Paketleri DDoS goramak we süzmek

Gysgaça gysgaça

DDoS hüjümleri üç synpdan ybarat: L3/L4 volumetric (kanal/enjam doldurylýar), state-exhaustion (balanslarda/firewollarda/CPU ýagdaýlarynyň tablisalary gutarýar) we L7 (programma üçin "dogry" haýyşlary döredýär). Netijeli goranyş birnäçe gatlakda gurulýar: perimetrde tor çäreleri, toruňyzyň daşyndaky süzgüç/skrabbing, balansda/proxy we programmada gorag, üstesine-de ölçenen SLO bilen amal amallary.

Howplaryň peýza y

Volumetric (UDP/ICMP flood, DNS/NTP/SSDP/CLDAP/Memcached): Maksat - kanaly we portlary doldurmak.
TCP state-exhaustion (SYN/ACK flood, TCP fragmentation, "ýarym koni" baglanyşyklary): conntrack/listenerleri tükenmek.
L7 HTTP (S )/WebSocket/GraphQL flood, cache-busting, "haýal" soraglar: CPU/IO programmalaryny we kesh gatlaklaryny iýiň.
Reflection/Amplification: IP çeşmesini çalyşmak bilen açyk reflektorlary/amplifaýerleri ulanmak.
Carpet bombing: traffigi köp IP/prefikslere paýlamak, nokat süzülmesini kynlaşdyrýar.

Esasy tor çäreleri (hüjümlere çenli)

1. Antispufing: serhetdäki uRPF/BCP38; daşary ýurt çeşmeleri bilen çykýan paketleriň dargamagy.
2. edge/PE boýunça ACL: islenmeýän teswirnamalary/portlary gadagan etmek; mgmt segmenti üçin aýratyn sanawlar.
3. CoPP (Control Plane Policing): marşrutizatora polising (BGP, OSPF, SSH, SNMP).
4. Rate-limits/port polisingi: "şowhunly" synplar, burst sazlamalary üçin bps/PPS.
5. Ýüküň paýlanyşy: Köpçülige IP, georasses üçin Anycast; Statik we kesilen üçin CDN/WAAP.
6. RPKI/ROA + berk BGP importy: haýjek/traffigi ugrukdyrmak töwekgelçiligini azaldýar.
7. Surface reduction: çap edilen hyzmatlary azaltyň, proksi üçin "çig" origini ýapyň.

Hüjüm wagtynda çalt reaksiýa: tor gollary

RTBH (Remote Triggered Blackhole) :/32 (ýa-da/128) pidanyň nol ugry üçin BGP-jemgyýet.
BGP Flowspec: L3/L4 düzgünleriniň (src/dst/port/TCP baýdaklary) PE/edge-e çalt ýaýramagy.
Scrubbing merkezleri/anti-DDoS üpjün edijiler: GRE/VRF tunel ýa-da göni akym; süzgüç, soň size "arassa" trafik.
Anycast-antiDDoS: bar bolan zolaklar boýunça akymyň bölünmegi, zyýanyň lokalizasiýasy.
CDN/edge-keş: origin ekranlaýar, L7-çäklerini we "challenge" mehanizmlerini berýär.

Host we L4-gorag

SYN cookies/SYNPROXY: müşderi tassyklanýança baýlygy saklamaň.

Linux: `sysctl net. ipv4. Giriş balansynda tcp_syncookies=1' ýa-da 'SYNPROXY'.

Tuning conntrack (ulanylsa):

Hashsize ýokarlandyryp 'nf _ conntrack _ max' -y akylly ölçäň;
"Ýarym açyk" we hereketsiz ýagdaýlar üçin wagtlary gysgaldyň.
eBPF/XDP: NIC-de irki drop (PPS-gorag), signatura/tizlik boýunça ýadro çenli süzgüç.
nftables/iptables: PPS çäkleri, "şübheli" baýdaklary zyňmak, connlimit.
UDP hardening: eger hyzmat UDP ulanmasa - serhetdäki drop; ulansa - çeşmeleri/portlary çäklendirmek.

