GH GambleHub

حماية DDoS وتصفية الحزم

موجز موجز

تأتي هجمات DDoS في ثلاث فئات: L3/L4 حجمية (قناة/معدات انسداد)، واستنفاد الحالة (جداول حالة العادم/وحدات المعالجة المركزية على التوازنات/جدران الحماية) و L7 (توليد طلبات «معقولة» للتطبيق). تم بناء الدفاع الفعال في عدة طبقات: مقاييس الشبكة على المحيط، والتصفية/التنظيف خارج شبكتك، والحماية على التوازنات/الوكلاء والتطبيق، بالإضافة إلى الإجراءات التشغيلية مع SLOs القابلة للقياس.

مشهد التهديد

الحجمي (فيضان UDP/ICMP، DNS/NTP/SSDP/CLDAP/Memcached): الهدف هو سد القناة والموانئ.
استنفاد حالة TCP (فيضان SYN/ACK، تجزئة TCP، وصلات نصف مخروطية): وصلة العادم/المستمع.
L7 HTTP (S )/WebSocket/GraphQL الفيضان، وكسر المخابئ، والطلبات «البطيئة»: تناول تطبيقات وحدة المعالجة المركزية/IO وطبقة التخزين المؤقت.
الانعكاس/التضخيم: استخدام عاكسات/مكبرات صوت مفتوحة مع استبدال مصدر بروتوكول الإنترنت.
تفجير السجاد: توزيع حركة المرور عبر العديد من بروتوكول الإنترنت/البادئات، مما يعقد تصفية النقاط.

تدابير الشبكة الأساسية (قبل الهجمات)

1. مكافحة الانتحال: uRPF/BCP38 على الحدود ؛ إسقاط الحزم الصادرة مع مصادر الآخرين.
2. ACL على الحافة/PE: رفض البروتوكولات/الموانئ غير المرغوب فيها ؛ قوائم منفصلة لقطاع mgmt.
3. CoPP (مراقبة شرطة الطائرة): تلميع جهاز التوجيه (BGP، OSPF، SSH، SNMP).
4. حدود المعدل/التلميع في المنافذ: bps/PPS للفئات «الصاخبة»، إعدادات الانفجار.
5. تقاسم الأحمال: على أي حال لشركاء التنفيذ العامين والموارد الجغرافية ؛ CDN/WAAP للثبات والمخبأ.
6. RPKI/ROA + استيراد BGP الصارم: يقلل من مخاطر اختطاف/إعادة توجيه حركة المرور.
7. تقليل السطح: تقليل الخدمات المنشورة، وإغلاق الأصل «الخام» وراء الوكيل.

رد الفعل السريع عند الهجوم: رافعات الشبكة

RTBH (Remote Triggered Blackhole): مجتمع BGP للطريق صفر/32 (أو/128) ضحية.
BGP Flowspec: الانتشار السريع لقواعد L3/L4 (src/dst/port/TCP flags) إلى PE/edge.
مراكز التنظيف/مقدمو خدمات مكافحة DDoS: نفق GRE/VRF أو المنبع المباشر ؛ الترشيح، ثم حركة المرور «النقية» لك.
Anycast-antiDDoS: تقسيم التدفق بنقاط الوجود، توطين الضرر.
CDN/edge cache: أصل الشاشات، يعطي حدود L7 وآليات «التحدي».

حماية المضيف و L4

ملفات تعريف الارتباط SYN/SYNPROXY: لا تحافظ على الحالة حتى تأكيد العميل.

لينكس: 'sysctl net. ipv4. tcp_syncookies=1' أو «SYNPROXY» على موازن المدخلات.

موصل الضبط (إذا استخدم):
  • Temper 'nf _ conntrack _ max' بشكل معقول عن طريق رفع hashsize ؛
  • قلل من المهلات للحالات «نصف المفتوحة» وغير النشطة.
  • eBPF/XDP: الانخفاض المبكر في NIC (حماية PPS)، تصفية التوقيع/السرعة إلى اللب.
  • nftables/iptables: حدود PPS، التخلص من الأعلام «المشبوهة»، التواصل.
  • تصلب UDP: إذا لم تستخدم الخدمة UDP، قطرة على الحدود ؛ في حالة الاستخدام، تقييد المصادر/الموانئ.
مثال «nftables» (مبسط): 
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}
SYNPROXY على موازن المدخلات (مثال «iptables»): 
bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

