Ochrona DDoS i filtrowanie pakietów
Krótkie podsumowanie
Ataki DDoS odbywają się w trzech klasach: L3/L4 objętościowej (kanał/sprzęt), wyczerpania stanu (tabele stanu spalin/procesory na balancerach/zaporach) i L7 (generowanie „wiarygodnych” żądań do aplikacji). Skuteczna obrona jest zbudowana w kilku warstwach: środki sieciowe na obwodzie, filtrowanie/szorowanie poza siecią, ochrona na balancerach/serwerach proxy i aplikacji oraz procedury operacyjne z wymiernymi SLO.
Krajobraz zagrożenia
Objętość (powódź UDP/ICMP, wzmacnianie DNS/NTP/SSDP/CLDAP/Memcached): celem jest zatkanie kanału i portów.
Wyczerpanie stanu TCP (powódź SYN/ACK, rozdrobnienie TCP, połączenia półstożkowe): łącznik wydechowy/słuchacz.
L7 HTTP (S )/WebSocket/GraphQL powódź, cache-busting, „powolne” żądania: jeść aplikacje CPU/IO i warstwę pamięci podręcznej.
Odbicie/wzmacnianie: zastosowanie otwartych reflektorów/wzmacniaczy z substytucją źródła IP.
Bombardowanie dywanów: dystrybucja ruchu przez wiele IP/przedrostków, komplikujące filtrowanie punktów.
Podstawowe środki sieciowe (przed atakami)
1. Antyspoofing: uRPF/BCP38 na granicy; zrzucić wychodzące pakiety ze źródłami innych ludzi.
2. ACL na krawędzi/PE: zaprzeczanie niepożądanym protokołom/portom; oddzielne listy dla segmentu mgmt.
3. CoPP (Control Plane Policing): polerowanie routera (BGP, OSPF, SSH, SNMP).
4. Limity stawek/polerowanie na portach: bps/PPS dla klas „hałaśliwych”, ustawienia pęknięcia.
5. Podział obciążenia: Anycast dla publicznych IP, georesources; CDN/WAAP dla statycznych i buforowanych.
6. RPKI/ROA + ścisły import BGP: zmniejsza ryzyko porwania/przekierowania ruchu.
7. Redukcja powierzchni: zminimalizować publikowane usługi, zamknąć „surowe” pochodzenie za proxy.
Szybka reakcja podczas ataku: dźwignie sieciowe
RTBH (Remote Triggered Blackhole): społeczność BGP dla ofiary trasy zero/32 (lub/128).
BGP Flowspec: szybka propagacja reguł L3/L4 (src/dst/port/TCP flag) do PE/edge.
Centra szorowania/dostawcy anty-DDoS: tunel GRE/VRF lub bezpośrednio w górę rzeki; filtrowanie, a następnie „czysty” ruch do ciebie.
Anycast- DDoS: podział przepływu według punktów obecności, lokalizacja uszkodzeń.
CDN/cache krawędzi: ekrany pochodzenia, daje limity L7 i „wyzwanie” mechanizmy.
Ochrona hosta i L4
Pliki cookie SYN/SYNPROXY: Nie posiadaj statusu do momentu potwierdzenia przez klienta.
Linux: 'sysctl net. ipv4. tcp_syncookies=1' lub 'SYNPROXY' na balancerze wejściowym.
Łącznik dostrajający (jeżeli jest używany):- Temper 'nf _ conntrack _ max' rozsądnie podnosząc hashsize;
- Skrócenie czasu na „półotwarte” i nieaktywne stany.
- eBPF/XDP: wczesny spadek na NIC (ochrona PPS), filtrowanie sygnatury/prędkości do rdzenia.
- nftables/iptables: granice PPS, odrzucanie „podejrzanych” flag, connlimit.
- Utwardzanie UDP: jeśli usługa nie korzysta z UDP, spadek na granicy; w przypadku użycia ograniczyć źródła/porty.
