GH GambleHub

DDoS paketleri goramak we süzmek

1) Bu näme üçin zerur?

DDoS resurslaryň "köpçülikleýin pese gaçmagy": zolak/pps, ýagdaý tablisalary, ýadro/IRQ CPU, birikme howuzlary, programma çäkleri. Maksat goragy gatlaklaşdyrmak: toruň perimetri boýunça göwrümi öçürmek, protokol anomaliýalaryny TCP/IP yrgysyna çenli zyýansyzlandyrmak we kanuny ulanyjylar üçin SLO saklamak bilen L7-de islenilmeýän haýyşlary kesmek.

2) Hüjümleriň synplary

2. 1 L3/L4 (volumetric/protocol)

Volumetric: UDP flood, UDP-reflection/amplification (DNS/CLDAP/NTP/SSDP/memcached/mDNS), GRE flood.
Protocol/state exhaustion: SYN flood, ACK/RST flood, TCP connection-exhaustion, ICMP flood, TCP fragmentation.
QUIC/UDP aýratynlyklary: ýalan Initial/Retry tupanlary, spoofed çeşmesi.

2. 2 L7 (application)

HTTP/1. 1: gymmat ýollar üçin soraglar, header oversize/field smuggling.
HTTP/2: Rapid Reset, stream-flood, HEADERS flood, PRIORITY abuse.
HTTP/3 (QUIC): Tamamlanmadyk baglanyşyklar/akymlar, Initial flood.
Slow-атаки: slowloris/slow-read/slow-POST.
gRPC/WebSocket: tükeniksiz akymlar, message-flood, uly freýmler.

3) Goragyň esasy arhitekturasy

1. Anycast + Scrubbing

Dünýädäki traffigi püskürtmek we üpjün ediji scrubbing merkezleriniň üsti bilen sürmek (gyrada volumetric/spufing kesmek).

2. Multi-CDN / Multi-Edge

Domenleriň ýaýramagy (web, API, statika), gorag agregasiýasy we read-ýüklemek üçin nagt pul.

3. Öz perimetri boýunça pes derejeli süzgüçler

Border-marşrutizatorlarda ACL (RFC1918, bogon, bilkastlaýyn ýalan portlar).
eBPF/XDP üçin early-drop signaturalar we rate-limitler boýunça conntrack.

4. L7-perimetri (NGINX/Envoy/WAF)

Açarlar boýunça RPS gysmak, challenge (captcha/PoW), nagt pul, "gymmat" ýollaryň ileri tutulmagy.

5. Içerki durnuklylyk

Baglanyşyk howuzlary, nobatlar, circuit/timeout, hyzmatlaryň izolýasiýasy (bulkhead) we "gysgyçlar" (shedder) bilen autoscaling.

4) Tor "klapanlary": birbada nämäni açmaly

4. 1 Linux sysctl (ýadro/yığını)

bash
TCP SYN flood sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_synack_retries=3

Conntrack/sysctl -w net tables. netfilter. nf_conntrack_max=262144 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_established=300

ICMP/redirect sysctl -w net. ipv4. icmp_echo_ignore_broadcasts=1 sysctl -w net. ipv4. conf. all. accept_redirects=0 sysctl -w net. ipv4. conf. all. send_redirects=0

sysctl -w net socket resources. core. somaxconn=4096 sysctl -w net. core. netdev_max_backlog=250000 sysctl -w net. core. rmem_max=134217728 sysctl -w net. core. wmem_max=134217728

4. 2 nftables: paketlerde esasy süzgüçler we ratelimit

nft table inet filter {
sets {
bogon { type ipv4_addr; flags interval; elements = { 0. 0. 0. 0/8, 10. 0. 0. 0/8, 100. 64. 0. 0/10,
127. 0. 0. 0/8, 169. 254. 0. 0/16, 172. 16. 0. 0/12, 192. 0. 2. 0/24, 192. 168. 0. 0/16, 198. 18. 0. 0/15, 224. 0. 0. 0/4 } }
}
chains {
input {
type filter hook input priority 0; policy drop;
ip saddr @bogon drop ct state established,related accept

UDP amplification ports - limit pps udp dport {53,123,1900,11211,389,1900,5353} limit rate over 2000/second drop

SYN rate-limit tcp flags syn tcp dport {80,443} limit rate over 2000/second drop

ICMP flood ip protocol icmp limit rate 100/second accept
}
}
}

4. 3 XDP/eBPF (pikir)

Early-drop paketleri spoofed çeşmesi bilen (uRPF marşrutizatorda hoş geldiňiz).
pps per/32 we per/24 heş-baketler; çeşmeleriň dinamiki "karantini".
Gollar UDP-reflection: DNS response-like (kontekstden başga süzmek).

