Ni akoko ati akoko lẹẹkansi, lẹhin ṣiṣe iṣayẹwo, ni idahun si awọn iṣeduro mi lati tọju awọn ebute oko oju omi lẹhin atokọ funfun kan, Mo pade pẹlu odi ti aiyede. Paapaa awọn alabojuto ti o dara pupọ / DevOps beere: “Kilode?!?”
Mo daba lati gbero awọn ewu ni ilana sisọkalẹ ti o ṣeeṣe ti iṣẹlẹ ati ibajẹ.
- Aṣiṣe iṣeto ni
- DDoS lori IP
- Agbara ẹlẹgẹ
- Awọn ailagbara iṣẹ
- Ekuro akopọ vulnerabilities
- Alekun awọn ikọlu DDoS
Aṣiṣe iṣeto ni
Awọn julọ aṣoju ati ki o lewu ipo. Bawo ni o ṣe ṣẹlẹ. Olùgbéejáde nilo lati ṣe idanwo igbero naa ni kiakia; o ṣeto olupin igba diẹ pẹlu mysql/redis/mongodb/elastic. Ọrọigbaniwọle, dajudaju, jẹ eka, o lo nibi gbogbo. O ṣii iṣẹ naa si agbaye - o rọrun fun u lati sopọ lati PC rẹ laisi awọn VPN wọnyi ti tirẹ. Ati pe Mo jẹ ọlẹ pupọ lati ranti sintasi iptables; olupin naa jẹ igba diẹ lonakona. Awọn ọjọ meji diẹ sii ti idagbasoke - o wa ni nla, a le fi han si alabara. Onibara fẹran rẹ, ko si akoko lati tun ṣe, a ṣe ifilọlẹ sinu PROD!
Apeere ti a mọọmọ ṣe abumọ ni lati le lọ nipasẹ gbogbo rake:
- Ko si ohun ti o yẹ ju igba diẹ lọ - Emi ko fẹran gbolohun yii, ṣugbọn ni ibamu si awọn ikunsinu ti ara ẹni, 20-40% ti iru awọn olupin igba diẹ wa fun igba pipẹ.
- Ọrọigbaniwọle eka ti gbogbo agbaye ti o lo ni ọpọlọpọ awọn iṣẹ jẹ ibi. Nitoripe ọkan ninu awọn iṣẹ nibiti a ti lo ọrọ igbaniwọle yii le ti ti gepa. Ni ọna kan tabi omiiran, awọn apoti isura infomesonu ti awọn iṣẹ ti a gepa wọ inu ọkan, eyiti a lo fun [agbara brute]*.
O tọ lati ṣafikun pe lẹhin fifi sori ẹrọ, redis, mongodb ati rirọ wa ni gbogbogbo laisi ìfàṣẹsí, ati pe wọn tun kun nigbagbogbo. . - O le dabi pe ko si ẹnikan ti yoo ṣayẹwo ibudo 3306 rẹ ni awọn ọjọ meji kan. Ironu ni! Masscan jẹ ọlọjẹ ti o tayọ ati pe o le ṣe ọlọjẹ ni awọn ebute oko oju omi 10M fun iṣẹju kan. Ati pe 4 bilionu IPv4 nikan wa lori Intanẹẹti. Nitorinaa, gbogbo awọn ebute oko oju omi 3306 lori Intanẹẹti wa ni iṣẹju 7. Charles!!! Iṣẹju meje!
"Ta ni o nilo eyi?" - o tako. Nitorinaa ẹnu yà mi nigbati Mo wo awọn iṣiro ti awọn idii ti o lọ silẹ. Nibo ni awọn igbiyanju ọlọjẹ 40 ẹgbẹrun lati 3 ẹgbẹrun alailẹgbẹ IP wa lati ọjọ kan? Bayi gbogbo eniyan n ṣawari, lati awọn olosa iya si awọn ijọba. O rọrun pupọ lati ṣayẹwo - mu eyikeyi VPS fun $ 3-5 lati eyikeyi ọkọ ofurufu ti o ni idiyele kekere, jẹ ki gedu ti awọn idii silẹ ki o wo akọọlẹ ni ọjọ kan.
Gbigbasilẹ wọle
Ni /etc/iptables/rules.v4 fi kun ni ipari:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4
Ati ni /etc/rsyslog.d/10-iptables.conf
:msg, ni,"[FW -" /var/log/iptables.log
& Duro
DDoS lori IP
Ti ikọlu ba mọ IP rẹ, o le ji olupin rẹ fun awọn wakati pupọ tabi awọn ọjọ. Kii ṣe gbogbo awọn olupese alejo gbigba iye owo kekere ni aabo DDoS ati pe olupin rẹ yoo kan ge asopọ lati nẹtiwọọki. Ti o ba fi olupin rẹ pamọ lẹhin CDN kan, maṣe gbagbe lati yi IP pada, bibẹẹkọ agbonaeburuwole yoo google rẹ ati DDoS olupin rẹ ti o kọja CDN (aṣiṣe ti o gbajumo julọ).
