DDoS koruması ve paket filtreleme
Kısa Özet
DDoS saldırıları üç sınıfta gelir: L3/L4 hacimsel (tıkanma kanalı/ekipmanı), durum tükenmesi (dengeleyiciler/güvenlik duvarları üzerindeki egzoz durumu tabloları/CPU'lar) ve L7 (uygulamaya "makul" istekler üretir). Etkili savunma birkaç katmanda inşa edilmiştir: çevre üzerinde ağ önlemleri, ağınızın dışında filtreleme/ovma, dengeleyiciler/proxy'ler ve uygulama üzerinde koruma, ayrıca ölçülebilir SLO'larla operasyonel prosedürler.
Tehdit Manzarası
Hacimsel (UDP/ICMP flood, DNS/NTP/SSDP/CLDAP/Memcached amplification): Amaç kanalı ve portları tıkamaktır.
TCP durum tükenmesi (SYN/ACK sel, TCP parçalanma, yarım koni bağlantıları): egzoz conntrack/dinleyici.
L7 HTTP (S )/WebSocket/GraphQL flood, cache-busting, "slow" requests: eat CPU/IO uygulamaları ve önbellek katmanı.
Yansıma/Amplifikasyon: IP kaynak ikamesi ile açık reflektörlerin/amplifikatörlerin kullanımı.
Halı bombalama: Birden fazla IP/ön ekleri arasında trafik dağılımı, karmaşık nokta filtreleme.
Temel ağ önlemleri (saldırılardan önce)
1. Anti-spoofing: Sınırda uRPF/BCP38; Giden paketleri diğer insanların kaynaklarına bırakın.
2. Kenar/PE üzerinde ACL: istenmeyen protokolleri/bağlantı noktalarını reddetmek; mgmt segmenti için ayrı listeler.
3. CoPP (Kontrol Düzlemi Polisliği): Yönlendiriciye parlatma (BGP, OSPF, SSH, SNMP).
4. Bağlantı noktalarında hız sınırları/parlatma: "Gürültülü" sınıflar için bps/PPS, burst ayarları.
5. Yük paylaşımı: Genel IP'ler için Anycast, georesources; Statik ve önbelleğe alınmış için CDN/WAAP.
6. RPKI/ROA + katı BGP ithalatı: trafik kaçırma/yeniden yönlendirme riskini azaltır.
7. Yüzey azaltma: Yayınlanan hizmetleri en aza indirin, proxy'nin arkasındaki "ham" kaynağı kapatın.
Saldırırken hızlı tepki: ağ kolları
RTBH (Uzaktan Tetiklenen Kara Delik): Rota sıfır/32 (veya/128) kurbanı için BGP topluluğu.
BGP Flowspec: L3/L4 kurallarının (src/dst/port/TCP bayrakları) PE/edge'e hızlı yayılması.
Ovalama merkezleri/anti-DDoS sağlayıcıları: GRE/VRF tüneli veya doğrudan yukarı akış; filtreleme, sonra size "saf" trafik.
Anycast-antiDDoS: varlık noktalarına göre akış bölünmesi, hasar lokalizasyonu.
CDN/edge önbellek: ekran kaynağı, L7 sınırları ve "meydan okuma" mekanizmaları verir.
Host ve L4 koruması
SYN çerezleri/SYNPROXY: Müşteri onayına kadar durumu tutmayın.
Linux: 'sysctl net. ipv4. Giriş dengeleyicide tcp_syncookies=1' veya 'SYNPROXY'.
Conntrack'i ayarlama (kullanılıyorsa):- Hashsize yükselterek mantıklı bir şekilde 'nf _ conntrack _ max' temperleyin;
- "Yarı açık've etkin olmayan durumlar için zaman aşımlarını azaltın.
- EBpf/XDP: NIC'de erken düşüş (PPS koruması), çekirdeğe imza/hız filtreleme.
- Nftables/iptables: PPS sınırları, "şüpheli" bayraklar atma, connlimit.
- UDP sertleştirme: hizmet UDP kullanmıyorsa, sınırda bir düşüş; Kullanıyorsanız, kaynakları/portları kısıtlayın.
nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop
limit new TCP tcp flags & (syn ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn ack) == syn drop
deny bad UDP ports udp dport @ bad _ ports drop
ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROPL7 koruması (kısa)
WAAP/WAF: Kritik yollarda pozitif model, oran limitleri, meydan okuma/JS, davranışsal puanlama.
Önbelleğe alma/statik aktarım: istekleri orijine indirgeyin; Önbellek bozma koruması (normalleştirme/parametre kara listeleri).
GraphQL sınırlayıcılar: 'maxDepth', 'maxCost', satışlarda iç gözlem yasağı.
BFF deseni: ince istemci belirteçleri, sunucuda ağır mantık/sınırlar.
