GH GambleHub

Προστασία DDoS και φιλτράρισμα πακέτων

Σύντομη Περίληψη

Οι επιθέσεις DDoS κατατάσσονται σε τρεις κατηγορίες: L3/L4 ογκομετρικές (δίαυλος/εξοπλισμός clog), κατάσταση-εξάντληση (πίνακες κατάστασης εξάτμισης/επεξεργαστές σε ισορροπητές/τείχη προστασίας) και L7 (δημιουργία «εύλογων» αιτημάτων στην εφαρμογή). Η αποτελεσματική άμυνα είναι κατασκευασμένη σε διάφορα στρώματα: μέτρα δικτύου στην περίμετρο, φιλτράρισμα/καθαρισμός έξω από το δίκτυό σας, προστασία σε ισορροπητές/πληρεξούσια και την εφαρμογή, συν λειτουργικές διαδικασίες με μετρήσιμες SLOs.

Τοπίο απειλής

Ογκομετρική (UDP/ICMP πλημμύρα, DNS/NTP/SSDP/CLDAP/Memcached ενίσχυση): στόχος είναι να κλείσει το κανάλι και οι θύρες.
TCP εξάντληση κατάστασης (πλημμύρα SYN/ACK, κατακερματισμός TCP, συνδέσεις ημιμορίων κώνων): σύνδεση εξάτμισης/ακροατής.
L7 HTTP (S )/WebSocket/GraphQL πλημμύρα, cache-busting, «αργή» αιτήματα: φάτε εφαρμογές CPU/IO και στρώμα cache.
Αντανάκλαση/Ενίσχυση: χρήση ανοικτών ανακλαστήρων/ενισχυτών με υποκατάσταση πηγής IP.
Βομβαρδισμός χαλιών: κατανομή της κυκλοφορίας σε πολλαπλά IP/προθέματα, περιπλέκοντας το φιλτράρισμα σημείων.

Βασικά μέτρα δικτύου (πριν από τις επιθέσεις)

1. Anti-spoofing: uRPF/BCP38 στα σύνορα. σταγόνα εξερχόμενων πακέτων με πηγές άλλων ανθρώπων.
2. ACL στην ακμή/PE: άρνηση ανεπιθύμητων πρωτοκόλλων/λιμένων· χωριστούς καταλόγους για το τμήμα mgmt.
3. CoPP (Control Plane Policing): στίλβωση του δρομολογητή (BGP, OSPF, SSH, SNMP).
4. Όρια ταχύτητας/στίλβωση σε θύρες: bps/PPS για «θορυβώδεις» τάξεις, ρυθμίσεις διάρρηξης.
5. Κοινοχρησία φορτίου: Anycast για δημόσια IP, γεωθεσίες. CDN/WAAP για στατικές και αποξηραμένες.
6. RPKI/ROA + αυστηρή εισαγωγή BGP: μειώνει τον κίνδυνο αεροπειρατείας/ανακατευθύνσεως της κυκλοφορίας.
7. Μείωση επιφάνειας: ελαχιστοποίηση των δημοσιευμένων υπηρεσιών, κλείσιμο της «ακατέργαστης» προέλευσης πίσω από το πληρεξούσιο.

Γρήγορη αντίδραση κατά την επίθεση: μοχλοί δικτύου

RTBH (Remote Triggered Blackhole): κοινότητα BGP για τη διαδρομή μηδέν/32 (ή/128) θύμα.
BGP Flowspec: ταχεία διάδοση των κανόνων L3/L4 (src/dst/port/TCP flowspec) σε PE/άκρο.
Κέντρα καθαρισμού/πάροχοι αντι-DDoS: σήραγγα GRE/VRF ή απευθείας ανάντη. φιλτράρισμα, στη συνέχεια «καθαρή» κίνηση προς εσάς.
Anycast-antiDDoS: διαχωρισμός ροής με σημεία παρουσίας, εντοπισμός βλάβης.
CDN/cache: προέλευση οθόνης, δίνει όρια L7 και μηχανισμούς «πρόκλησης».

