DDoS коргоо жана чыпкалоо пакеттери

Кыскача резюме

DDoS чабуулдары үч классты камтыйт: L3/L4 volumetric (каналды/жабдууларды бүтүрүү), state-exhaustion (баланстагылардагы/CPU таблицаларын бүтүрүү) жана L7 (тиркемеге "ишенимдүү" суроо-талаптарды жаратуу). Эффективдүү коргонуу бир нече катмарга курулат: периметрдеги тармактык чаралар, сиздин тармактын сыртында чыпкалоо/скраббинг, баланстагылар/прокси жана тиркемеде коргоо, плюс өлчөнгөн SLO менен операциялык процедуралар.

Коркунуч пейзажы

Volumetric (UDP/ICMP flood, DNS/NTP/SSDP/CLDAP/Memcached): максаты - каналды жана портторду толтуруу.
TCP state-exhaustion (SYN/ACK flood, TCP fragmentation, "жарым конус" кошулмалары): conntrack/listeners түгөнүп.
L7 HTTP (S )/WebSocket/GraphQL flood, cache-busting, "жай" суроолор: CPU/IO колдонмолорду жана кэш катмарын жеп.
Reflection/Amplification: IP булагы алмаштыруу менен ачык reflectors/amplifiers колдонуу.
Carpet Бомбинг: IP/префикстердин көптүгү боюнча трафикти бөлүштүрүү, чекиттик чыпкалоону татаалдаштыруу.

Негизги тармактык чаралар (чабуулга чейин)

1. Antispufing: чек uRPF/BCP38; башка бирөөнүн булактары менен чыккан пакеттерди талкалап.
2. edge/PE боюнча ACL: жагымсыз протоколдорду/портторду тыюу салуу; mgmt-сегмент үчүн өзүнчө тизмелери.
3. CoPP (Control Plane Policing): багыттоочу үчүн саясат (BGP, OSPF, SSH, SNMP).
4. Rate-limits/порттордо саясат: bps/PPS үчүн "ызы-чуу" класстары, бурст-жөндөөлөрү.
5. Жүктү бөлүштүрүү: коомдук IP үчүн Anycast, georasses; статикалык жана кэш үчүн CDN/WAAP.
6. RPKI/ROA + катуу импорт BGP: Highjack/багыттоо жол коркунучун азайтат.
7. Surface reduction: жарыяланган кызматтарды минималдаштыруу, прокси үчүн "чийки" origin жабуу.

Кол салууда тез жооп: тармак рычагдары

RTBH (Remote Triggered Blackhole): нөл маршруту/32 (же/128) курмандык үчүн BGP-коомчулук.
BGP Flowspec: тез бөлүштүрүү L3/L4 эрежелери (src/dst/порт/TCP желектери) PE/edge.
Scrubbing борборлору/анти-DDoS провайдерлери: GRE/VRF туннели же түз агымы; чыпкалоо, андан кийин "таза" трафик сизге.
Anycast-анти-DDoS: бар поинт боюнча агымын бөлүп, зыянды локалдаштыруу.
CDN/edge кэш: экраны origin, берет L7-лимиттери жана "challenge" механизмдери.

Башкы жана L4-коргоо

SYN кукилер/SYNPROXY: кардар ырастоо чейин мамлекеттик эмес.

Linux: `sysctl net. ipv4. tcp_syncookies=1' же 'SYNPROXY' кириш балансында.

Тюнинг conntrack (колдонулган болсо):

'nf _ conntrack _ max' акылдуу hashsize жогорулатуу;
"Жарым ачык" жана активдүү эмес абалдар үчүн убакытты кыскартыңыз.
eBPF/XDP: NIC (PPS коргоо) боюнча эрте кыртыш, белги/ядро ылдамдыгы чыпкалоо.
nftables/iptables: PPS боюнча чектөөлөр, "шектүү" желектерди ыргытып, connlimit.
UDP hardening: Эгерде кызмат UDP колдонбосо - чек арадагы дроп; колдонсо - булактарды/портторду чектөө.

