GH GambleHub

DDoS qorunması və filtrasiya paketləri

Qısa xülasə

DDoS hücumları üç sinifdən ibarətdir: L3/L4 volumetric (kanal/avadanlıq doldurur), state-exhaustion (balancers/firewall-da state/CPU cədvəlləri tükənir) və L7 (tətbiqə «inandırıcı» sorğular yaradır). Effektiv müdafiə bir neçə təbəqədə qurulur: perimetrdə şəbəkə tədbirləri, şəbəkənizin xaricində filtrasiya/scrabbing, balanslayıcılar/proxy və tətbiqetmələrdə qorunma, üstəlik ölçülə bilən SLO ilə əməliyyat prosedurları.

Təhlükələrin mənzərəsi

Volumetric (UDP/ICMP flood, DNS/NTP/SSDP/CLDAP/Memcached): məqsəd kanal və limanları doldurmaqdır.
TCP state-exhaustion (SYN/ACK flood, TCP fragmentation, «yarım-koni» birləşmələri): conntrack/listeners tükənmək.
L7 HTTP (S )/WebSocket/GraphQL flood, cache-busting, «yavaş» sorğular: CPU/IO applications və cache qat yemək.
Reflection/Amplification: IP mənbəyinin dəyişdirilməsi ilə açıq reflektorların/amplifikatorların istifadəsi.
Carpet bombing: trafikin bir çox IP/prefiksdə paylanması, nöqtə filtrasiyasını çətinləşdirir.

Əsas şəbəkə tədbirləri (hücumlara qədər)

1. Antispufing: sərhəddə uRPF/BCP38; başqalarının mənbələri ilə çıxan paketlərin dağılması.
2. edge/PE-də ACL: arzuolunmaz protokolların/limanların qadağan edilməsi; mgmt seqmenti üçün fərdi siyahılar.
3. CoPP (Control Plane Policing): Marşrutlaşdırıcıya (BGP, OSPF, SSH, SNMP) polisinq.
4. Rate-limits/port polisinq: «səs-küylü» siniflər üçün bps/PPS, burst-konfiqurasiya.
5. Yük paylanması: ictimai IP, georasses üçün Anycast; statik və cached üçün CDN/WAAP.
6. RPKI/ROA + ciddi BGP idxalı: Highjack/trafik yönləndirmə riskini azaldır.
7. Surface reduction: Yayımlanan xidmətləri minimuma endirin, proxy üçün «xam» origini bağlayın.

Hücum zamanı sürətli reaksiya: şəbəkə qolları

RTBH (Remote Triggered Blackhole) :/32 (və ya/128) qurban sıfır marşrut üçün BGP icma.
BGP Flowspec: L3/L4 qaydalarının (src/dst/port/TCP bayraqları) PE/edge-də sürətlə yayılması.
Scrubbing mərkəzləri/anti-DDoS provayderləri: GRE/VRF tunel və ya birbaşa axın; süzgəc, sonra sizə «təmiz» trafik.
Anycast antiDDoS: mövcud points axını parçalanması, zərərin lokalizasiyası.
CDN/edge-cache: origin ekran, L7-limitləri və «challenge» mexanizmləri verir.

Host və L4-qorunması

SYN cookies/SYNPROXY: müştəri təsdiq qədər dövlət saxlamaq deyil.

Linux: `sysctl net. ipv4. Giriş balansında tcp_syncookies=1' və ya 'SYNPROXY'.