Awọn ailagbara iṣẹ
Gbogbo sọfitiwia olokiki laipẹ tabi ya rii awọn aṣiṣe, paapaa idanwo julọ ati awọn ti o ṣe pataki. Lara awọn alamọja IB, awada idaji kan wa - aabo ti awọn amayederun le ṣe ayẹwo lailewu nipasẹ akoko imudojuiwọn to kẹhin. Ti awọn amayederun rẹ ba jẹ ọlọrọ ni awọn ebute oko oju omi ti o duro si agbaye, ati pe o ko ṣe imudojuiwọn rẹ fun ọdun kan, lẹhinna eyikeyi alamọja aabo yoo sọ fun ọ laisi wiwa pe o jo, ati pe o ṣee ṣe tẹlẹ ti gepa.
O tun tọ lati darukọ pe gbogbo awọn ailagbara ti a mọ ni a ko mọ tẹlẹ. Fojuinu agbonaeburuwole kan ti o rii iru ailagbara kan ati ṣayẹwo gbogbo Intanẹẹti ni awọn iṣẹju 7 fun wiwa rẹ… Eyi ni ajakale-arun ọlọjẹ tuntun) A nilo lati ṣe imudojuiwọn, ṣugbọn eyi le ṣe ipalara ọja naa, o sọ. Ati pe iwọ yoo tọ ti awọn idii ko ba fi sori ẹrọ lati awọn ibi ipamọ OS osise. Lati iriri, awọn imudojuiwọn lati ibi ipamọ osise ṣọwọn fọ ọja naa.
Agbara ẹlẹgẹ
Gẹgẹbi a ti ṣalaye loke, aaye data wa pẹlu awọn ọrọ igbaniwọle idaji bilionu kan ti o rọrun lati tẹ lati ori itẹwe. Ni awọn ọrọ miiran, ti o ko ba ṣẹda ọrọ igbaniwọle kan, ṣugbọn ti tẹ awọn aami ti o wa nitosi lori keyboard, ni idaniloju * pe wọn yoo da ọ lẹnu.
Ekuro akopọ vulnerabilities.
O tun ṣẹlẹ **** pe ko ṣe pataki iru iṣẹ ti o ṣii ibudo, nigbati akopọ nẹtiwọọki ekuro funrararẹ jẹ ipalara. Iyẹn ni, Egba eyikeyi tcp/udp iho lori eto ọmọ ọdun meji ni ifaragba si ailagbara ti o yori si DDoS.
Alekun awọn ikọlu DDoS
Kii yoo fa ibajẹ taara eyikeyi, ṣugbọn o le di ikanni rẹ pọ, pọ si fifuye lori eto, IP rẹ yoo pari lori atokọ dudu kan ***, ati pe iwọ yoo gba ilokulo lati ọdọ oluṣeto naa.
Ṣe o nilo gbogbo awọn ewu wọnyi gaan? Ṣafikun ile rẹ ati IP iṣẹ si atokọ funfun. Paapaa ti o ba ni agbara, wọle nipasẹ nronu abojuto hoster, nipasẹ console wẹẹbu, ati pe o kan ṣafikun ọkan miiran.
Mo ti n kọ ati aabo awọn amayederun IT fun ọdun 15. Mo ti ṣe agbekalẹ ofin kan ti Mo ṣeduro ni pataki si gbogbo eniyan - ko si ibudo yẹ ki o Stick jade sinu aye lai a funfun-akojọ.
Fun apẹẹrẹ, olupin wẹẹbu to ni aabo julọ *** jẹ eyiti o ṣii 80 ati 443 nikan fun CDN/WAF. Ati awọn ibudo iṣẹ (ssh, netdata, bacula, phpmyadmin) yẹ ki o wa ni o kere ju lẹhin atokọ funfun, ati paapaa dara julọ lẹhin VPN. Bibẹẹkọ, o ni ewu lati gbogun.
Iyẹn ni gbogbo ohun ti Mo fẹ sọ. Jeki rẹ ibudo ni pipade!
- (1) UPD1: o le ṣayẹwo ọrọ igbaniwọle ti o dara fun gbogbo agbaye (maṣe ṣe eyi laisi rirọpo ọrọ igbaniwọle yii pẹlu ọkan laileto ni gbogbo awọn iṣẹ), boya o han ninu data ti a dapọ. o le rii iye awọn iṣẹ ti o ti gepa, nibiti imeeli rẹ ti wa pẹlu, ati, ni ibamu, wa boya boya ọrọ igbaniwọle agbaye ti o tutu ti jẹ gbogun.
- (2) Si kirẹditi Amazon, LightSail ni awọn iwoye ti o kere ju. Nkqwe nwọn àlẹmọ o bakan.
- (3) Olupin wẹẹbu paapaa ti o ni aabo diẹ sii jẹ eyiti o wa lẹhin ogiriina igbẹhin, WAF tirẹ, ṣugbọn a n sọrọ nipa VPS / Ifiṣootọ ti gbogbo eniyan.
- (4) Segmentsmak.
- (5) Iná.
Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. , Jowo.
Ṣe awọn ebute oko oju omi rẹ duro jade?
-
O wa nigbagbogbo
-
Nigba miiran
-
Rara
-
Emi ko mọ, fokii
54 olumulo dibo. 6 olumulo abstained.
orisun: www.habr.com