5) UDP amplification: inwentar we bloklar

Ýygy-ýygydan reflektorlar/güýçlendirijiler: DNS (açyk resolvers), NTP (monlist), CLDAP, SSDP, mDNS, Memcached (UDP), Chargen.

Çäreler:
  • UDP hyzmatlaryny ýapmak/çäklendirmek, açyk portlary azaltmak.
  • Perimetri belli portlar üçin pps/bitraty çäklendiriň.
  • DNS-maslahat: Diňe öz torlaryňyz üçin, RRL (Response Rate Limiting), ANY-ni azaltmak.
  • NTP - diňe "butstrap", köpçülige "noquery".

6) TCP state exhaustion

SYN flood: 'tcp _ syncookies = 1', ýokary 'tcp _ max _ syn _ backlog', 'synack _ retries = 3', drop pps.
ACK/RST flood: pes derejeli çäkler, bikanun yzygiderliligi aýyrmak (nftables/ebpf).
Borderde conntrack-less: süzgüç stateless-signatura boýunça mümkin bolan ýerlerde ýagdaý tablisalaryny harçlamaň.

7) HTTP/2/3 we "akylly" L7 hüjümleri

HTTP/2 Rapid Reset: RST-freýmleriň ýygylygynyň we açyk akymlaryň sanynyň çäkleri; Anomaliýalarda baglanyşygy ýapmak.
Stream abuse: лимит concurrent streams, headers size, max frame size.
QUIC/HTTP/3: Initial pps-i çäklendirmek, Retry-i açmak; handshake gysga wagt.

NGINX (L7 bölegi)

nginx
Header/body constraint client_max_body_size 1m;
large_client_header_buffers 4 8k;

HTTP/2 limits http2_max_concurrent_streams 128;
http2_recv_buffer_size 256k;

Rate limit by IP (example)
limit_req_zone $binary_remote_addr zone=reqs:20m rate=100r/s;
limit_req zone=reqs burst=200 nodelay;

Envoy (anti-reset we çäkler)

yaml http2_protocol_options:
max_concurrent_streams: 128 initial_stream_window_size: 65536 max_outbound_frames: 10000 stream_error_on_invalid_http_messaging: true

8) Haýal hüjümler we çeşme goragy

Slowloris/slow-read/slow-POST: 'proxy _ request _ buffering on', pes idle-timeout, iň az kabul ederlikli 'read _ rate'.
Haýyşnama üçin bukjalarara uzak aralykda baglanyşyklary bes etmek.
Programmada - bedeniň irki okalmagy/zyňylmagy, JSON ululygynyň/çuňlugynyň çäkleri.

9) L7 süzgüç: kim has möhüm - geçsin

Traffigiň klassifikasiýasy: known good (mTLS/JWT hyzmatdaşlary), hasaba alnan ulanyjylar, anonim.
Ileri tutulýan ugurlar: "gymmat" write-marşrutlar (goýumlar/netijeler) - tassyklananlary goramak, ýöne sypdyrmak; read-kataloglar - kesh + throttle.
Çagyryş gatlagy: captcha/PoW/JS çal zolaklar üçin iň ýokary dereje.

10) Nagt pul, coalescing we zaýalanma

Statik/kwazistatik jogaplar üçin edge-keş, 'stale-while-revalidate'.
Request coalescing: proxy we programmada paralel soraglary bir açara salyň.
Degrade-re modeim: ikinji derejeli hileleri öçürmek (şahsylaşdyrmak, agyr hasabatlar), "ýeňil" sahypalary bermek.

11) Synlamak we telemetriýa

Metrikler (per ROR/düwün/klaster):
  • L3/L4: `pps_in/out`, `bps_in/out`, `drop_pps{reason}`, `syn_recv`, `conntrack_used/limit`, `xdp_drop_pps`.
  • L7: `requests_total{route}`, `429_total`, `challenge_total{type}`, `h2_rst_rate`, `slow_req_total`.
  • Garaşlylygy: CPU IRQ soft/hard, NIC queue drops, run-queue length.