Προστασία υποδοχής και L4

SYN cookies/SYNPROXY: Μην κρατάτε κατάσταση μέχρι την επιβεβαίωση πελάτη.

Linux: 'sysctl δίχτυ. ipv4. ή 'SYNPROXY' στον ισορροπητή εισόδου.

Συντονισμός σύνδεσης (εάν χρησιμοποιείται):
  • Temper 'nf _ conntrack _ max' λογικά αυξάνοντας το hashsize;
  • Μείωση των χρονοδιαγραμμάτων για τα «μισά ανοικτά» και τα ανενεργά κράτη.
  • eBPF/XDP: πρόωρη πτώση του ΕΔΤ (προστασία από αντλίες), υπογραφή/φίλτρο ταχύτητας στον πυρήνα.
  • nftables/iptables: Όρια ΙΑΔ, απόρριψη «ύποπτων» σημαιών, connlimit.
  • σκλήρυνση UDP: εάν η υπηρεσία δεν χρησιμοποιεί UDP, σταγόνα στα σύνορα· εάν χρησιμοποιούνται, περιορίζουν τις πηγές/θύρες.
Παράδειγμα «nftables» (απλουστευμένο): 
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}
SYNPROXY για τον ισολογισμό εισροών (παράδειγμα «iptables»): 
bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7 προστασία (σύντομη)

WAAP/WAF: θετικό μοντέλο σε κρίσιμες διαδρομές, όρια ταχύτητας, πρόκληση/JS, βαθμολόγηση συμπεριφοράς.
Αποθήκευση/στατική εκφόρτωση: μείωση των αιτήσεων προέλευσης. προστασία από σπασίκλες (κανονικοποίηση/μαύρες λίστες παραμέτρων).
Περιορισμοί GraphQL: 'maxDepth', 'maxCost', απαγόρευση ενδοσκόπησης στις πωλήσεις.
Μοτίβο BFF: λεπτές μάρκες πελατών, βαριά λογική/όρια στον εξυπηρετητή.
Idempotence και ουρές: πρόληψη επαναλήψεων παρόμοιων με χιονοστιβάδα κατά τη διάρκεια της υποβάθμισης.

Τηλεμετρία και ανακάλυψη

Ροές δικτύου: NetFlow/sFlow/IPFIX (αντλίες, κορυφαίοι ομιλητές, πρωτόκολλα/θύρες/ASN).
Παθητικοί αισθητήρες L7: αρχεία καταγραφής ισολογισμού/πληρεξουσίου (nginx/απεσταλμένος), μετρήσεις p95/99, ρυθμός σφάλματος.
Βασικά κατώτατα όρια: «απροσδόκητη αύξηση των ΙΑΔ/ΚΜΕ στην ακμή», «αύξηση SYN-RECV», «απρόβλεπτη UDP».
Υπογραφές/συμπεριφορά: IP/ASN/JA3 συχνότητες, 4xx/5xx ακίδες, ανωμαλίες χρήστη-παράγοντα.
Οπτικοποίηση: επιμέρους πίνακες ταμπλό L3/L4/L7. Χρόνος χάρτη κυκλοφορίας Geo/ASN έως RTBH/Flowspec.

SLO/SLI και ειδοποίηση

Παραδείγματα SLO:
  • «MTTD ανωμαλιών DDoS ≤ 60 sec, MTTM (ενεργοποίηση RTBH/Flowspec) ≤ 3 min».
  • "p95 Λετονία μέσω ακμής ≤ 50 ms εξωτερικές επιθέσεις· όταν επιτίθενται σε 200 εκατ. ευρώ υπό μετριασμό"
  • «Το μερίδιο της απορριπτόμενης κακόβουλης κυκλοφορίας ≥ 99%, διατηρώντας παράλληλα ≥ το 98% της νόμιμης κυκλοφορίας».
Συναγερμοί:
  • PPS/CPU/IRQ κόμβων δικτύου> κατώφλι·
  • SYN-RECV/ημι-ανοικτό> X;
  • αύξηση 5xx/καθυστέρηση στα δημόσια καταληκτικά σημεία·
  • ποσοστό αμφισβήτησης/άρνησης στο όριο WAF> (κίνδυνος FP).

