pẹlu eyikeyi awọn orisun ita, nitori awọn adehun wa lati firanṣẹ ijabọ nikan si awọn adirẹsi IP ti o gba laaye. Gegebi bi, a lo ampilifaya nipasẹ SYN ati SYN-ACK, nigbati awọn eto idahun si a firanṣẹ SYN kan pẹlu meji tabi mẹta SYN-ACKs, ati ni awọn ti o wu kolu ti wa ni isodipupo nipasẹ meji tabi mẹta igba.
Awọn irin-iṣẹ
Ọkan ninu awọn irinṣẹ akọkọ ti a lo fun iṣẹ ṣiṣe L7 jẹ Yandex-tank. Ni pataki, a lo Phantom bi ibon, pẹlu ọpọlọpọ awọn iwe afọwọkọ fun ṣiṣẹda awọn katiriji ati fun itupalẹ awọn abajade.
Tcpdump ni a lo lati ṣe itupalẹ ijabọ nẹtiwọọki, ati Nmap ni a lo lati ṣe itupalẹ olupin naa. Lati ṣẹda ẹru ni ipele L3&4, ṢiiSSL ati idan diẹ ti ara wa pẹlu ile-ikawe DPDK ni a lo. DPDK jẹ ile-ikawe lati Intel ti o fun ọ laaye lati ṣiṣẹ pẹlu wiwo nẹtiwọọki ti o kọja akopọ Linux, nitorinaa jijẹ ṣiṣe. Nipa ti, a lo DPDK kii ṣe ni ipele L3 & 4 nikan, ṣugbọn tun ni ipele L7, nitori pe o gba wa laaye lati ṣẹda ṣiṣan fifuye ti o ga julọ, laarin awọn ibiti o ti wa ni ọpọlọpọ awọn miliọnu awọn ibeere fun keji lati ẹrọ kan.
A tun lo awọn olupilẹṣẹ ijabọ ati awọn irinṣẹ pataki ti a kọ fun awọn idanwo kan pato. Ti a ba ranti ailagbara labẹ SSH, lẹhinna eto ti o wa loke ko le lo nilokulo. Ti a ba kọlu ilana mail, a gba awọn ohun elo meeli tabi nirọrun kọ awọn iwe afọwọkọ sori wọn.
awari
Bi ipari Emi yoo fẹ lati sọ:
- Ni afikun si idanwo fifuye Ayebaye, o jẹ dandan lati ṣe idanwo wahala. A ni a gidi apẹẹrẹ ibi ti a alabaṣepọ ká subcontractor nikan ṣe fifuye igbeyewo. O fihan pe awọn oluşewadi le ṣe idiwọ fifuye deede. Ṣugbọn lẹhinna ẹru ajeji kan han, awọn alejo aaye bẹrẹ lati lo awọn orisun ni iyatọ diẹ, ati nitori abajade alabaṣepọ naa dubulẹ. Nitorinaa, o tọ lati wa awọn ailagbara paapaa ti o ba ni aabo tẹlẹ lati awọn ikọlu DDoS.
- O jẹ dandan lati ya sọtọ diẹ ninu awọn ẹya ti eto lati awọn miiran. Ti o ba ni wiwa kan, o nilo lati gbe lọ si awọn ẹrọ lọtọ, iyẹn ni, paapaa kii ṣe si Docker. Nitori ti wiwa tabi aṣẹ ba kuna, o kere ju ohunkan yoo tẹsiwaju lati ṣiṣẹ. Ninu ọran ti ile itaja ori ayelujara, awọn olumulo yoo tẹsiwaju lati wa awọn ọja ninu katalogi, lọ lati ọdọ alaropo, ra ti wọn ba ti fun ni aṣẹ tẹlẹ, tabi fun laṣẹ nipasẹ OAuth2.
- Maṣe gbagbe gbogbo iru awọn iṣẹ awọsanma.
- Lo CDN kii ṣe lati mu awọn idaduro nẹtiwọọki pọ si, ṣugbọn tun bi ọna aabo lodi si awọn ikọlu lori ailagbara ikanni ati nirọrun iṣan omi sinu ijabọ aimi.
- O jẹ dandan lati lo awọn iṣẹ aabo pataki. O ko le daabobo ararẹ lọwọ awọn ikọlu L3&4 ni ipele ikanni, nitori o ṣee ṣe pupọ julọ ko ni ikanni to to. Ti o ba wa tun išẹlẹ ti lati ja si pa L7 ku, niwon ti won le jẹ gidigidi tobi. Pẹlupẹlu, wiwa fun awọn ikọlu kekere tun jẹ ẹtọ ti awọn iṣẹ pataki, awọn algoridimu pataki.
- Ṣe imudojuiwọn nigbagbogbo. Eyi kii ṣe ekuro nikan, ṣugbọn tun si SSH daemon, paapaa ti o ba ni ṣiṣi si ita. Ni ipilẹ, ohun gbogbo nilo lati ni imudojuiwọn, nitori o ko ṣeeṣe lati ni anfani lati tọpa awọn ailagbara kan funrararẹ.
orisun: www.habr.com