GH GambleHub

Муҳофизат ва филтри пакетии DD

Хулосаи мухтасар

Ҳамлаҳои ДД дар се синф ба амал меоянд: L3/L4 ҳаҷмӣ (канал/таҷҳизот), хастагӣ (ҷадвалҳои давлатӣ/CPU-ҳо дар тавозунҳо/деворҳо) ва L7 (тавлид кардани дархостҳои "дуруст" ба барнома). Муҳофизати муассир дар якчанд қабат сохта шудааст: ченакҳои шабака дар периметр, филтр/скруббинг берун аз шабакаи шумо, муҳофизат аз тавозунҳо/проксиҳо ва барнома, инчунин тартиботи амалиётӣ бо SLO-ҳои ченшаванда.

Манзараи таҳдид

Ҳаҷм (обхезии UDP/ICMP, DNS/NTP/SSDP/CLDAP/Memcached): ҳадаф бастани канал ва бандарҳо мебошад.
Хастагии давлатии TCP (обхезии SYN/ACK, фрагментатсияи TCP, пайвастҳои нимқутбӣ): пайвасткунии ихроҷ/шунаванда.

L7 HTTP (S )/Web

Инъикос/Тақвият: истифодаи инъикоси кушода/тақвиятдиҳанда бо ивазкунии манбаи IP.
Таркиши қолинҳо: тақсимоти трафик дар байни якчанд IP/префиксҳо, филтри нуқтаҳоро душвор мекунад.

Чораҳои асосии шабака (пеш аз ҳамла)

1. Анти-ғоратгарӣ: uRPF/BCP38 дар сарҳад; бастаҳои баромадро бо манбаъҳои одамони дигар партоед.
2. ACL дар канор/PE: рад кардани протоколҳо/бандарҳои номатлуб; рӯйхати алоҳида барои сегменти mgmt.
3. КОПП (Политсияи ҳавопаймоии назоратӣ): сайқал додан ба роутер (BGP, OSPF, SSH, SNMP).
4. Меъёри маҳдудиятҳо/сайқал додани бандарҳо: bps/PPS барои синфҳои "ғалоғула", танзимоти таркиш.
5. Мубодилаи сарборӣ: Anycast барои IP-ҳои ҷамъиятӣ, георесурсҳо; CDN/WAAP барои статикӣ ва кэшшуда.
6. RPKI/ROA + воридоти қатъии BGP: хатари рабудан/равона кардани трафикро коҳиш медиҳад.
7. Паст кардани сатҳи замин: хидматҳои нашршударо кам кунед, пайдоиши "хом" -ро дар паси прокси пӯшед.

Реаксияи зуд ҳангоми ҳамла: фишангҳои шабака

RTBH (Blackhole-и дурдаст): Ҷамъияти BGP барои қурбонии хатсайри сифр/32 (ё/128).
BGP Flowspec: паҳнкунии босуръати қоидаҳои L3/L4 (парчамҳои src/dst/port/TCP) ба PE/канор.
Марказҳои скруббинг/провайдерҳои зидди DD-DD: нақби GRE/VRF ё мустақиман ба болооб; филтр, пас трафики "тоза" ба шумо.
Anycast-antiandddDOS: тақсимоти ҷараён аз рӯи нуқтаҳои ҳузур, маҳаллисозии зарар.
Кэши CDN/канорӣ: пайдоиши экранҳо, маҳдудиятҳои L7 ва механизмҳои "мушкил" медиҳад.

Муҳофизати мизбон ва L4

Кукиҳои SYN/SYNPROXY: То тасдиқи муштарӣ вазъро нигоҳ надоред.

Linux: 'шабакаи sysctl. ипв4. tcp_syncookies=1' ё 'SYNPROXY' дар тавозуни вуруд.

Танзими пайвастшавӣ (агар истифода шавад):
  • Temper 'nf _ conntrack _ max' оқилона тавассути баланд бардоштани ҳашсиз;
  • Кам кардани танаффус барои "ҳолати кушода" ва ғайрифаъол.
  • EBPF/XDP: тарки барвақт ба NIC (муҳофизати PPS), филтри имзо/суръат ба ядро.
  • nfables/iptables: маҳдудиятҳои PPS, партофтани парчамҳои "шубҳанок", пайвастшавӣ.
  • Сахтшавии UDP: агар хидмат UDP-ро истифода набарад, тарки сарҳад; ҳангоми истифода, манбаъҳо/бандарҳоро маҳдуд кунед.
Намунаи 'nftables' (соддакардашуда): 
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}
SYNPROXY дар тавозуни вуруд (масалан 'iptables'): 
bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