Αρχιτεκτονικά πρότυπα άμυνας

1. Κλιμακωτή άμυνα: Edge (ACL/CoPP) → Scrubbing/Anycast → L7 Proxy/WAAP → Application.
2. Traffic Diversion: Η κοινότητα του BGP θα μετακινηθεί στο τρίψιμο, GRE beckhol για το χρόνο κατάδυσης.
3. Ανιθαγενές άκρο: μέγιστο ανιθαγενές φιλτράρισμα για σύνδεση. stateful - πλησιέστερα στην αίτηση.
4. eBPF/XDP Πρώτα: πρώιμες σταγόνες (κατά JA3/ports/speed) στον πυρήνα.
5. Golden Paths: ξεχωριστά IP/domains για κρίσιμες API ώστε να μην «κατεδαφιστούν» τα πάντα εξ ολοκλήρου.

Επιχειρησιακές διαδικασίες και περιστατικά

Runbooks: ποιος και κάτω από τι μετρήσεις ενεργοποιεί RTBH/Flowspec/scrubbing, πώς να αλλάξετε Anycast/pools.
Μαύρες λίστες και TTL: βραχυπρόθεσμα μπλοκ ώστε να μην «υπερβαίνουν». αυτόματες πηγές επανάληψης της δοκιμής.
Επικοινωνίες: υποδείγματα μηνυμάτων για παρόχους/εταίρους/πωλητές· κανάλι επικοινωνίας έξω από τον τομέα που δέχθηκε επίθεση.
Μετά το συμβάν: αναφορά με χρονοδιάγραμμα (T0... Tn), «τι λειτούργησε/όχι», επικαιροποίηση του καταλόγου δοκιμών.
Ασκήσεις: κανονικές ημέρες παιχνιδιού: RTBH dry-run, απώλεια της περιοχής Anycast, σύνδεση κορεσμού, «αργή» επίθεση.

Ρύθμιση Linux/εξισορροπητή (δείγμα)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Κοινά σφάλματα

Κρατήστε όλη την κίνηση μέσα από το προστατευτικό τείχος στην άκρη - εξάντληση της σύνδεσης. Κάνε ανιθαγενείς όπου μπορείς.
Το τελευταίο κανάλι RTBH/Flowspec είναι ήδη "στο μηδέν. "Αυτοματοποιημένα κατώτατα όρια και δυνατότητες.
Ένα IP/ένα άκρο για «όλους» δεν → απομόνωση ακτίνας έκρηξης. Διαίρεση τομέων/ΠΕ και ποσοστώσεων.
Μηδενική μνήμη → κάθε κλήση L7 χτυπά την προέλευση. Ενεργοποίηση ομαλοποίησης αποθήκευσης και παραμέτρων.
Τυφλό μπλοκάρισμα χωρών/ASN χωρίς ανάλυση θρεπτικών συστατικών - μετατροπή τεμαχίων· χρήση διαφορετικών κανόνων/προκλήσεων.
Υπερβολικά επιθετικά όρια → μαζικό ΠΠ στο αποκορύφωμα των επιχειρήσεων.

