הגנה על DDOS וסינון חבילה

תקציר

התקפות DDOS מגיעות בשלוש מחלקות: L3/L4 נפח (תעלת סתימה/ציוד), תשישות-מצב (טבלאות פליטה/מעבדים על מאלנסרים/חומות אש) ו-L7 (ליצור בקשות ”סבירות” ליישום). הגנה אפקטיבית נבנית בכמה שכבות: אמצעי רשת בהיקף, סינון/קרצוף מחוץ לרשת שלך, הגנה על מאזנים/פרוקסי היישום, בתוספת נהלים תפעוליים עם SLOs מדידים.

נוף איום

Volumetric (מבול UDP/ICMP, DNS/NTP/SSDP/CLDAP/Memcased): המטרה היא לסתום את התעלה ואת הנמלים.

TCP מצב-תשישות (מבול SYN/ACK, פיצול TCP, חיבורי חצי-חרוט):

L7 HTTP (S )/WebSocket/GraphQL מבול, מטמון, בקשות איטיות: לאכול יישומי מעבד/IO ושכבת מטמון.
השתקפות/הגברה: שימוש במחזירי אור פתוחים/מגברים עם החלפת מקור IP.
הפצצת שטיח: הפצת תנועה על פני מספר תיקוני IP/prefixes, סיבוך סינון נקודה.

אמצעי רשת בסיסיים (לפני התקפות)

1. אנטי-זיוף: uRPF/BCP38 בגבול; זרוק חבילות יוצאות עם מקורות של אנשים אחרים.
2. ACL על קצה/PE: למנוע פרוטוקולים/נמלים בלתי רצויים; רשימות נפרדות לקטע של mgmt.
3. COPP (שיטור מטוס בקרה): ליטוש לנתב (BGP, OSPF, SSH, SNMP).
4. דירוג גבולות/ליטוש בנמלים: bps/PPS לשיעורים ”רועשים”, הגדרות התפרצות.
5. שיתוף טעינה: כל קאסט לאייפד ציבורי, ג 'ורג' סורס; CDN/WAAP עבור סטטי ומטמון.
6. RPKI/ROA + ייבוא BGP קפדני: מפחית את הסיכון של חטיפת תנועה/כיוון מחדש.
7. הפחתת פני השטח: למזער את השירותים שפורסמו, לסגור את המקור ”גולמי” מאחורי פרוקסי.

תגובה מהירה בעת התקפה: מנופי רשת

RTBH (חור שחור מופעל מרחוק): קהילת BGP עבור כביש אפס/32 (או/128) קורבן.
BGP Flowspec: התפשטות מהירה של כללי L3/L4 (src/dst/port/TCP flowspec) ל-PE/edge.
מרכזי קרצוף/אנטי-DDOS: מנהרת GRE/VRF או ישירות במעלה הזרם; סינון, ואז תנועה ”טהורה” אליך.
כל אנטי-DOS: פיצול זרימה על ידי נקודות נוכחות, מיקוד נזק.
CDN/edge cache: shecks exording, נותן L7 מגבלות ומנגנוני ”אתגר”.

מארח והגנת L4

עוגיות SYN/SYNPROXY: לא מחזיקות מעמד עד לאישור הלקוח.

לינוקס: "רשת sysctl. ipv4. tcp_syncookies=1' או 'SYNEXY על מאזן הקלט.

קונטראק מתכוונן (אם משתמשים בו):

המזג 'nf _ contrack _ max' הגיוני על ידי העלאת hashsize;
להפחית פסקי זמן עבור ”חצי פתוח” ומצבים לא פעילים.
EBPF/XDP: ירידה מוקדמת בהגנה על NIC (PPS), סינון חתימה/מהירות לליבה.
גבולות PPS, זורק דגלים ”חשודים”, קונלימיט.
התקשות UDP: אם השירות אינו משתמש ב ־ UDP, טיפה בגבול; אם להשתמש, להגביל מקורות/נמלים.