Муҳофизати L7 (кӯтоҳ)

WAAP/WAF: модели мусбӣ дар роҳҳои интиқодӣ, меъёрҳо, мушкилот/JS, баҳодиҳии рафтор.
Сарбории кэш/статикӣ: кам кардани дархостҳо ба пайдоиш; муҳофизати кэш-busting (муқаррарӣ/рӯйхати сиёҳии параметрҳо).
Лимитаторҳои GraphL: 'максимум', 'макс арзиш', манъи интроспексия дар фурӯш.
Намунаи BFF: нишонаҳои лоғар, мантиқ/маҳдудиятҳои вазнин дар сервер.
Idempotence ва навбатҳо: пешгирии такрори ба тарма монанд ҳангоми таназзул.

Телеметрия ва кашф

Ҷараёни шабака: NET Flow/SFlow/IPFIX (pps, гуфтугӯҳои боло, протоколҳо/бандарҳо/ASN).
Сенсорҳои ғайрифаъол L7: гузоришҳои мувозинат/прокси (nginx/envoy), ченакҳои p95/99, сатҳи хатогӣ.
Ҳадди асосӣ: "афзоиши ногаҳонии PPS/CPU дар канор", "SYN-RECV", "UDP номувофиқ".
Имзоҳо/рафтор: басомадҳои IP/ASN/JA3, хӯшаҳои 4xx/5xx, аномалияҳои корбар-агент.
Визуализатсия: панелҳои инфиродӣ L3/L4/L7; Вақти харитаи трафики Geo/ASN ба RTBH/Flowspec.

SLO/SLI ва ҳушдордиҳӣ

Намунаҳои SLO:
  • "МТТД-и аномалияҳои DD ho ≤ 60 сония, MTTM (фаъолсозии RTBH/Flowspec) ≤ 3 дақиқа".
  • "p95 таъхири тавассути канори ≤ 50 мс берун аз ҳамла; ҳангоми ҳамла ба ≤ 200 м ҳангоми сабукшавӣ"
  • "Ҳиссаи трафики зараровари партофташуда 99% ҳангоми нигоҳ доштани 98% трафики қонунӣ".
Хотиррасонӣ:
  • PPS/CPU/IRQ гиреҳҳои шабака> ҳадди;
  • SYN-RECV/нисфи кушода> X;
  • 5xx/афзоиши таъхир дар нуқтаҳои ниҳоӣ;
  • фоизи мушкилот/рад дар WAF> ҳадди (хатари FP).

Намунаҳои меъмории мудофиа

1. Мудофиаи сатҳи баланд: Edge (ACL/Co

2. Тағири ҳаракати нақлиёт: Ҷомеаи BGP барои гузаштан ба скруббинг, GRE бекхол барои вақти ғаввосӣ.
3. Edge шаҳрвандӣ: ҳадди аксар филтри бешаҳрвандӣ ба пайвастшавӣ; давлатӣ - ба ариза наздиктар.
4. EBPF/XDP Аввал: қатраҳои барвақт (аз ҷониби JA3/ports/speed) ба ядро.
5. Роҳҳои тиллоӣ: IP/доменҳои алоҳида барои API-ҳои интиқодӣ, то ҳама чизро пурра "хароб накунанд".

Тартибот ва ҳодисаҳои амалиётӣ

Китобчаҳо: кӣ ва аз рӯи кадом ченакҳо RTBH/Flowspec/scrubbing, чӣ гуна бояд Anycast/ҳавзҳоро иваз кунад.
Рӯйхати сиёҳ ва TTL: блоки кӯтоҳмуддат, то ки "сарнагун нашаванд"; манбаъҳои санҷиши такрории автоматӣ.
Иртибот: қолибҳои паём барои провайдерҳо/шарикон/фурӯшандагон; канали иртиботӣ берун аз домени ҳамла.
Ҳодисаи баъдӣ: гузориш бо ҷадвал (T0... Tn), "чӣ кор кард/не", навсозии каталоги санҷиш.
Машқҳо: рӯзҳои муқаррарии бозӣ: RTBH хушк, аз даст додани минтақаи Анкаст, пур кардани пайванд, ҳамлаҳои "суст".