Tuning conntrack (istifadə edilərsə):
  • Hashsize artıraraq 'nf _ conntrack _ max' ağılla ölçün;
  • «Yarı açıq» və aktiv olmayan vəziyyətlər üçün vaxtları qısaltın.
  • eBPF/XDP: NIC-də erkən drop (PPS-qorunması), siqnal/sürət ilə nüvəyə filtrasiya.
  • nftables/iptables: PPS limitləri, «şübhəli» bayraqların atılması, connlimit.
  • UDP hardening: xidmət UDP istifadə etmirsə - sərhəd drop; istifadə edərsə - mənbələri/limanları məhdudlaşdırın.
'nftables' nümunəsi (sadələşdirilmiş): 
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}
SYNPROXY giriş balansında ('iptables' nümunəsi): 
bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7-qorunması (qısa)

WAAP/WAF: kritik yollarda müsbət model, rate-limits, challenge/JS, davranış skoru.
Caching/Static Offload: origin qədər sorğuları azaldır; cache-busting qorunması (normallaşdırma/qara parametrləri siyahıları).
GraphQL məhdudlaşdırıcılar: 'maxDepth', 'maxCost', prodda introspection qadağa.
BFF-model: zərif müştəri tokenləri, ağır məntiq/server limitləri.
İdempotentlik və növbələr: deqradasiya zamanı uçqun təkrarlanmasının qarşısını alır.

Telemetri və aşkarlama

Şəbəkə axınları: NetFlow/sFlow/IPFIX (pps, top talkers, protokollar/portlar/ASN).
Passiv sensorlar L7: balans/proxy (nginx/envoy), metrik p95/99, error-rate.
Əsas hədlər: «edge-də gözlənilməz PPS/CPU artımı», «SYN-RECV artımı», «UDP cavabsız».
Əlamətlər/davranış: IP/ASN/JA3 tezliyi, 4xx/5xx sıçrayışlar, istifadəçi-agent anomaliyaları.
Vizuallaşdırma: ayrı-ayrı daşbordlar L3/L4/L7; geo/ASN trafik xəritəsi; RTBH/Flowspec başlamazdan əvvəl vaxt.

SLO/SLI və alertinq

SLO nümunələri:
  • «MTTD DDoS ≤ 60 san, MTTM (RTBH/Flowspec aktivləşdirilməsi) ≤ 3 dəq».
  • "p95 gecikmə edge vasitəsilə ≤ 50 ms hücumlar xaricində; hücum zamanı ≤ mitiqasiya altında 200 ms".
  • «Atılmış zərərli trafikin payı 99% ≥, ≥ 98% legitim saxlanılır».
Alarmlar:
  • PPS/CPU/IRQ şəbəkə qovşaqları> eşik;
  • SYN-RECV/half-open > X;
  • ictimai end nöqtələrində 5xx/latency artımı;
  • faiz challenge/deny WAF> eşik (risk FP).

Memarlıq müdafiə nümunələri

1. Tiered Defense: Edge (ACL/CoPP) → Scrubbing/Anycast → L7-proxy/WAAP → App.
2. Traffic Diversion: BGP icma sürüşmə zamanı scrabbing, GRE-bekhol keçid üçün.
3. Stateless Edge: conntrack qədər maksimum stateless filtrasiya; stateful - tətbiqə daha yaxın.
4. eBPF/XDP First: nüvəyə erkən damcılar (JA3/port/sürət).
5. Golden Paths: Kritik API-lər üçün fərdi IP/domenlər tamamilə «sökülməməlidir».

Əməliyyat prosedurları və insidentlər

Runbooks: Anycast/hovuzları necə dəyişdirmək üçün RTBH/Flowspec/scrabbing daxildir kim və hansı ölçüləri.
Qara siyahılar və TTL: blok qısamüddətli deyil «aşmaq»; avtomatik yenidən test mənbələri.
Rabitə: provayderlərə/tərəfdaşlara/satıcılara mesaj şablonları; hücum domen xaricində rabitə kanalı.
Post-Incident: Vaxt ölçüsü ilə hesabat (T0... Tn), «nə işlədi/yox», test kataloqunun yenilənməsi.
Təlimlər: müntəzəm game-days: RTBH dry-run, Anycast bölgəsinin itirilməsi, link saturation, «yavaş» hücumlar.