דוגמה 'nftables' (מפושט):

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

SYNPROXY על מאזן קלט (דוגמה ”iptables”):

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

הגנה L7 (קצר)

מודל חיובי על מסלולים קריטיים, מגבלות קצב, אתגר/JS, ניקוד התנהגותי.
מטענים/הורדה סטטית: הפחתת בקשות למקור; הגנה קורעת מטמון (נורמליזציה/פרמטר רשימות שחורות).
מגבלות GraphQL: "MaxExtreme", "MaxyCost', איסור אינטרוספקציה במכירות.
תבנית BFF: אסימונים דקים ללקוח, היגיון/מגבלות כבדות על השרת.
תורים ותורים: למנוע חזרות דמויי מפולת בזמן השפלה.

טלמטריה ודיסקברי

רשת זורמת: NetFlow/sFlow/IPFIX (pps, top talkers, פרוטוקולים/ports/ASN).
חיישני L7 פסיביים: רישומי איזון/פרוקסי (nginx/transoy), מדדים p95/99, קצב שגיאה.
סף בסיסי: ”צמיחה בלתי צפויה של PPS/CPU על הקצה”, ”SYN-RECV surge”, ”UDP נכזבת”.
חתימות/התנהגות: תדרי IP/ASN/JA3, קוצים 4xx/5xx, חריגות סוכן משתמש.
הדמיה: לוחות מחוונים בודדים L3/L4/L7; זמן מפת התנועה Geo/ASN ל- RTBH/Flowspec.

SLO/SLI והתראה

דוגמאות SLO:

”MTTD של אנומליות DDOS לפני 60 שניות, הפעלה של MTTM (RTBH/Flowspec) ביממה 3 דקות”.
"p95 latency by edge name 50 ms outside attacks; כאשר תוקפים 200 ms תחת הפרדה"
”הנתח של תנועה זדונית שהושלכה ב-99% תוך שמירה על 98% מהתנועה החוקית”.

אזעקות:

PPS/CPU/IRQ של צומתי רשת> סף;
SYN-RECV/חצי פתוח> X;
צמיחה של 5xx/latency בנקודות קצה ציבוריות;
אתגר אחוז/מכחיש ב WAF> סף (סיכון FP).

תבניות ארכיטקטוניות הגנה

1. Tiered Defense: Edge (ACL/COPP) # Scrubbing/Anycast # L7 Proxy/WAAP Ach Application.
2. קהילת BGP לעבור לקרצוף, GRE בקהול לזמן צלילה.
3. קצה חסר מדינה: סינון חסר מעמד מקסימלי לקונטראק; מדינתי - קרוב יותר ליישום.
4. EBPF/XDP תחילה: טיפות מוקדמות (על ידי JA3/ports/speed) לליבה.
5. נתיבי זהב: נפרדים IP/Domains עבור API קריטי כדי לא ”להרוס” הכל לגמרי.

נהלים ואירועים מבצעיים

ריצות: מי ומתחת לאיזה מדדים מדליק את RTBH/Flowspec/קרצוף, איך להחליף את Anycast/bools.
רשימות שחורות ו-TTL: בלוק לטווח קצר כדי לא ”לעקוף”; מקורות בדיקה אוטומטיים.
תקשורת: תבניות הודעה לספקים/שותפים/ספקים; ערוץ תקשורת מחוץ לתחום המותקף.
פוסט-תקרית: דווח עם ציר זמן (T0... ט), ”מה עבד/לא”, עדכון קטלוג הבדיקה.
תרגילים: ימי משחק רגילים: RTBH יבש, אובדן אזור Anycast, רוויית קישור, התקפות ”איטיות”.