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop
limit new TCP tcp flags & (syn ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn ack) == syn drop
deny bad UDP ports udp dport @ bad _ ports drop
ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROPOchrona L7 (krótka)
WAAP/WAF: pozytywny model na ścieżkach krytycznych, limity stawek, wyzwanie/JS, punktacja behawioralna.
buforowanie/wyładunek statyczny: zmniejszenie wniosków o pochodzenie; zabezpieczenie cache-busting (normalizacja/czarnej listy parametrów).
Ograniczenia GraphQL: 'maxDepth', 'maxCost', zakaz introspekcji w sprzedaży.
Wzór BFF: cienkie żetony klienta, ciężka logika/limity na serwerze.
Idempotencja i kolejki: zapobiegać powtórzeniom przypominającym lawinę podczas degradacji.
Telemetria i odkrycie
Przepływy sieciowe: NetFlow/sFlow/IPFIX (pps, top talkers, protocols/ports/ASN).
Pasywne czujniki L7: balancer/proxy logs (nginx/envoy), metryki p95/99, wskaźnik błędów.
Podstawowe progi: „nieoczekiwany wzrost PPS/CPU na krawędzi”, „wzrost SYN-RECV”, „niezapowiedziany UDP”.
Podpisy/zachowanie: częstotliwości IP/ASN/JA3, kolce 4xx/5xx, anomalie użytkownika-agenta.
Wizualizacja: indywidualne deski rozdzielcze L3/L4/L7; Geo/ASN czas mapy ruchu do RTBH/Flowspec.
SLO/SLI i ostrzeganie
Przykłady SLO:- „MTTD anomalii DDoS ≤ 60 s, MTTM (aktywacja RTBH/Flowspec) ≤ 3 min”.
- "opóźnienie p95 przez krawędź ≤ 50 ms na zewnątrz ataków; podczas ataku ≤ 200 ms w warunkach łagodzących".
- „Udział odrzuconego złośliwego ruchu ≥ 99% przy utrzymaniu ≥ 98% legalnego ruchu”.
- PPS/CPU/IRQ węzłów sieciowych> próg;
- SYN-RECV/półotwarte> X;
- 5xx/latency growth on public endpoints;
- procentowe wyzwanie/odmowa przy WAF> próg (ryzyko FP).
Wzory architektoniczne obrony
1. Wielopoziomowa obrona: krawędź (ACL/CoPP) → Szorowanie/Anycast → L7 Proxy/WAAP → Aplikacja.
2. Przekierowanie ruchu: społeczność BGP, aby przejść do szorowania, GRE beckhol na czas nurkowania.
3. Krawędź bezpaństwowca: maksymalne filtrowanie bezpaństwowców do conntrack; statile - bliżej aplikacji.
4. eBPF/XDP Po pierwsze: wczesne krople (przez JA3/ports/speed) do rdzenia.
5. Złote ścieżki: oddzielne IP/domeny dla krytycznych interfejsów API, aby nie „wyburzyć” wszystkiego całkowicie.
Procedury operacyjne i incydenty
Runbooks: kto i pod jakimi metrykami włącza RTBH/Flowspec/szorowanie, jak przełączyć Anycast/baseny.
Czarne listy i TTL: krótkoterminowy blok, aby nie „przekroczyć”; automatyczne źródła ponownego badania.
Komunikacja: szablony wiadomości dla dostawców/partnerów/sprzedawców; kanał komunikacyjny poza zaatakowaną domeną.
Po incydencie: raport z harmonogramem (T0... Tn), „co działało/nie”, aktualizując katalog testów.
Ćwiczenia: regularne dni gry: RTBH na sucho, utrata regionu Anycast, nasycenie łącza, „powolne” ataki.
Linux/Balancer Tuning (Sample)
bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1
Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15
NIC/IRQ ethtool -G eth0 rx 4096 tx 4096Częste błędy
Zachować cały ruch przez firewall na krawędzi → wyczerpanie conntrack. Rób bezpaństwowiec gdzie możesz.