Loglar :/24, ASN, portlar we signaturalar boýunça jemlenen sampletlenen; PII bolmasa.
Treýsing: ak sanawlarda goşmak, sazlamak üçin gyssagly sampling giňeltmek.

12) Jogap meýilnamalary (runbook)

1. Detekt: pps/bps/429/h2_rst_rate bosagalarynyň işlemegi.
2. Klassifikasiýa: dereje (L3/4/7), protokol (UDP/TCP/h2/h3), geo/ASN.

3. Klapanlar:
  • Üpjün edijide scrubbing/blackhole profillerini açmak,
  • nftables/ebpf çäklerini güýçlendirmek,
  • L7-çäkleri azaltmak we kynçylyklary ýokarlandyrmak,
  • QUIC (Initial flood) üçin Retry.
  • 4. Aragatnaşyk: status-sahypa, hyzmatdaşlara bildiriş şablonlary.
  • 5. Forensika: 60-120 sekunt PCAP tutmak, top talkers ASNs/ports.
  • 6. Retrospektiv: belgileri, bosagalary, şöhlelendirijileriň sanawlaryny täzelemek.

13) Synag we maşklar

DDoS-drill pleýbuklary çärýekde: sintetiki UDP/HTTP burst, slow-traffik, HTTP/2 reset.
Oýun güni: CDN arasynda Anycast/göçmek, "ýeňil re modeime" çenli pese gaçmak.
Üpjün edijini barlamak: SLA scrubbing, süzgüçleri açmak/öçürmek wagty, max pps/bps.

14) Antipatternler

Diňe volumetrik hüjümde L7-WAF bil baglamak.
Borderde uRPF/ACL-iň ýoklugy we "maňlaýda" conntrack-heavy süzgüç.
Çäksiz sözbaşylar/jisimler we iň ýokary derejedäki uzyn keep-alive.
Anycast/multi-edge bolmasa bir sebit/ROR.
NIC/IRQ/CPU we nobatlara gözegçilik boýunça ätiýaçlyklaryň ýoklugy.
Kesiş/koalitesing ýok - goşmaça RPS.

15) iGaming/Maliýe aýratynlyklary

Wagtlaýyn pikler (oýunlar/derbi/loto oýny): POP-yň kuwwatyny öňünden giňeltmek, koeffisiýentleriň agressiw kesşini açmak, näbelli adamlar üçin kanary-kynçylyklary goýmak.
Töleg/çykarmak ugurlary: mTLS bilen aýratyn edge-howuz, gysga wagtlar, bäsdeşlik çäkleri; hiç hili 0-RTT.
Geo-syýasatlar: sebitleýin allow-laysts, ASN-süzgüç "hosting", çalt geo-geçiş.
Antifrod bilen kesişmek: velocity-limitleri we Risk API DDoS hadysasynda "gaty" profile geçýär.

16) Prod-taýynlyk çek-sanawy

  • Anycast или multi-edge/CDN; scrubbing kanallary barlandy.
  • Border-ACL/uRPF; nftables/ebpf/XDP profilleri, conntrack-less süzgüç.
  • Sysctl-tuning TCP/SYN, UDP port-güýçlendirijiler üçin limity pps.
  • HTTP/2/3 çäkleri (streams, frames, headers), haýal gorag, body/header-limits.
  • L7-limitleri we challenge; perimetri kesmek we coalescing.
  • Daşbordlar pps/bps/conntrack/IRQ + L7 RED; anomaliýadaky alertler h2_rst/429.
  • Runbook/playbook, üpjün ediji aragatnaşyklary, profilleri bir gezek basmak.
  • Maşklar: Bourstes, slow, HTTP/2 reset; gowulaşmalaryň hasabaty we ýazga alynmagy.
  • Töleg/kritiki ugurlar üçin bölünen howuzlar, mTLS we berk çäkler.

17) TL; DR

Goragy gatlaklara bölüň: Anycast + scrubbing göwrümi öçürýär, eBPF/XDP + nftables zibili stakana çenli kesýär, L7 çäkleri/kynçylyklary/kesmek SLA saklaýar. TCP (SYN cookie, backlog) sazlaň, UDP güýçlendirijilerini çäklendiriň, HTTP/2/3 we haýal gorag çäklerini goýuň. Runbook bar we oňa tälim beriň; iGaming üçin - edge-i iň ýokary sagatlarda öňünden giňeldiň we mTLS we berk çäkler bilen töleg ýollaryny aýyryň.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.