حماية L7 (قصيرة)

WAAP/WAF: نموذج إيجابي حول المسارات الحرجة، وحدود المعدل، والتحدي/JS، والتسجيل السلوكي.
التخزين المؤقت/التفريغ الثابت: خفض طلبات المنشأ ؛ حماية خرق المخابئ (التطبيع/القوائم السوداء للمعايير).
محددات الرسم البياني QL: "MaxDepth" و "MaxCost' وحظر الاستبطان في المبيعات.
نمط BFF: رموز رقيقة للعميل، منطق/حدود ثقيلة على الخادم.
الغباء وقوائم الانتظار: منع التكرار الشبيه بالانهيارات الجليدية أثناء التدهور.

القياس عن بعد والاكتشاف

تدفقات الشبكة: NetFlow/sFlow/IPFIX (pps، أفضل المتحدثين، البروتوكولات/الموانئ/ASN).
أجهزة استشعار L7 السلبية: موازن/سجلات وكيل (nginx/envoy)، مقاييس p95/99، معدل الخطأ.
العتبات الأساسية: «نمو غير متوقع لـ PPS/CPU على حافة الهاوية»، «SYN-RECV surge»، «UDP غير متراجع».
التوقيعات/السلوك: ترددات IP/ASN/JA3، مسامير 4xx/5xx، شذوذ المستخدم والعامل.
التصور: L3/L4/L7 لوحات القيادة الفردية ؛ وقت خريطة المرور Geo/ASN إلى RTBH/Flowspec.

SLO/SLI والتنبيه

أمثلة SLO:
  • «MTTD of DDoS anomalies ≤ 60 sec, MTTM (RTBH/Flowspec activation) ≤ 3 min».
  • "p95 latency via edge ≤ 50 ms outside attacks; عند مهاجمة ≤ 200 ملليمتر مكعب تحت التخفيف"
  • «حصة حركة المرور الضارة المهملة ≥ 99٪ مع الحفاظ على ≥ 98٪ من حركة المرور المشروعة».
إنذارات:
  • PPS/CPU/IRQ لعقد الشبكة> العتبة ؛
  • SYN-RECV/نصف مفتوح> X ؛
  • و 5xx/نمو زمن الانتقال في نقاط النهاية العامة ؛
  • النسبة المئوية للتحدي/الرفض عند عتبة WAF> (مخاطر FP).

أنماط الدفاع المعمارية

1. Tiered Defense: Edge (ACL/CoPP) → Scrubbing/Anycast → L7 Proxy/WAAP → Application.
2. تحويل حركة المرور: ينتقل مجتمع BGP إلى التنظيف، GRE beckhol لوقت الغوص.
3. حافة عديمي الجنسية: الحد الأقصى لتصفية عديمي الجنسية للوصل ؛ دولة - أقرب إلى الطلب.
4. eBPF/XDP أولاً: القطرات المبكرة (حسب JA3/ports/speed) إلى النخاع.
5. المسارات الذهبية: IP/مجالات منفصلة لواجهات برمجة التطبيقات الحرجة حتى لا «تهدم» كل شيء بالكامل.

الإجراءات التشغيلية والحوادث

كتب التشغيل: من وتحت أي مقاييس يتم تشغيله على RTBH/Flowspec/scrubbing، كيفية تبديل Anycast/حمامات السباحة.
القوائم السوداء و TTL: كتلة قصيرة الأجل حتى لا «تتجاوز» ؛ مصادر إعادة الاختبار التلقائي.
الاتصالات: نماذج رسائل لمقدمي الخدمات/الشركاء/البائعين ؛ خارج نطاق الهجوم.
ما بعد الحادث: تقرير بجدول زمني (T0... Tn)، «ما نجح/لم ينجح»، تحديث كتالوج الاختبار.
التمارين: أيام اللعبة العادية: RTBH الجافة، خسارة منطقة Anycast، ربط التشبع، الهجمات «البطيئة».