Późny RTBH/Flowspec → kanał jest już "do zera. "Automatyzuj progi i włączanie.
Jedna krawędź IP/jeden dla „wszystkich” → brak izolacji promienia wybuchu. Podziel domeny/IP i kwoty.
Zero cache → każde wywołanie L7 bije pochodzenie; Włącz buforowanie i normalizację parametrów.
Blokowanie krajów/ASN bez analizy legitów - konwersja cięć; korzystać z niuansowanych zasad/wyzwań.
Zbyt agresywne limity → ogromny FP na szczycie biznesu.
Plan realizacji
1. Ocena powierzchni: IP/prefix/port/protocol inventory, mapa ścieżki krytycznej.
2. Higiena sieci: anty-spoofing, ACL, CoPP, RPKI/ROA, odmowa niepotrzebnych usług UDP.
3. Przekierowanie ruchu: umowa z dostawcą szorowania, Anycast/CDN, społeczności BGP.
4. Dostrajanie krawędzi: filtrowanie bezpaństwowe, SYNPROXY/eBPF, rozsądne timeouts conntrack.
5. L7/WAAP: pozytywny model, limity/wyzwania, pamięć podręczna.
6. Obserwowalność: NetFlow/sFlow, L3/L4/L7 desek rozdzielczych, wpisy, SLO.
7. Automatyzacja: przyciski RTBH/Flowspec, IaC dla reguł, kanaryjski układ konfiguracji.
8. Wiertarki i RCA: regularne testy, aktualizacje odtwarzania.
Funkcje dla iGaming/fintech
Wydarzenia szczytowe (turnieje, promocje, mecze): pojemność/granice planu, bufory rozgrzewające, CDN przed ociepleniem.
Integracje płatności: dedykowane IP/domeny, kanały priorytetowe za pośrednictwem dostawcy anty-DDoS, mTLS do PSP, ścisłe limity krytycznych punktów końcowych.
Anty-fraud/bot control: behawioralne punktowanie i ludzkie wyzwania przy rejestracji/login/kody promocyjne.
UX i konwersja: z agresywną ochroną, użyj list grace dla VIP/partnerów, miękkiej degradacji (pamięci podręcznej/czytelnie).
Wymogi prawne: przejrzystość kłód, przechowywanie telemetrii, debugowanie wpływu środków na czas do portfela i wskaźniki obrotu.
Przykłady: Flowspec i RTBH (koncepcyjnie)
RTBH za pośrednictwem społeczności (przykład):
route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000NAJCZĘŚCIEJ ZADAWANE PYTANIA
WAF rozwiązuje DDoS?
Częściowo dla L7. W przypadku L3/L4 i objętości konieczne są środki oczyszczania/Anycast/sieć.
Wystarczające ciasteczka SYN?
Jest to podstawowa ochrona przed powodzią SYN, ale bez ograniczeń sieciowych i szorowania, kanał można nadal zatkać.
Czy muszę wyłączyć ICMP?
Nie, nie jest. ICMP jest przydatny do diagnostyki/PMTU.
Tunel GRE z szorowaniem nie doda opóźnień?
Tak, ale zwykle do przyjęcia. Odszkodowanie z pamięci podręcznej i dokładnej trasy do najbliższego PoP.
Razem
Niezawodna ochrona DDoS to wielopoziomowa architektura: higiena sieci (anty-spoofing/ACL/CoPP), szybka dywersja ruchu (RTBH/Flowspec/scrubbing/Anycast), mechanizmy hosta i L7 (SYNPROXY, eBPF/XDP, WAAP), plus telemetria, SLO i debugowane playbooks. Podejście to minimalizuje przestoje, utrzymuje kanały przy życiu i utrzymuje wskaźniki biznesowe nawet pod presją rozproszonych ataków.