GH GambleHub

DDoS Packet Protection and Filtering (حفاظت و فیلتر بسته های DDoS)

1) چرا شما به آن نیاز دارید

DDoS یک «تخریب گسترده» منابع است: band/pps، جداول حالت، هسته CPU/IRQ، استخرهای اتصال، محدودیت های برنامه. هدف این است که طبقه بندی حفاظت: خاموش کردن حجم در محیط شبکه، خنثی کردن ناهنجاری های پروتکل به پشته TCP/IP، و قطع درخواست های ناخواسته در L7، صرفه جویی در SLO برای کاربران مشروع است.

2) کلاس های حمله

2. 1 L3/L4 (حجمی/پروتکل)

حجمی: سیل UDP، UDP بازتاب/تقویت (DNS/CLDAP/NTP/SSDP/memcached/mDNS)، سیل GRE.
پروتکل/خستگی حالت: سیل SYN، سیل ACK/RST، اتصال TCP-خستگی، سیل ICMP، تکه تکه شدن TCP.
ویژگی های QUIC/UDP: طوفان های اولیه/مجدد کاذب، منبع جعلی.

2. 2 L7 (برنامه)

HTTP/1 است. 1: پرس و جو در پشت مسیرهای گران قیمت، قاچاق هدر بزرگ/زمینه.
HTTP/2: تنظیم مجدد سریع، جریان سیل، سیل HEADERS، سوء استفاده اولویت.
HTTP/3 (QUIC): اتصالات/موضوعات بدون خاتمه، سیل اولیه.
атаки آهسته: slowloris/slow-read/slow-POST.
gRPC/WebSocket: جریان بی پایان، سیل پیام، فریم های بزرگ.

3) معماری امنیتی پایه

1. هر کدام + شستشو

اسپری ترافیک در سطح جهانی و رانندگی از طریق مراکز اسکراب ارائه دهنده (قطع حجمی/spoofing در لبه).

2. چند CDN/چند لبه

جداسازی دامنه (وب، API، استاتیک)، جمع آوری حفاظت و حافظه پنهان برای بار خواندن.

3. فیلترهای سطح پایین در محیط آن

ACL ها در روترهای مرزی (RFC1918، bogon، پورت های دروغین شناخته شده).
eBPF/XDP برای اوایل قطره در امضا و نرخ محدودیت تا conntrack.

4. L7 محیط (NGINX/نماینده/WAF)

فشرده سازی RPS توسط کلید، چالش (captcha/PoW)، کش، اولویت بندی مسیرهای «گران».

5. ثبات داخلی

استخرهای اتصال، صف، مدار/زمان، جداسازی سرویس (فضای خالی) و خودکار سازی shedder.

4) شبکه «دریچه»: چه به نوبه خود در بلافاصله

4. 1 لینوکس sysctl (هسته/پشته)

bash
TCP SYN flood sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_synack_retries=3

Conntrack/sysctl -w net tables. netfilter. nf_conntrack_max=262144 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_established=300

ICMP/redirect sysctl -w net. ipv4. icmp_echo_ignore_broadcasts=1 sysctl -w net. ipv4. conf. all. accept_redirects=0 sysctl -w net. ipv4. conf. all. send_redirects=0

sysctl -w net socket resources. core. somaxconn=4096 sysctl -w net. core. netdev_max_backlog=250000 sysctl -w net. core. rmem_max=134217728 sysctl -w net. core. wmem_max=134217728

4. 2 nftables: فیلترهای اساسی و ratelimit بر روی بسته

nft table inet filter {
sets {
bogon { type ipv4_addr; flags interval; elements = { 0. 0. 0. 0/8, 10. 0. 0. 0/8, 100. 64. 0. 0/10,
127. 0. 0. 0/8, 169. 254. 0. 0/16, 172. 16. 0. 0/12, 192. 0. 2. 0/24, 192. 168. 0. 0/16, 198. 18. 0. 0/15, 224. 0. 0. 0/4 } }
}
chains {
input {
type filter hook input priority 0; policy drop;
ip saddr @bogon drop ct state established,related accept

UDP amplification ports - limit pps udp dport {53,123,1900,11211,389,1900,5353} limit rate over 2000/second drop

SYN rate-limit tcp flags syn tcp dport {80,443} limit rate over 2000/second drop

ICMP flood ip protocol icmp limit rate 100/second accept
}
}
}

4. 3 XDP/eBPF (ایده)

بسته های اولیه قطره با منبع جعلی (uRPF در روتر خوش آمدید).
سطل هش pps/32 و per/24 ؛ «قرنطینه» پویا از منابع.
UDP-reflection: امضاهای پاسخ مانند DNS (فیلتر کردن خارج از متن).

