DDoS-қорғау және пакеттерді сүзу

Қысқаша түйіндеме

DDoS-шабуылдардың үш класы болады: L3/L4 volumetric (каналды/жабдықты бітейді), state-exhaustion (баланстарда/файрволдарда/CPU жай-күй кестелерін бітіреді) және L7 (қосымшаға «шынайы» сұрау салуларды шығарады). Тиімді қорғаныс бірнеше қабатқа құрылады: периметрдегі желілік шаралар, сіздің желісіңізден тыс сүзу/скраббинг, теңгерімдердегі/проксидегі және қосымшадағы қорғаныс, плюс өлшенетін SLO бар операциялық рәсімдер.

Қатерлер пейзажы

Volumetric (UDP/ICMP flood, DNS/NTP/SSDP/CLDAP/Memcached): мақсаты - арна мен порттарды толтыру.
TCP state-exhaustion (SYN/ACK flood, TCP fragmentation, «жарты бүрге» қосылыстары): conntrack/листенерлерді сарқу.
L7 HTTP (S )/WebSocket/GraphQL flood, cache-busting, «баяу» сұраулар: CPU/IO қосымшаларын және кэш қабатын жеу.
Reflection/Amplification: IP көзін ауыстыру арқылы ашық рефлекторларды/амплифайерлерді пайдалану.
Carpet bombing: трафикті көп IP/префикстер бойынша бөлу, нүктелік сүзуді қиындатады.

Базалық желілік шаралар (шабуылдарға дейін)

1. Антиспуфинг: шекарадағы uRPF/BCP38; бөтен көздері бар шығыс пакеттерді бөлшектеу.
2. edge/PE ACL: жағымсыз хаттамаларға/порттарға тыйым салу; mgmt-сегменті үшін жеке тізімдер.
3. CoPP (Control Plane Policing): маршрутизаторға полисинг (BGP, OSPF, SSH, SNMP).
4. Rate-limits/порттардағы полисинг: bps/PPS «шулы» сыныптар үшін, burst-теңшелімдер.
5. Жүктемені бөлу: жария IP үшін Anycast, георесурстар; Статикалық және кэштелетін CDN/WAAP.
6. RPKI/ROA + қатаң BGP импорты: хайджек/трафикті қайта бағыттау тәуекелін азайтады.
7. Surface reduction: жарияланған сервистерді барынша азайтыңыз, прокси үшін «шикі» origin жабыңыз.

Шабуыл кезіндегі жылдам реакция: желілік тетіктер

RTBH (Remote Triggered Blackhole) :/32 (немесе/128) құрбандардың нөлдік бағыты үшін BGP-коммьюниті.
BGP Flowspec: L3/L4 ережелерін (src/dst/порт/TCP жалаушалары) PE/edge-ге жылдам тарату.
Scrubbing-орталықтар/анти-DDoS провайдерлер: GRE/VRF туннель немесе тікелей апстрим; сүзу, содан кейін сізге «таза» трафик.
Anycast-антиDDoS: поинт бойынша ағынды бөлу, зиянды оқшаулау.
CDN/edge-кэш: origin экранын жасайды, L7-лимиттерін және «challenge» тетіктерін береді.

Хост және L4-қорғау

SYN cookies/SYNPROXY: клиент расталғанға дейін күй ұстамаңыз.

Linux: `sysctl net. ipv4. Кіріс теңгерімінде tcp_syncookies=1' немесе 'SYNPROXY'.

conntrack тюнингі (егер пайдаланылса):

'nf _ conntrack _ max' дегенді hashsize;
«Жартылай ашық» және белсенді емес күйге арналған таймауттарды қысқартыңыз.
eBPF/XDP: NIC (PPS-қорғау) бойынша ерте ұңғыма, ядроға дейінгі белгі/жылдамдық бойынша сүзу.
nftables/iptables: PPS лимиттері, «күдікті» жалауларды лақтыру, connlimit.
UDP hardening: егер сервис UDP пайдаланбаса - шекарадағы ұсақ; егер пайдаланса - көздерді/порттарды шектеу.