Χάρτης πορείας για την εφαρμογή

1. Εκτίμηση επιφάνειας: IP/πρόθεμα/απογραφή θύρας/πρωτοκόλλου, κρίσιμος χάρτης πορείας.
2. Υγιεινή δικτύου: αντι-spoofing, ACL, CoPP, RPKI/ROA, άρνηση παροχής περιττών υπηρεσιών UDP.
3. Εκτροπή της κυκλοφορίας: σύμβαση με τον πάροχο καθαρισμού, Anycast/CDN, κοινότητες BGP.
4. Ρύθμιση άκρων: φιλτράρισμα χωρίς απάτριδα, SYNPROXY/eBPF, εύλογα χρονοδιαγράμματα σύνδεσης.
5. : θετικό μοντέλο, όρια/προκλήσεις, κρύπτη.
6. Παρατηρησιμότητα: NetFlow/sFlow, ταμπλό L3/L4/L7, ειδοποιήσεις, SLO.
7. Αυτοματοποίηση: RTBH/Flowspec κουμπιά, IaC για κανόνες, διάταξη καναρινιού ρυθμίσεων.
8. Ασκήσεις και RCA: τακτικές δοκιμές, ενημερώσεις βιβλίων αναπαραγωγής.

Χαρακτηριστικά για iGaming/fintech

Εκδηλώσεις αιχμής (τουρνουά, προαγωγές, αγώνες): χωρητικότητα/όρια σχεδίου, προθέρμανση κρυψώνων, προθέρμανση CDN.
Ενοποίηση πληρωμών: ειδικά IP/τομείς, δίαυλοι προτεραιότητας μέσω παρόχου αντι-DDoS, mTLS έως PSP, αυστηρά όρια στα κρίσιμα τελικά σημεία.
Καταπολέμηση της απάτης/έλεγχος bot: βαθμολόγηση συμπεριφοράς και ανθρώπινες προκλήσεις σε κώδικες καταχώρισης/σύνδεσης/προώθησης.
UX και μετατροπή: με επιθετική προστασία, χρησιμοποιήστε λίστες χάριτος για VIP/εταίρους, απαλή υποβάθμιση (cache/readonly).
Νομικές απαιτήσεις: καταγραφή της διαφάνειας, αποθήκευση τηλεμετρίας, αποσφαλμάτωση του αντικτύπου των μέτρων στις μετρήσεις χρόνου σε πορτοφόλι και κύκλου εργασιών.

Παραδείγματα: Flowspec και RTBH (εννοιολογικά)

RTBH μέσω κοινότητας (παράδειγμα): 

route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
Ροές spec (μονάδα UDP> 1 Mbit/διεπαφή ανά θύρα 19/1900): 

match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

ΣΥΧΝΈΣ ΕΡΩΤΉΣΕΙΣ

Το WAF λύνει το DDoS

Εν μέρει για το L7. Κατά των L3/L4 και ογκομετρικών, απαιτούνται μέτρα καθαρισμού/Anycast/δικτύου.

SYN cookies αρκετά

Πρόκειται για βασική προστασία από τις πλημμύρες SYN, αλλά χωρίς όρια δικτύου και καθαρισμό, το κανάλι μπορεί ακόμα να κλείσει.

Χρειάζεται να απενεργοποιήσω την ICMP

Όχι, δεν είναι. Η ICMP είναι χρήσιμη για τη διάγνωση/PMTU.

Η σήραγγα GRE με καθαρισμό δεν θα προσθέσει καθυστέρηση

Ναι, αλλά συνήθως αποδεκτό. Αντιστάθμιση με κρύπτη και ακριβή διαδρομή προς το πλησιέστερο PoP.

Σύνολο

Αξιόπιστη προστασία DDoS είναι μια πολυεπίπεδη αρχιτεκτονική: υγιεινή δικτύου (anti-spoofing/ACL/CoPP), ταχεία εκτροπή της κυκλοφορίας (RTBH/Flowspec/scrubbing/Anycast), μηχανισμοί υποδοχής και L7 (SYNPROXY Y Y, eBPF PF F F/XDP, WAAP), συν τηλεμετρία, SLO, και αποσφαλματωμένα playbooks. Αυτή η προσέγγιση ελαχιστοποιεί τον χρόνο πτώσης, διατηρεί τα κανάλια ζωντανά, και κρατά τις επιχειρηματικές μετρήσεις ακόμα και υπό πίεση από τις κατανεμημένες επιθέσεις.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.