5) تقویت UDP: موجودی و بلوک

بازتابنده ها/تقویت کننده های مکرر: DNS (resolvers باز)، NTP (monlist)، CLDAP، SSDP، mDNS، Memcached (UDP)، Chargen.

اقدامات انجام شده:
  • بستن/محدود کردن خدمات UDP، به حداقل رساندن پورت های باز.
  • در محیط، pps/bitrate را برای پورت های شناخته شده محدود کنید.
  • توصیه DNS: بازگشتی فقط برای شبکه های آن، RRL (محدود کردن سرعت پاسخ)، به حداقل رساندن ANY.
  • NTP - تنها «بوت استرپ» به اعتماد، «noquery» برای عمومی است.

6) خستگی حالت TCP

سیل SYN: 'tcp _ syncookies = 1'، افزایش 'tcp _ max _ syn _ backlog'، 'synack _ retries = 3'، قطره به pps.
سیل ACK/RST: محدودیت های سطح پایین، غربالگری توالی های نامشروع (nftables/ebpf).
Conntrack-less در مرز: جداول دولتی را که در آن فیلتر با امضای بدون حالت امکان پذیر است، هدر ندهید.

7) حملات HTTP/2/3 و هوشمند L7

HTTP/2 تنظیم مجدد سریع: محدود کردن فرکانس فریم های RST و تعداد جریان های باز ؛ بستن اتصال در صورت ناهنجاری.
سوء استفاده از جریان: лимит جریان همزمان، اندازه هدر، حداکثر اندازه قاب.
QUIC/HTTP/3: محدود کردن PPS اولیه, فعال کردن سعی مجدد; زمانهای کوتاه دست دادن.

NGINX (قطعه L7)

nginx
Header/body constraint client_max_body_size 1m;
large_client_header_buffers 4 8k;

HTTP/2 limits http2_max_concurrent_streams 128;
http2_recv_buffer_size 256k;

Rate limit by IP (example)
limit_req_zone $binary_remote_addr zone=reqs:20m rate=100r/s;
limit_req zone=reqs burst=200 nodelay;

نماینده (ضد تنظیم مجدد و محدودیت)

yaml http2_protocol_options:
max_concurrent_streams: 128 initial_stream_window_size: 65536 max_outbound_frames: 10000 stream_error_on_invalid_http_messaging: true

8) حملات آهسته و حفاظت از منابع

Slowloris/slow-read/slow-POST: فعال کردن 'proxy _ request _ buffering on', low idle-timeout, minimum acceptable 'read _ rate'.
اتصالات را در یک فاصله بین بسته طولانی در هر درخواست خاتمه دهید.
در برنامه - خواندن اولیه/دور انداختن بدن، محدودیت اندازه/عمق JSON.

9) فیلتر L7: چه کسی مهم تر است - اجازه دهید آن را منتقل کند

طبقه بندی ترافیک: شناخته شده خوب (شرکای mTLS/JWT)، کاربران ثبت نام شده، ناشناس.
اولویت: «گران» نوشتن مسیر (سپرده/نتیجه گیری) - محافظت, اما از دست تایید; خواندن دایرکتوری ها - کش + دریچه گاز.
لایه چالش: captcha/PoW/JS چالش برای مناطق خاکستری در اوج.

10) کش، ائتلاف و تخریب

کش لبه برای پاسخهای ایستا/شبهاستاتیکی، «stale-while-revalidate».
درخواست coalescing: فروپاشی درخواست های موازی به یک کلید - در پروکسی و در برنامه.
حالت Degrade: ویژگی های ثانویه (شخصی سازی، گزارش های سنگین) را غیرفعال کنید، صفحات «سبک» را صادر کنید.

11) قابلیت مشاهده و تله متری

معیارها (در هر POP/گره/خوشه):
  • L3/L4: 'pps _ in/out', 'bps _ in/out', 'drop _ pps {reason}', 'syn _ recv', 'conntrack _ used/limit', 'xdp _ drop _ pps'.
  • L7: 'requests _ total {route}', '429 _ total', 'challenge _ total {type}', 'h2 _ rst _ rate', 'slow _ req _ total'.
  • وابستگی ها: CPU IRQ نرم/سخت، صف NIC قطره، طول صف اجرا.

سیاهههای مربوط: نمونه, جمع توسط/24, ASN, پورت ها و امضا; بدون PII

ردیابی: فعال کردن در لیست های سفید، سقوط گسترش نمونه برداری برای اشکال زدایی.