'nftables' мысалы (оңайлатылған):

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

Кіріс теңгеріміндегі SYNPROXY (мысалы 'iptables'):

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7-қорғаныс (қысқаша)

WAAP/WAF: сындарлы жолдардағы оң модель, rate-limits, challenge/JS, мінез-құлық скорингі.
Кэш/статикалық оффлоад: сұрауларды origin дейін азайтамыз; cache-busting (қалыпқа келтіру/параметрлердің қара тізімдері) қорғанысы.
GraphQL шектегіштері: 'maxDepth', 'maxCost', өнімдегі introspection тыйым салу.
BFF-паттерн: жұқа клиенттік токендер, ауыр логика/сервердегі лимиттер.
Теңсіздік және кезектер: тозу кезінде көшкін тәрізді қайталануларды болдырмайды.

Телеметрия және

Желілік ағындар: NetFlow/sFlow/IPFIX (pps, top talkers, протоколдар/порттар/ASN).
Пассивті L7 сенсорлары: баланстар/прокси логтары (nginx/envoy), метриктер p95/99, error-rate.
Базалық табалдырықтар: «PPS/CPU-ның күтпеген өсуі edge», «SYN-RECV-дің көтерілуі», «UDP жауапсыз».
Белгі/мінез-құлық: IP/ASN/JA3 жиілігі, 4xx/5xx жарылысы, user-agent ауытқулары.
Визуализация: жеке дашбордтар L3/L4/L7; гео/ASN бойынша трафик картасы; RTBH/Flowspec іске қосылғанға дейінгі уақыт.

SLO/SLI және алертинг

SLO мысалдары:

«MTTD DDoS ≤ 60 сек, MTTM (RTBH/Flowspec белсендіру) ≤ 3 мин».
"p95 жасырындылық шабуылдардан тыс edge ≤ 50 мс арқылы; шабуыл кезінде ≤ 200 мс митигирлеу".
«Тасталған зиянды трафиктің үлесі заңды трафиктің 98% ≥ сақтағанда 99% ≥».

Алармдар:

PPS/CPU/IRQ желілік тораптар> табалдырығы;
SYN-RECV/half-open > X;
қоғамдық эндпоинттерде 5xx/latency өсуі;
WAF> табалдырығындағы challenge/deny пайызы (FP тәуекелі).

Қорғаныстың сәулет паттерндері

1. Tiered Defense: Edge (ACL/CoPP) → Scrubbing/Anycast → L7-прокси/WAAP → Қосымша.
2. Traffic Diversion: BGP community скраббингке, GRE-бекхолға түсу үшін.
3. Stateless Edge: conntrack дейін максималды stateless-сүзу; stateful - бағдарламаға жақын.
4. eBPF/XDP First: ядроға дейінгі ерте дроптар (JA3/порттар/жылдамдықтар бойынша).
5. Golden Paths: тұтастай «бұзбау» үшін сыни API үшін жеке IP/домендер.

Операциялық рәсімдер мен инциденттер

Runbooks: RTBH/Flowspec/скраббинг, Anycast/пулды қалай ауыстыру керек.
Қара тізімдер және TTL: «асып кетпеу» үшін қысқа мерзімді блок; автоматты re-test көздері.
Коммуникация: провайдерлерге/серіктестерге/вендерлерге хабарламалар үлгілері; шабуыл жасайтын доменнен тыс байланыс арнасы.
Post-Incident: уақыт шкаласы бар есеп (T0... Tn), «не жұмыс істеді/істемеді», тест каталогын жаңарту.
Жаттығулар: тұрақты game-days: RTBH dry-run, Anycast аймағын жоғалту, saturation link, «баяу» шабуылдар.