Мисал 'nftables' (жөнөкөйлөштүрүлгөн):

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

SYNPROXY кириш балансында (мисалы, 'iptables'):

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7-коргоо (кыска)

WAAP/WAF: сын жолдор боюнча оң модель, rate-limits, challenge/JS, жүрүм-турум эсеби.
Кэш/статикалык offload: origin чейин суроо-талаптарды азайтуу; cache-busting коргоо (нормалдаштыруу/кара параметрлер тизмеси).
GraphQL чектөө: 'maxDepth', 'maxCost', прод-жылы introspection тыюу салуу.
BFF үлгү: жука кардар токендер, оор логика/Server боюнча чектөөлөрдү.
Идемпотенттүүлүк жана кезек: деградация учурунда кар көчкү түрүндөгү кайталануулардын алдын алуу.

Телеметрия жана аныктоо

Тармак агымдары: NetFlow/sFlow/IPFIX (pps, top talkers, протоколдор/порттор/ASN).
Пассивдүү сенсорлор L7: баланстагыч/прокси (nginx/envoy), метриктер p95/99, error-rate.
Негизги босоголор: "edge боюнча PPS/CPU күтүүсүз өсүшү", "SYN-RECV өсүшү", "UDP жоопсуз".
Белгилер/жүрүм-турум: IP/ASN/JA3 жыштыктары, 4xx/5xx жарылуулар, колдонуучу-агенттин аномалиялары.
Визуализация: жеке дашборддор L3/L4/L7; гео/ASN боюнча трафик картасы; RTBH/Flowspec чейин убакыт.

SLO/SLI жана alerting

SLO мисалдар:

"MTTD DDoS ≤ 60 сек, MTTM (RTBH/Flowspec жандандыруу) ≤ 3 мин".
"p95 latentity аркылуу edge ≤ 50 ms кол салуу; кол салууда ≤ 200 мс".
"Ташталган зыяндуу трафиктин үлүшү 99% ≥, ал эми ≥ 98% легитимдүү".

Алармалар:

PPS/CPU/IRQ тармак түйүндөрү> босого;
SYN-RECV/half-open > X;
өсүү 5xx/latency коомдук end-пункттарында;
WAF> босогосунда challenge/deny пайызы (FP тобокелдиги).

Архитектуралык коргоо үлгүлөрү

1. Tiered Defense: Edge (ACL/CoPP) → Scrubbing/Anycast → L7-прокси/WAAP → колдонмо.
2. Traffic Diversion: BGP коомчулугу скраббинг көчүп, GRE-бекхол сууга түшүү учурунда.
3. Stateless Edge: conntrack чейин максималдуу stateless чыпкалоо; stateful - тиркемеге жакын.
4. eBPF/XDP биринчи: алгачкы тамчы (JA3/порттору/ылдамдыгы) ядро.
5. Golden Paths: критикалык API үчүн өзүнчө IP/домендер, баарын толугу менен "жок".

Операциялык процедуралар жана инциденттер

Runbooks: Ким жана кандай метриктер RTBH/Flowspec/скраббинг, Anycast/пулдарды кантип которууга болот.
Кара тизмелери жана TTL: блок кыска мөөнөттүү эмес, "ашып"; автоматтык кайра-тест булактары.
Байланыш: провайдерлерге/өнөктөштөргө/сатуучуларга билдирүүлөрдүн шаблондору; кол салуучу доменден тышкаркы байланыш каналы.
Post-Incident: убакыт шкаласы менен отчет (T0... Tn), "иштеген/жок", сыноо каталогун жаңыртуу.
көнүгүүлөр: үзгүлтүксүз оюн-күн: RTBH dry-run, аймакты жоготуу Anycast, saturation link, "жай" кол салуулар.