12) برنامه های پاسخ (runbook)

1. تشخیص: راه اندازی آستانه های pps/bps/429/h2_rst_rate.
2. طبقه بندی: سطح (L3/4/7)، پروتکل (UDP/TCP/h2/h3)، geo/ASN.

3. دریچه ها:
  • پروفیل های تمیز کردن/سیاه چاله را در ارائه دهنده فعال کنید
  • محدودیت های nftables/ebpf را تقویت کنید
  • محدودیت L7 را کاهش دهید و چالش ها را افزایش دهید
  • فعال کردن تلاش مجدد برای QUIC (سیل اولیه).
  • 4. ارتباطات: صفحه وضعیت، قالب اطلاع رسانی شریک.
  • 5. پزشکی قانونی: ضبط PCAP برای 60-120 ثانیه، نمونه برداری از ASN ها/پورت های بلندگو بالا.
  • 6. گذشته نگر: امضای به روز رسانی، آستانه، لیست بازتابنده.

13) تست و مته

DDoS-drill playbooks سه ماهه: انفجار مصنوعی UDP/HTTP، ترافیک آهسته، تنظیم مجدد HTTP/2.
روز بازی: سوئیچ های Anycast/مهاجرت بین CDN ها، تخریب به «حالت آسان».
تأیید ارائه دهنده: اسکراب SLA، زمان روشن/خاموش فیلتر، حداکثر pps/bps.

14) ضد گلوله

برای حمله حجمی فقط به L7-WAF تکیه کنید.
بدون uRPF/ACL در محدوده و conntrack سنگین فیلتر سر در.
هدر/بدن نامحدود و طولانی نگه داشتن زنده در اوج.
تنها منطقه/ROR بدون Anycast/چند لبه.
بدون موجودی NIC/IRQ/CPU و نظارت بر صف.
بدون کش/coalescing - RPS اضافی برای باطن.

15) ویژگی های iGaming/امور مالی

قله های موقت (مسابقات/دربی/قرعه کشی لوتو): ظرفیت POP را از قبل گسترش دهید، شامل ضرایب تهاجمی، چالش های قناری برای افراد ناشناس است.
مسیرهای پرداخت/خروجی: یک استخر لبه جداگانه با mTLS، زمان کوتاه، محدودیت های رقابتی ؛ بدون 0-RTT.
سیاستمداران جغرافیایی: چراغ های منطقه ای، فیلتر کردن ASN «میزبانی»، جابجایی سریع جغرافیایی.
تقاطع با ضد تقلب: محدودیت های سرعت و API ریسک در یک حادثه DDoS به یک نمایه «سخت» می روند.

16) تولید لیست آمادگی

  • Anycast или چند لبه/CDN ؛ کانال های شستشو بررسی شده است.
  • مرز ACL/uRPF ؛ پروفایل های nftables/ebpf/XDP، فیلتر کردن بدون اتصال.
  • تنظیم Sysctl TCP/SYN، محدود کردن pps برای پورت های تقویت کننده UDP.
  • محدودیت های HTTP/2/3 (جریان ها، فریم ها، هدر ها)، حفاظت آهسته، محدودیت های بدن/هدر.
  • محدودیت L7 و چالش ؛ کش و coalescing در محیط.
  • داشبورد pps/bps/conntrack/IRQ + L7 RED ؛ هشدار به ناهنجاری های h2_rst/429
  • Runbook/playbooks، مخاطبین ارائه دهنده، پروفایل های فعال سازی با یک کلیک.
  • آموزش: انفجار، آهسته، HTTP/2 تنظیم مجدد ؛ گزارش و بهبود رکورد.
  • استخر تقسیم برای پرداخت/مسیرهای بحرانی، mTLS، و محدودیت های سخت.

17) TL ؛ دکتر متخصص

حفاظت از طبقه بندی: Anycast + scrubbing حجم dampens، eBPF/XDP + nftables زباله را به پشته کاهش می دهد، محدودیت های L7/چالش ها/حافظه پنهان SLA را حفظ می کند. تنظیم TCP (کوکی های SYN، backlog)، محدود کردن تقویت کننده های UDP، تنظیم محدودیت های HTTP/2/3 و حفاظت آهسته. یک runbook داشته باشید و آن را آموزش دهید. برای iGaming - گسترش لبه در پیشبرد در طول ساعات اوج و مسیرهای پرداخت جداگانه با mTLS و محدودیت های سخت.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.