Linux/теңгерім тюнингі (таңдау)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Жиі қателер

edge → conntrack бойынша stateful-файрволы арқылы барлық трафикті сақтау. stateless мүмкіндігінше істеңіз.
Кеш RTBH/Flowspec → арнасы «нөлге» жетті. Табалдырықтар мен қосуды автоматтандырыңыз.
«Барлығы» үшін бір IP/бір фронт → blast radius оқшаулауы жоқ. Домендер/IP және квоталарды бөліңіз.
Нөлдік кэш → әрбір L7-жүгіну origin; параметрлерді кэштеу мен қалыпқа келтіруді қосыңыз.
Елдердің/ASN легитті талдаусыз соқыр бұғаттау - конверсияны кеседі; нюанстық ережелерді/челлендждерді пайдаланыңыз.
Тым агрессивті шектеулер → Бизнестің шыңында жаппай FP.

Енгізу жол картасы

1. Бетті бағалау: IP/префикстерді/порттарды/хаттамаларды түгендеу, сындарлы жолдардың картасы.
2. Желі гигиенасы: антиспуфинг, ACL, CoPP, RPKI/ROA, артық UDP қызметтерінен бас тарту.
3. Трафикті диверсиялау: скраббинг-провайдермен, Anycast/CDN, BGP communities.
4. Edge-тюнинг: stateless-сүзу, SYNPROXY/eBPF, ақылға қонымды conntrack таймауттары.
5. L7/WAAP: оң модель, лимиттер/челлендждер, кэш.
6. Байқалуы: NetFlow/sFlow, дашбордтар L3/L4/L7, алерта, SLO.
7. Автоматтандыру: RTBH/Flowspec, ережелерге арналған IaC түймешіктері, канареялық конфигурациялар.
8. Жаттығулар және RCA: тұрақты тесттер, плейбуктерді жаңарту.

iGaming/финтех ерекшеліктері

Ең жоғары оқиғалар (турнирлер, акциялар, матчтар): capacity/лимиттерді жоспарлаңыз, кэштерді жылыту, pre-warming CDN.
Төлем интеграциялары: бөлінген IP/домендер, провайдерге қарсы DDoS арқылы басым арналар, PSP-ге mTLS, сыни эндпоинттерге қатаң лимиттер.
Анти-фрод/бот-бақылау: мінез-құлық скорингтері және тіркеу/логин/промокодтардағы адамдық челлендждер.
UX және конверсия: агрессивті қорғау кезінде VIP/серіктестер үшін grace парақтарын, жұмсақ деградацияларды (кэш/readonly) пайдаланыңыз.
Заңдық талаптар: журналдардың ашықтығы, телеметрияны сақтау, Time-to-Wallet және айналым метрикасына шаралардың әсерін ретке келтіру.

Мысалдар: Flowspec және RTBH (тұжырымдамалық)

RTBH community арқылы (мысал):


route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

Flowspec (UDP блогы> 1 Мбит/19/1900 портына интерфейс):


match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF DDoS шешеді ме?
L7 үшін ішінара. L3/L4 және volumetric қарсы скраббинг/Anycast/желілік шаралар қажет.

SYN cookies жеткілікті ме?
Бұл SYN-flood-тан негізгі қорғау, бірақ желілік лимиттерсіз және скраббингсіз каналды бәрібір толтыруға болады.

ICMP бағдарламасын өшіру керек пе?
Жоқ. Жақсы rate-limit және тек қауіпті түрлері, ICMP диагностика/PMTU үшін пайдалы.

Скраббингі бар GRE-туннель жасырындылықты қоспай ма?
Иә, бірақ әдетте жол беріледі. Кэшпен және ең жақын PoP-ге дейінгі нақты бағытпен өтеңіз.

Жиынтығы

Сенімді DDoS қорғанысы - бұл көп деңгейлі сәулет: желі гигиенасы (антиспуфинг/ACL/CoPP), трафикті тез диверсиялау (RTBH/Flowspec/scrubbing/Anycast), хосттық және L7-тетіктері (SYNPROXY), eBPF/XDP, WAAP), плюс телеметрия, SLO және реттелген плейбуктер. Мұндай тәсіл қарапайымдылықты азайтады, арналарды тірі қалдырады және таратылған шабуылдардың қысымымен де бизнес-метриканы сақтайды.