'nftables' mysaly (ýönekeýleşdirilen):

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

SYNPROXY giriş balansynda ('iptables' mysaly):

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

L7-gorag (gysgaça)

WAAP/WAF: kritiki ýollarda oňyn model, rate-limits, challenge/JS, özüni alyp baryş ballary.
Kaching/Static Offload: Soraglary origine çenli azaldýarys; cache-busting goragy (kadalaşma/gara parametrler).
GraphQL çäklendirijileri: 'maxDepth', 'maxCost', önümde introspection gadaganlygy.
BFF-pattern: inçe müşderi bellikleri, serwerdäki agyr logika/çäkler.
Idempotentlik we nobatlar: pese gaçanda göçüň gaýtalanmagynyň öňüni alýar.

Telemetriýa we ýüze çykarmak

Tor akymlary: NetFlow/sFlow/IPFIX (pps, top talkers, protokollar/portlar/ASN).
Passiw datçikler L7: balanserler/proxy (nginx/envoy), metrikler p95/99, error-rate.
Esasy çäkler: "edge-de PPS/CPU-nyň garaşylmadyk ösüşi", "SYN-RECV-iň köpelmegi", "UDP jogapsyz".
Alamatlar/hereketler: IP/ASN/JA3 ýygylygy, 4xx/5xx partlamalary, user-agent anomaliýalary.
Wizualizasiýa: aýry-aýry daşbordlar L3/L4/L7; geo/ASN boýunça traffik kartasy; RTBH/Flowspec işlemeginden öň wagt.

SLO/SLI we alerting

SLO mysallary:

"MTTD anomaliýalary DDoS ≤ 60 sek, MTTM (RTBH/Flowspec işjeňleşdirmek) ≤ 3 min".
"p95 gizlinlik edge arkaly ≤ 50 ms hüjümleriň daşynda; hüjüm edilende ≤ 200 ms.
"Taşlanan zyýanly traffigiň paýy 99% ≥, ≥ 98% kanuny saklanýar".

Aladalar:

PPS/CPU/IRQ tor düwünleri> bosagasy;
SYN-RECV/half-open > X;
jemgyýetçilik endpointlerinde 5xx/latency ösüşi;
% challenge/deny WAF bosagasynda> (FP töwekgelçiligi).

Goranyşyň binagärlik patternleri

1. Tiered Defense: Edge (ACL/CoPP) → Scrubbing/Anycast → L7-proxy/WAAP → Programma.
2. Traffic Diversion: BGP jemgyýeti, suwa düşmek üçin skrabbing, GRE-bekhol üçin.
3. Stateless Edge: conntracke çenli iň ýokary stateless-süzgüç; stateful - programma has ýakyn.
4. eBPF/XDP Birinji: ýadro çenli irki damjalar (JA3/port/tizlik boýunça).
5. Golden Paths: hemme zady "ýykmazlyk" üçin möhüm API üçin aýratyn IP/domenler.

Amal amallary we hadysalar

Runbooks: Kim we haýsy metriklerde RTBH/Flowspec/scrabbing, Anycast/howuzlary nädip çalyşmaly.
Gara sanawlar we TTL: "aşa geçmezlik" üçin gysga möhletli blok; awtomatiki re-test çeşmeleri.
Aragatnaşyk: üpjün edijilere/hyzmatdaşlara/satyjylara habar şablonlary; hüjüm edilýän domeniň daşyndaky aragatnaşyk kanaly.
Post-Incident: Wagt ölçegi (T0... Tn), "näme işledi/işlemedi", synag katalogyny täzelemek.
Türgenleşikler: yzygiderli game-days: RTBH dry-run, Anycast sebitini ýitirmek, link saturation, "haýal" hüjümler.