Linux/balans sazlama (nümunə)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Tez-tez səhvlər

edge → conntrack tükənməsi stateful-firewall vasitəsilə bütün trafik saxlamaq. Mümkün olan yerdə stateless edin.
Gec RTBH/Flowspec → kanal artıq «sıfır». Eşikləri və açılışı avtomatlaşdırın.
«Bütün» üçün bir IP/bir cəbhə → blast radius izolyasiyası yoxdur. Domenləri/IP və kvotaları paylaşın.
Sıfır cache → hər L7-müraciət origin vurur; parametrləri caching və normallaşdırma daxil edin.
Legit analizi olmadan ölkələrin/ASN kor bloklanması - dönüşüm kəsir; nüans qaydaları/çağırışlar istifadə edin.
Çox aqressiv limitlər → biznesin zirvəsində kütləvi FP.

Yol xəritəsi

1. Səthin qiymətləndirilməsi: IP/prefikslərin/portların/protokolların inventarlaşdırılması, kritik yolların xəritəsi.
2. Şəbəkə gigiyenası: antispufing, ACL, CoPP, RPKI/ROA, lazımsız UDP xidmətlərindən imtina.
3. Trafikin təxribatı: scrabbing provayderi, Anycast/CDN, BGP communities ilə müqavilə.
4. Edge-tuning: stateless-filtering, SYNPROXY/eBPF, ağlabatan conntrack vaxt.
5. L7/WAAP: müsbət model, limitlər/çağırışlar, cache.
6. Müşahidə: NetFlow/sFlow, dashboard L3/L4/L7, alert, SLO.
7. Avtomatlaşdırma: RTBH/Flowspec düymələri, qaydalar üçün IaC, kanarya konfiqurasiyaları.
8. Təlimlər və RCA: müntəzəm testlər, playbook yeniləmələri.

iGaming/Fintech üçün xüsusiyyətlər

Pik hadisələr (turnirlər, promosyonlar, matçlar): capacity/limitləri planlaşdırın, cache istiləşməsi, ön warming CDN.
Ödəniş inteqrasiyaları: ayrılmış IP/domenlər, anti-DDoS provayderi vasitəsilə prioritet kanallar, PSP-yə mTLS, kritik end nöqtələrinə ciddi limitlər.
Anti-frod/bot-nəzarət: qeydiyyat/giriş/promo kodlarında davranış hesabları və insan çağırışları.
UX və dönüşüm: təcavüzkar müdafiə VIP/partnyorlar üçün grace vərəqələri istifadə edin, yumşaq deqradasiya (cache/readonly).
Hüquqi tələblər: jurnalların şəffaflığı, telemetriyanın saxlanması, tədbirlərin Time-to-Wallet və dövriyyə metrikasına təsirinin düzəldilməsi.

Nümunələr: Flowspec və RTBH (konseptual)

community vasitəsilə RTBH (nümunə): 

route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
Flowspec (19/1900 port üçün UDP> 1 Mbit/interfeys): 

match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF DDoS həll edir?
Qismən L7 üçün. L3/L4 və volumetric qarşı scrubbing/Anycast/şəbəkə tədbirləri lazımdır.

SYN cookies kifayətdir?
Bu SYN-flood qarşı əsas qoruyucudur, lakin şəbəkə limitləri və scrabbing kanalı olmadan yenə də vurula bilər.

ICMP-ni söndürmək lazımdırmı?
Yox. Daha yaxşı rate-limit və yalnız təhlükəli növləri, ICMP diaqnostika/PMTU üçün faydalıdır.

Scrabbing ilə GRE tunel gizli əlavə etməyəcək?
Bəli, amma adətən icazə verilir. Ən yaxın PoP-ə cache və dəqiq marşrutla kompensasiya edin.

Yekun

Etibarlı DDoS qorunması çox səviyyəli bir arxitekturadır: şəbəkə gigiyenası (antispufing/ACL/CoPP), sürətli trafik təxribatı (RTBH/Flowspec/scrubbing/Anycast), host və L7 mexanizmləri (SYNPROXY), eBPF/XDP, WAAP), üstəgəl telemetriya, SLO və düzəldilmiş pleybuklar. Bu yanaşma sadə minimuma endirir, kanalları canlı saxlayır və hətta paylanmış hücumların təzyiqi altında iş metriklərini saxlayır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.