GH GambleHub

DDoS Packet Protection and Filtering

1) لماذا تحتاجه

DDoS هو «تدهور هائل» للموارد: النطاق/pps، جداول الحالة، وحدة المعالجة المركزية الأساسية/IRQ، مجمعات الاتصال، حدود التطبيق. الهدف هو تقسيم الحماية إلى طبقات: إطفاء الحجم على محيط الشبكة، وتحييد شذوذ البروتوكول إلى مكدس TCP/IP، وقطع الطلبات غير المرغوب فيها على L7، مما يوفر SLO للمستخدمين الشرعيين.

2) دروس الهجوم

2. 1 L3/L4 (حجمي/بروتوكول)

القياس الحجمي: فيضان UDP، انعكاس/تضخيم UDP (DNS/CLDAP/NTP/SSDP/memcached/mDNS)، فيضان GRE.
استنفاد البروتوكول/الدولة: فيضان SYN، فيضان ACK/RST، استنفاد توصيل TCP، فيضان ICMP، تجزئة TCP.
ميزات QUIC/UDP: عواصف أولية/ريتري كاذبة، مصدر مخادع.

2. 2 L7 (طلب)

HTTP/1. 1: استفسارات وراء الطرق باهظة الثمن، ضخامة الترويسة/تهريب الحقول.
HTTP/2: إعادة الضبط السريع، فيضان التيار، فيضان الرؤوس، إساءة استخدام الأولوية.
HTTP/3 (QUIC): وصلات/خيوط بدون إنهاء، فيضان أولي.
Slow- атаки: sloworis/slow-read/slow-POST.
gRPC/WebSocket: تيارات لا نهاية لها، فيضان الرسائل، إطارات كبيرة.

3) بنية الأمن الأساسية

1. Anycast + Scrubbing

رش حركة المرور على مستوى العالم والقيادة عبر مراكز تنظيف المزود (قطع الحجمية/الانتحال عند الحافة).

2. Multi-CDN/Multi-Edge

فصل المجال (ويب، واجهة برمجة التطبيقات، ثابت)، تجميع الحماية وذاكرة التخزين المؤقت للقراءة.

3. مرشحات منخفضة المستوى على محيطها

ACLs على أجهزة التوجيه الحدودية (RFC1918، بوغون، موانئ زائفة معروفة).
eBPF/XDP للإسقاط المبكر للتوقيعات وحدود الأسعار حتى التوصيل.

4. L7 المحيط (NGINX/المبعوث/WAF)

ضغط RPS بواسطة المفاتيح، التحدي (captcha/PoW)، ذاكرة التخزين المؤقت، تحديد أولويات المسارات «باهظة الثمن».

5. الاستقرار الداخلي

برك الاتصال، وقوائم الانتظار، والدائرة/المهلة، وعزل الخدمة (الحاجز)، والتسلق الذاتي.

4) شبكة «صمامات»: ما يجب تشغيله على الفور

4. 1 لينكس سيسكتل (نواة/مكدس)

bash
TCP SYN flood sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_synack_retries=3

Conntrack/sysctl -w net tables. netfilter. nf_conntrack_max=262144 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_established=300

ICMP/redirect sysctl -w net. ipv4. icmp_echo_ignore_broadcasts=1 sysctl -w net. ipv4. conf. all. accept_redirects=0 sysctl -w net. ipv4. conf. all. send_redirects=0

sysctl -w net socket resources. core. somaxconn=4096 sysctl -w net. core. netdev_max_backlog=250000 sysctl -w net. core. rmem_max=134217728 sysctl -w net. core. wmem_max=134217728

4. 2 nftables: مرشحات أساسية و ratelimit على الطرود

nft table inet filter {
sets {
bogon { type ipv4_addr; flags interval; elements = { 0. 0. 0. 0/8, 10. 0. 0. 0/8, 100. 64. 0. 0/10,
127. 0. 0. 0/8, 169. 254. 0. 0/16, 172. 16. 0. 0/12, 192. 0. 2. 0/24, 192. 168. 0. 0/16, 198. 18. 0. 0/15, 224. 0. 0. 0/4 } }
}
chains {
input {
type filter hook input priority 0; policy drop;
ip saddr @bogon drop ct state established,related accept

UDP amplification ports - limit pps udp dport {53,123,1900,11211,389,1900,5353} limit rate over 2000/second drop

SYN rate-limit tcp flags syn tcp dport {80,443} limit rate over 2000/second drop

ICMP flood ip protocol icmp limit rate 100/second accept
}
}
}

4. 3 XDP/eBPF (فكرة)

حزم الإسقاط المبكر ذات المصدر المخادع (uRPF مرحب به على جهاز التوجيه).
دلاء التجزئة pps لكل 32 و 24 ؛ «الحجر» الديناميكي للمصادر.
انعكاس UDP: توقيعات تشبه استجابة DNS (مرشح خارج السياق).