Linux/Balancer Tuning (عينة)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

أخطاء شائعة

حافظ على حركة المرور من خلال جدار الحماية الثابت على حافة الهاوية → استنفاد الوصلة. قم بعمل عديم الجنسية حيثما أمكنك ذلك.
قناة RTBH/Flowspec → المتأخرة بالفعل "إلى الصفر. "أتمتة العتبات والتمكين.
حافة IP/واحدة لـ «الكل» → لا توجد عزلة نصف قطر انفجار. تقسيم المجالات/الملكية الفكرية والحصص.
صفر مخبأ → كل نداء L7 يدق الأصل ؛ تمكين التخزين المؤقت وتطبيع المعلمات.
الحجب الأعمى للبلدان/ASN بدون تحليل legite - قطع التحويل ؛ تستخدم قواعد/تحديات دقيقة.
حدود صارمة للغاية → FP ضخمة في ذروة الأعمال.

خارطة طريق التنفيذ

1. التقييم السطحي: IP/prefix/port/protocol instruction, critical path map.
2. نظافة الشبكة: مكافحة الانتحال، ACL، CoPP، RPKI/ROA، رفض خدمات UDP غير الضرورية.
3. تحويل حركة المرور: التعاقد مع مزود التنظيف، Anycast/CDN، مجتمعات BGP.
4. ضبط الحافة: تصفية عديمة الجنسية، SYNPROXY/eBPF، مهلة اتصال معقولة.
5. L7/WAAP: نموذج إيجابي، حدود/تحديات، مخبأ.
6. إمكانية الملاحظة: NetFlow/sFlow، لوحات القيادة L3/L4/L7، التنبيهات، SLO.
7. الأتمتة: أزرار RTBH/Flowspec، IaC للقواعد، تخطيط الكناري للتكوينات.
8. التدريبات و RCAs: اختبارات منتظمة، تحديثات قواعد اللعبة.

ميزات iGaming/fintech

أحداث الذروة (البطولات، العروض الترويجية، المباريات): سعة/حدود التخطيط، مخابئ الإحماء، تسخين CDN مسبقًا.
دمج الدفع: IP/المجالات المخصصة، القنوات ذات الأولوية عبر مزود مكافحة DDoS، mTLS إلى PSP، قيود صارمة على نقاط النهاية الحرجة.
مكافحة الاحتيال/التحكم في الروبوتات: التسجيل السلوكي والتحديات البشرية في رموز التسجيل/تسجيل الدخول/الترويج.
UX والتحويل: مع الحماية القوية، استخدم قوائم النعمة لكبار الشخصيات/الشركاء، التدهور الناعم (ذاكرة التخزين المؤقت/إعادة التدوير).
المتطلبات القانونية: شفافية السجلات، وتخزين القياس عن بعد، وتصحيح تأثير التدابير على مقاييس الوقت إلى المحفظة ومقاييس الدوران.

أمثلة: Flowspec و RTBH (من الناحية المفاهيمية)

RTBH عبر المجتمع (مثال): 

route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
Flowspec (وحدة UDP> 1 ميغابت/واجهة لكل منفذ 19/1900): 

match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

الأسئلة الشائعة

WAF يحل DDoS ؟

جزئيًا لـ L7. في مقابل L3/L4 والحجم، هناك حاجة إلى تدابير التنظيف/Anycast/الشبكة.

كعكات SYN كافية ؟

هذه حماية أساسية ضد فيضان SYN، ولكن بدون حدود الشبكة والتنظيف، لا يزال من الممكن انسداد القناة.

هل أحتاج إلى تعطيل ICMP ؟

لا ، ليس كذلك حد معدل أفضل وأنواع خطيرة فقط، ICMP مفيد للتشخيص/PMTU.

نفق GRE مع التنظيف لن يضيف زمن انتظار ؟

نعم، ولكن عادة مقبولة. قم بالتعويض عن طريق التخزين المؤقت والطريق الدقيق إلى أقرب PoP.

المجموع

الحماية الموثوقة لـ DDoS هي بنية متعددة المستويات: نظافة الشبكة (مكافحة الانتحال/ACL/CoPP)، تحويل حركة المرور السريع (RTBH/Flowspec/Scrubbing/Anycast)، آليات المضيف و L7 (SYNPROXY Y E BPF/XDP، WAAP)، بالإضافة إلى القياس عن بعد، SLO، وكتب اللعب المصححة. يقلل هذا النهج من وقت التوقف عن العمل، ويحافظ على القنوات حية، ويحافظ على مقاييس الأعمال حتى تحت الضغط من الهجمات الموزعة.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.