Linux/balanslaýjylary sazlamak

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Ýygy-ýygydan ýalňyşlyklar

edge → conntrack-de stateful-firewall arkaly ähli traffigi saklaň. Stateless-i mümkin boldugyça ediň.
Giç RTBH/Flowspec → kanal eýýäm "nola". Bosagalary we açyşy awtomatlaşdyryň.
"Hemme zat" üçin bir IP/bir öň → blast radius izolýasiýasy ýok. Domenleri/IP we kwotalary bölüň.
Nol kesh → Her L7-ýüzlenme origin urýar; parametrleri kesmek we kadalaşdyrmak.
Legit seljermezden ýurtlaryň/ASN kör blokirlemesi - öwrülişigi kesýär; nuans düzgünlerini/kynçylyklaryny ulanyň.
Gaty agressiw çäkler → Işewürligiň iň ýokary derejesinde köpçülikleýin FP.

Giriş ýol kartasy

1. Ýüzüne baha bermek: IP/prefiksleriň/portlaryň/teswirnamalaryň inventarizasiýasy, kritiki ýollaryň kartasy.
2. Tor arassaçylygy: anti-spufing, ACL, CoPP, RPKI/ROA, gereksiz UDP hyzmatlaryndan ýüz öwürmek.
3. Traffigiň diwersifikasiýasy: Skrabbing üpjün ediji, Anycast/CDN, BGP communities bilen şertnama.
4. Edge-sazlamak: stateless-süzgüç, SYNPROXY/eBPF, conntrack.
5. L7/WAAP: oňyn model, çäklendirmeler/kynçylyklar, nagt pul.
6. Syn edilişi: NetFlow/sFlow, daşbordlar L3/L4/L7, aladalar, SLO.
7. Awtomatlaşdyryş: RTBH/Flowspec, düzgünler üçin IaC düwmeleri, konwensiýalaryň kanareýa ýerleşdirilmegi.
8. Maşklar we RCA: yzygiderli synaglar, oýun kitaplaryny täzelemek.

iGaming/fintech üçin aýratynlyklar

Iň ýokary wakalar (ýaryşlar, aksiýalar, oýunlar): capacity/limitleri meýilleşdiriň, nagt pullary gyzdyryň, öň warming CDN.
Töleg integrasiýalary: bölünip berlen IP/domenler, anti-DDoS üpjün edijiniň üsti bilen ileri tutulýan kanallar, mTLS PSP-e, möhüm endpointlere berk çäklendirmeler.
Anti-frod/bot-control: hasaba alyş/login/promo kodlarynda özüni alyp baryş skoringleri we adam kynçylyklary.
UX we öwrülişik: agressiw gorag üçin VIP/hyzmatdaşlar üçin grace-listleri, ýumşak degradasiýalary (kesh/readonly) ulanyň.
Hukuk talaplary: magazinesurnallaryň aç-açanlygy, telemetriýany saklamak, Time-to-Wallet we dolanyşyk metrikasyna çäreleriň täsirini sazlamak.

Mysallar: Flowspec we RTBH (konseptual)

RTBH community arkaly (mysal):


route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

Flowspec (UDP> 1 Mbit/19/1900 portuna interfeýs):


match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

WAF DDoS çözýärmi?
Bölekleýin L7 üçin. L3/L4 we volumetric garşy scrabbing/Anycast/tor çäreleri gerek.

SYN çerezleri ýeterlikmi?
Bu SYN-flood-dan esasy gorag, ýöne tor çäkleri we skrabbing kanaly bolmasa, henizem urup bolýar.

ICMP öçürilmelimi?
Ýok. Has gowy rate-limit we diňe howply görnüşler, ICMP diagnostika/PMTU üçin peýdalydyr.

Skrabbing GRE tuneli gizlinlik goşmazmy?
Hawa, ýöne adatça kabul ederliklidir. Iň ýakyn PoP-e çenli nagt pul we takyk ýol bilen öwezini doluň.

Jemi

Ygtybarly DDoS goragy köp derejeli arhitektura: tor arassaçylygy (anti-spufing/ACL/CoPP), traffigiň çalt sabotajı (RTBH/Flowspec/scrubbing/Anycast), hostlar we L7-mehanizmler (SYNPROXY), eBPF/XDP, WAAP), üstesine-de telemetriýa, SLO we düzedilen pleýbuklar. Bu çemeleşme ýönekeýligi azaldýar, kanallary diri saklaýar we paýlanan hüjümleriň basyşy astynda-da iş metrikalaryny saklaýar.