Танзими Linux/Balancer (Намуна)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Хатогиҳои умумӣ

Тамоми трафикро тавассути девори давлатӣ дар канори § фарсудашавии пайвастшавӣ нигоҳ доред. Дар куҷое, ки тавонед, шаҳрвандӣ накунед.
Канали деринаи RTBH/Flowspec → аллакай "ба сифр аст. "Ҳудудҳо ва имконпазирро автоматӣ кунед.
Як IP/як канор барои "ҳама" → ҷудокунии радиуси таркиш нест. Доменҳо/IP ва квотаҳоро тақсим кунед.
Кэши сифр → ҳар як занги L7 пайдоиши beats; Ба эътидол овардани кэш ва параметр.
Бастани нобиноёни кишварҳо/ASN бидуни таҳлили қонунӣ - табдилдиҳиро коҳиш медиҳад; қоидаҳои/мушкилиҳои нозукро истифода баред.
Маҳдудиятҳои аз ҳад хашмгин → FP азим дар авҷи тиҷорат.

Харитаи роҳсозӣ

1. Арзёбии рӯизаминӣ: IP/префикс/порт/протокол, харитаи роҳи интиқодӣ.
2. Гигиенаи шабакавӣ: зидди ғоратгарӣ, ACL, Co-PP, RPKI/ROA, рад кардани хидматҳои нолозими UDP.
3. Интиқоли ҳаракат: шартнома бо провайдери скрубинг, Anycast/CDN, ҷамоаҳои BGP.

4. Танзими канорӣ: филтри бешаҳрвандӣ, SYNPROXY/e

5. L7/WAAP: модели мусбӣ, маҳдудиятҳо/мушкилот, кэш.
6. Мушоҳидакорӣ: Net-Flow/SFlow, панели панели L3/L4/L7, огоҳиҳо, SLO.
7. Автоматика: тугмаҳои RTBH/Flowspec, IA барои қоидаҳо, тарҳбандии канарии конфигуратсияҳо.
8. Машқҳо ва RCAҳо: санҷишҳои мунтазам, навсозиҳои дафтарҳо.

Хусусиятҳо барои IGaming/fintech

Чорабиниҳои баландтарин (мусобиқаҳо, таблиғот, гугирдҳо): қобилият/маҳдудиятҳо ба нақша гиред, кэшҳои гарм кунед, CDN-и пеш аз гарм.
Интегратсияҳои пардохт: IP/доменҳои бахшидашуда, каналҳои афзалиятнок тавассути провайдери анти-DD, M TLS ба PSP, маҳдудиятҳои қатъӣ дар нуқтаҳои ниҳоӣ.
Назорати зидди қаллобӣ/бот: баҳодиҳии рафтор ва мушкилоти инсон дар бақайдгирӣ/воридшавӣ/рамзҳои таблиғотӣ.
UX ва табдили: бо муҳофизати хашмгин рӯйхати файзҳоро барои VIP/шарикон, таназзули мулоим (кэш/хондан) истифода баред.
Талаботи қонунӣ: шаффофияти сабти ном, нигоҳдории телеметрия, ислоҳи таъсири тадбирҳо ба ченакҳои вақт ба ҳамён ва гардиш.

Мисолҳо: Flowspec ва RTBH (консептуалӣ)

RTBH тавассути ҷомеа (мисол): 

route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
Flowspec (воҳиди UDP> 1 Мбит/интерфейс дар порт 19/1900): 

match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF DD-ро ҳал мекунад?
Қисман барои L7. Бар зидди чораҳои L3/L4 ва ҳаҷмӣ, scrubbing/Anycast/network лозим аст.

Кукиҳои SYN кофӣ?
Ин муҳофизати асосӣ аз обхезии SYN аст, аммо бидуни маҳдудиятҳои шабака ва тозакунӣ, каналро ҳанӯз ҳам баста кардан мумкин аст.

Оё ба ман лозим аст, ки ICMP-ро хомӯш кунам?
Не, ин тавр нест. Сатҳи беҳтар ва танҳо намудҳои хатарнок, ICMP барои ташхис/PMTU муфид аст.

Нақби GRE бо скруббинг таъхирро илова намекунад?
Бале, аммо одатан қобили қабул аст. Ҷуброн бо кэш ва масири дақиқ ба наздиктарин ПО.

Ҷамъ

Муҳофизати боэътимоди ДД як меъмории бисёрсатҳа аст: гигиенаи шабака (анти-spoofing/ACL/CO PP), гузариши босуръати трафик (RTBH/Flowspec/scrubbing/Anycast), механизмҳои мизбон ва L7 (SYNPROXY Y, e) BPF/XDP, WAAP), инчунин телеметрия, SLO ва дафтарҳои дебугӣ. Ин равиш вақти истироҳатро кам мекунад, каналҳоро зинда нигоҳ медорад ва ченакҳои тиҷоратро ҳатто зери фишори ҳамлаҳои тақсимшуда нигоҳ медорад.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.