5) تضخيم UDP: المخزون والكتل

العاكسات/مكبرات الصوت المتكررة: DNS (محللات مفتوحة)، NTP (monlist)، CLDAP، SSDP، mDNS، Memcached (UDP)، Chargen.

التدابير:
  • إغلاق/تقييد خدمات UDP، وتقليل الموانئ المفتوحة.
  • في المحيط، حد pps/bitrate للموانئ المعروفة.
  • توصية DNS: متكررة فقط لشبكاتها، RRL (الحد من معدل الاستجابة)، مما يقلل من أي شيء.
  • NTP - فقط «bootstrap» للثقة، «noory» للجمهور.

6) استنفاد حالة TCP

فيضان SYN: «tcp _ syncookies = 1»، زيادة «tcp _ max _ syn _ backlog»، «synack _ retries = 3»، قطرة بواسطة pps.
فيضان ACK/RST: حدود منخفضة المستوى، وفحص التسلسلات غير المشروعة (nftables/ebpf).
لا تتصل على الحدود: لا تضيع جداول الحالة حيث يكون المرشح ممكنًا بتوقيع عديم الجنسية.

7) هجمات L7 HTTP/2/3 والذكية

HTTP/2 إعادة تعيين سريعة: الحد من تواتر إطارات RST وعدد التدفقات المفتوحة ؛ إغلاق الصلة في حالة حدوث حالات شاذة.
إساءة استخدام البث: лимит تدفقات متزامنة، حجم الرؤوس، حجم الإطار الأقصى.
QUIC/HTTP/3: الحد من الصفحات الأولية، وتمكين Retry ؛ مهلة مصافحة قصيرة.

NGINX (الجزء L7)

nginx
Header/body constraint client_max_body_size 1m;
large_client_header_buffers 4 8k;

HTTP/2 limits http2_max_concurrent_streams 128;
http2_recv_buffer_size 256k;

Rate limit by IP (example)
limit_req_zone $binary_remote_addr zone=reqs:20m rate=100r/s;
limit_req zone=reqs burst=200 nodelay;

مبعوث (ضد إعادة الضبط والحدود)

yaml http2_protocol_options:
max_concurrent_streams: 128 initial_stream_window_size: 65536 max_outbound_frames: 10000 stream_error_on_invalid_http_messaging: true

8) الهجمات البطيئة وحماية الموارد

Slowloris/slow-read/slow-POST: enable 'proxy _ request _ puffering on', low ille-timeout, mine cappeal 'read _ rate'.
إنهاء الاتصالات في فترة زمنية طويلة بين الحزم لكل طلب.
عند التطبيق - القراءة المبكرة/التخلص من الجسم، حدود حجم/عمق JSON.

9) تصفية L7: من هو الأهم - دعها تمر

تصنيف حركة المرور: جيد معروف (شركاء mTLS/JWT)، مستخدمون مسجلون، مجهولون.
الأولويات: طرق الكتابة «باهظة الثمن» (الودائع/الاستنتاجات) - الحماية، ولكنها غير مؤكدة ؛ أدلة القراءة - ذاكرة التخزين المؤقت + دواسة الوقود.
طبقة التحدي: تحديات captcha/PoW/JS للمناطق الرمادية في الذروة.

10) المخبأ والاندماج والتدهور

مخبأ الحافة للاستجابات الساكنة/شبه الساكنة، «قديمة بينما تعيد المصادقة».
طلب دمج: انهيار الطلبات الموازية لمفتاح واحد - في الوكيل وفي التطبيق.
وضع التحلل: تعطيل الميزات الثانوية (التخصيص، التقارير الثقيلة)، إصدار صفحات «خفيفة».

11) إمكانية الرصد والقياس عن بُعد

المقاييس (حسب الملوثات العضوية الثابتة/العقدة/المجموعة):
  • L3/L4: "pps _ in/out'،" bps _ in/out'، "drop _ pps {reason}"، "syn _ recv"، "conntrack _ used/lime"، "xdp _ drop _ pps'.
  • L7: 'requests _ total {rote}', '429 _ total', 'challenge _ total {type}', 'h2 _ rst _ rate', 'slow _ req _ total'.
  • التبعيات: CPU IRQ ناعمة/صلبة، قطرات قائمة انتظار NIC، طول قائمة الانتظار.

الجذوع: عينات، مجمعة في 24، ASN، الموانئ والتوقيعات ؛ بدون PII.
التتبع: تمكين القوائم البيضاء، توسيع نطاق أخذ العينات للتصحيح.