Тюнинг Linux/балансы (тандоо)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Көп каталар

edge → conntrack чарчоо боюнча stateful-firewall аркылуу бардык жол кармап. Мүмкүн болгон жерде stateless кылгыла.
Кеч RTBH/Flowspec → канал мурунтан эле "нөлгө". Автоматташтырылган босоголор жана күйгүзүү.
Бир IP/бир фронт үчүн "бардык" → эч кандай изоляция blast radius. Домендерди/IP жана квоталарды бөлүшүү.
Нөл кэш → ар бир L7-кайрылуу origin уруп; параметрлерин кэш жана нормалдаштыруу кирет.
Өлкөлөр/ASNди легит анализи жок сокур бөгөттөө - конверсияны кесип; нюанстык эрежелерди/чакырыктарды колдонуңуз.
Өтө агрессивдүү чектер → бизнестин туу чокусунда массалык FP.

Жол картасы ишке ашыруу

1. Бетти баалоо: IP/префикстерди/портторду/протоколдорду инвентаризациялоо, критикалык жолдордун картасы.
2. Тармак гигиенасы: antispufing, ACL, CoPP, RPKI/ROA, ашыкча UDP кызматтарынан баш тартуу.
3. Трафиктин диверсиясы: скраббинг провайдери менен келишим, Anycast/CDN, BGP communities.
4. Edge-тюнинг: stateless-чыпкалоо, SYNPROXY/eBPF, акылга сыярлык conntrack убакыт.
5. L7/WAAP: оң модель, чектер/чакырыктар, кэш.
6. Байкоо: NetFlow/sFlow, dashboard L3/L4/L7, Алерт, SLO.
7. Автоматташтыруу: RTBH/Flowspec баскычтары, эрежелер үчүн IaC, канарейка конфигурациялары.
8. көнүгүүлөр жана RCA: үзгүлтүксүз тесттер, playbook жаңыртуу.

iGaming/Fintech үчүн өзгөчөлүктөрү

Эң жогорку окуялар (турнирлер, акциялар, матчтар): capacity/лимиттерди пландаштыруу, кэш жылытуу, алдын ала warming CDN.
Төлөм интеграциясы: бөлүнгөн IP/домендер, анти-DDoS провайдер аркылуу артыкчылыктуу каналдар, PSP үчүн mTLS, критикалык пункттарга катуу чектөөлөр.
Анти-Frod/бот-контролдоо: каттоо/логин/промо-коддору боюнча жүрүм-турум эсептери жана адам кыйынчылыктар.
UX жана конверсия: агрессивдүү коргоо менен VIP/өнөктөштөр үчүн grace баракчаларын, жумшак деградацияларды (кэш/readonly) колдонуңуз.
Юридикалык талаптар: журналдардын ачык-айкындуулугу, телеметрияны сактоо, Убакыт-Кошелек жана жүгүртүү метрикасына чаралардын таасирин оңдоо.

Мисалдар: Flowspec жана RTBH (түшүнүк)

Community аркылуу RTBH (мисал):


route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

Flowspec (блок UDP> 1 Мбит/19/1900 портуна Interface):


match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF DDoS чечет?
L7 үчүн жарым-жартылай. L3/L4 жана volumetric каршы скраббинг/Anycast/тармактык чаралар керек.

SYN кукилер жетиштүү?
Бул SYN-flood каршы негизги коргоо болуп саналат, бирок тармак чеги жана скраббинг канал жок дагы балл болот.

ICMP өчүрүү керекпи?
Жок. Жакшыраак rate-limit жана гана коркунучтуу түрлөрү, ICMP диагностика/PMTU үчүн пайдалуу.

Скраббинг менен GRE туннели жашыруун кошот?
Ооба, бирок, адатта, жол берилет. Жакынкы PoP үчүн кэш жана так маршрут менен компенсация.

Жыйынтык

Ишенимдүү DDoS коргоо көп баскычтуу архитектура болуп саналат: тармак гигиенасы (antispufing/ACL/CoPP), жол кыймылын тез саботаж (RTBH/Flowspec/scrubbing/Anycast), башкы жана L7-механизмдери (SYNPROXY, eBPF/XDP, WAAP), плюс телеметрия, SLO жана жөндөлгөн ойноткучтар. Мындай ыкма жөнөкөй азайтат, каналдарды тирүү кармап турат жана бөлүштүрүлгөн чабуулдардын басымы астында да бизнес-метриканы сактап калат.