Linux/Balancer Tuning (דגימה)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

שגיאות נפוצות

שמור את כל התנועה דרך חומת אש מדינתית על קצה = = תשישות של קונטראק. תעשה חסר מדינה איפה שאתה יכול.
ערוץ RTBH/Flowspec כבר ”לאפס”. "סף אוטומטי ומאפשר.
קצה IP/אחד עבור ”כל” = אין בידוד רדיוס פיצוץ. חלק תחומים/IP ומכסות.
אפס מטמון = כל קריאה של L7 מנצחת את המקור; אפשר נורמליזציה של המטמון והפרמטר.
חסימה עיוורת של מדינות/ASN ללא ניתוח לגאיטי - המרת חתכים; השתמש בניואנסים כללים/אתגרים.
מגבלות אגרסיביות מדי * FP מסיבית בשיא העסקים.

מימוש מפת דרכים

1. הערכת שטח: IP/prefix/port/protocol reventory, מפת נתיב קריטית.
2. היגיינת רשת: אנטי-זיוף, ACL, COPP, RPKI/ROA, סירוב של שירותי UDP מיותרים.
3. הסחת דעת תנועה: חוזה עם ספק קרצוף, Anycast/CDN, קהילות BGP.
4. כוונון קצה: סינון חסר מעמד, SYNPROXY/eBPF, זמן קונטראקס סביר.
5. L7/WAAP: מודל חיובי, גבולות/אתגרים, מטמון.
6. תצפיות: NetFlow/sFlow, לוחות מחוונים L3/L4/L7, התראות, SLO.
7. אוטומציה: כפתורי RTBH/Flowspec, IAC לחוקים, פריסה קנרית של תצורות.
8. תרגילים ורשות ני "ע: בדיקות רגילות, עדכוני תוכנית.

תכונות עבור iGaming/fintech

אירועי שיא (טורנירים, קידום, התאמות): קיבולת/מגבלות תוכנית, חימום מטמונים, CDN טרום התחממות.
אינטגרציית תשלומים: IP/domains ייעודית, ערוצים בעדיפות ראשונה באמצעות ספק אנטי DDOS, mTLS עד PSP, מגבלות מחמירות על נקודות קצה קריטיות.
נגד הונאה/בקרת בוט: ניקוד התנהגותי ואתגרים אנושיים בקודי רישום/התחברות/פרומו.
UX והמרה: עם הגנה אגרסיבית, השתמש ברשימות חסד עבור VIP/partners, השפלה רכה (מטמון/reconly).
דרישות חוקיות: שקיפות רישום, אחסון טלמטריה, ניפוי דיבוג ההשפעה של אמצעים על מדדי זמן-לארנק ומדדי תחלופה.

דוגמאות: Flowspec ו ־ RTBH (מבחינה קונספטואלית)

RTBH באמצעות קהילה (דוגמה):


route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

Flowspec (יחידת UDP> 1 Mbit/ממשק לפורט 19/1900):


match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF פותר DDOS?
חלקית עבור אל-7. כנגד L3/L4 ונפח, יש צורך בקרצוף/Anycast/network.

עוגיות SYN מספיק?
זוהי הגנה בסיסית מפני שיטפון SYN, אך ללא מגבלות רשת וקרצוף, הערוץ עדיין יכול להיסתם.

האם אני צריך לנטרל ICMP?
לא, זה לא מגבלת קצב טובה יותר ורק סוגים מסוכנים, ICMP שימושי לאבחון/PMTU.

מנהרה עם קרצוף לא תוסיף איחור?
כן, אבל בדרך כלל מקובל. לפצות עם מטמון ומסלול מדויק אל PoP הקרוב.

סך הכל

הגנת DDOS אמינה היא ארכיטקטורה מרובת רמות: היגיינת רשת (אנטי-ספוג/ACL/COPP), הסחת תנועה מהירה (RTBH/Flowspec/scrubspect/Anycast), מנחה ו-L7 (SYNPROXY Y DP, WAP), פלוס טלמטריה, SLO, וחוברות השמעה. גישה זו מקטינה את זמן ההשבתה, שומרת על ערוצים בחיים, ושומרת על מדדים עסקיים אפילו תחת לחץ מהתקפות מבוזרות.