12) خطط الاستجابة (كتيب التشغيل)

1. الكشف: تشغيل عتبات pps/bps/429/h2_rst_rate.
2. التصنيف: المستوى (L3/4/7)، البروتوكول (UDP/TCP/h2/h3)، geo/ASN.

3. الصمامات:
  • تمكين ملفات تعريف التنظيف/الثقب الأسود على المزود
  • تعزيز حدود nftables/ebpf،
  • الحد الأدنى لـ L7 وزيادة التحديات،
  • مكّن إعادة تجربة QUIC (الفيضان الأولي).
  • 4. الاتصالات: صفحة الحالة، نماذج إخطار الشريك.
  • 5. الطب الشرعي: التقاط PCAP لمدة 60-120 ثانية، وأخذ عينات من كبار المتحدثين ASNs/الموانئ.
  • 6. بأثر رجعي: تحديث التوقيعات والعتبات وقوائم العاكسات.

13) الاختبارات والتدريبات

كتب تشغيل DDoS-drill ربع سنوية: انفجارات UDP/HTTP الاصطناعية، حركة المرور البطيئة، إعادة ضبط HTTP/2.
يوم اللعبة: أي تبديل/انتقال بين CDNs، التدهور إلى «الوضع السهل».
التحقق من المزود: فرك SLA، تصفية وقت التشغيل/التوقف، الحد الأقصى pps/bps.

14) أنتيباترن

اعتمد فقط على L7-WAF للهجوم الحجمي.
لا يوجد uRPF/ACL على الرصيف وتصفية ثقيلة الوصلة وجهاً لوجه.
رؤوس/أجسام غير محدودة وطويلة البقاء على قيد الحياة في الذروة.
منطقة واحدة/ROR بدون Anycast/multi-edge.
لا يوجد جرد NIC/IRQ/CPU ورصد قائمة الانتظار.
لا يوجد ذاكرة تخزين مؤقت/دمج - RPS إضافية للخلف.

15) تفاصيل iGaming/Finance

القمم المؤقتة (المباريات/الديربي/سحوبات اللوتو): توسيع قدرة الملوثات العضوية الثابتة مقدمًا، بما في ذلك مخبأ قوي للمعاملات، ووضع تحديات الكناري للأشخاص المجهولين.
طرق الدفع/الإخراج: مجموعة منفصلة من الحواف مع mTLS، إجازات قصيرة، حدود تنافسية ؛ لا يوجد 0-RTT.
السياسيون الجغرافيون: مصابيح السماح الإقليمية، تصفية ASN لـ «الاستضافة»، التبديل الجغرافي السريع.
التقاطع مع Antifraud: حدود السرعة وواجهة برمجة التطبيقات المخاطرة تدخل في ملف تعريف «صلب» في حادثة DDoS.

16) قائمة التحقق من الاستعداد

  • Anycast или multi-edge/CDN; فحص قنوات التنظيف.
  • الحدود - ACL/uRPF ؛ nftables/ebpf/XDP profiles، تصفية بدون وصلة.
  • ضبط Sysctl TCP/SYN، حد pps لمنافذ مضخم UDP.
  • حدود HTTP/2/3 (الجداول، الإطارات، الرؤوس)، الحماية البطيئة، حدود الجسم/الرأس.
  • L7 الحدود والطعن ؛ ذاكرة التخزين المؤقت والالتحام على المحيط.
  • لوحات المعلومات pps/bps/conntrack/IRQ + L7 RED ؛ تنبيهات h2_rst/429 الشذوذ
  • كتاب التشغيل/كتب اللعب، جهات الاتصال مع المزودين، ملفات تعريف تمكينية بنقرة واحدة.
  • التعاليم: انفجارات، بطيئة، إعادة ضبط HTTP/2 ؛ وتحسينات السجلات.
  • مجمعات مجمعات مقسمة للدفع/طرق حرجة، و mTLS، وحدود صارمة.

17) TL ؛ د

الحماية الطبقية: Anycast + تنظيف حجم المخمدات، eBPF/XDP + nftables تقطع القمامة إلى المكدس، L7 حدود/تحديات/ذاكرة التخزين المؤقت تحتفظ بـ SLAs. ضبط TCP (ملفات تعريف الارتباط SYN، تراكم)، الحد من مكبرات UDP، وضع حدود HTTP/2/3 والحماية البطيئة. الحصول على دفتر وتدريبه ؛ بالنسبة إلى iGaming - قم بتوسيع الحافة مقدمًا خلال ساعات الذروة وفصل مسارات الدفع مع mTLS والحدود الصلبة.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.