Idempotans ve kuyruklar: bozulma sırasında çığ benzeri tekrarları önler.
Telemetri ve Keşif
Ağ akışları: NetFlow/sFlow/IPFIX (pps, top talkers, protocols/ports/ASN).
Pasif L7 sensörleri: dengeleyici/proxy günlükleri (nginx/envoy), p95/99 metrikleri, hata oranı.
Temel eşikler: "Sınırda beklenmeyen PPS/CPU büyümesi", "SYN-RECV dalgalanması", "UDP karşılıksız".
İmzalar/davranış: IP/ASN/JA3 frekansları, 4xx/5xx sivri uçları, kullanıcı aracı anomalileri.
Görselleştirme: bireysel gösterge panoları L3/L4/L7; Coğrafi/ASN trafik haritası zamanı RTBH/Flowspec.
SLO/SLI ve uyarı
SLO örnekleri:- DDoS anomalilerinin MTTD'si ≤ 60 sn, MTTM (RTBH/Flowspec aktivasyonu) ≤ 3 dk.
- "Kenar ≤ 50 ms dış saldırılar yoluyla p95 gecikme; ≤ 200 ms hafifletme altında saldırırken"
- Atılan kötü amaçlı trafiğin payı %99 ≥ ve yasal trafiğin ≥ %98'ini koruyor.
- Ağ düğümlerinin PPS/CPU/IRQ> eşik;
- SYN-RECV/yarı açık> X;
- Kamu uç noktalarında 5xx/gecikme büyümesi;
- WAF> eşiğinde yüzde meydan okuma/reddetme (FP riski).
Savunma mimari desenleri
1. Katmanlı Savunma: Kenar (ACL/CoPP) - Ovma/Anycast - L7 Proxy/WAAP - Uygulama.
2. Trafik Saptırma: BGP topluluğu ovalamaya geçmek, GRE beckhol dalış zamanı için.
3. Stateless Edge: conntrack için maksimum stateless filtreleme; stateful - uygulamaya daha yakın.
4. EBpf/XDP İlk: Çekirdeğe erken damlalar (JA3/ports/speed).
5. Altın Yollar: Her şeyi tamamen "yıkmamak" için kritik API'ler için ayrı IP/etki alanları.
Operasyonel prosedürler ve olaylar
Runbooks: RTBH/Flowspec/scrubbing'i kim ve hangi metrikler altında açar, Anycast/havuzları nasıl değiştirilir.
Kara listeler ve TTL: "aşılmaması" için kısa süreli blok; Otomatik yeniden test kaynakları.
İletişim: sağlayıcılar/ortaklar/satıcılar için mesaj şablonları; Saldırıya uğrayan alanın dışındaki iletişim kanalı.
Olay Sonrası: Zaman çizelgesi olan rapor (T0... Tn),'ne işe yaradı/yaramadı ", test kataloğunu güncellemek.
Alıştırmalar: Düzenli oyun günleri: RTBH kuru çalıştırma, Anycast bölgesinin kaybı, bağlantı doygunluğu, "yavaş" saldırılar.
Linux/Dengeleyici Ayarı (Örnek)
bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1
Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15
NIC/IRQ ethtool -G eth0 rx 4096 tx 4096Yaygın hatalar
Stateful firewall üzerinden tüm trafiği kenarda tutun - conntrack'in tükenmesi. Yapabildiğiniz yerde vatansız yapın.
Geç RTBH/Flowspec - kanal zaten "sıfıra. "Eşikleri otomatikleştirin ve etkinleştirin.
"Tümü" için bir IP/bir kenar - patlama yarıçapı yalıtımı yok. Alan/IP ve kotaları bölün.
Sıfır önbellek - her L7 çağrısı orijini yener; Önbelleğe alma ve parametre normalleştirmeyi etkinleştir.
Legite analizi olmadan ülkelerin/ASN'nin kör bir şekilde engellenmesi - dönüşümün kesilmesi; nüanslı kurallar/zorluklar kullanın.
Çok agresif limitler - iş zirvesinde büyük FP.
Uygulama Yol Haritası
1. Yüzey değerlendirmesi: IP/önek/port/protokol envanteri, kritik yol haritası.
2. Ağ hijyeni: anti-spoofing, ACL, CoPP, RPKI/ROA, gereksiz UDP hizmetlerinin reddi.
3. Trafik saptırma: scrubbing sağlayıcısı, Anycast/CDN, BGP toplulukları ile sözleşme.
4. Kenar ayarı: durumsuz filtreleme, SYNPROXY/eBPF, makul conntrack zaman aşımları.
5. L7/WAAP: pozitif model, sınırlar/zorluklar, önbellek.
6. Gözlemlenebilirlik: NetFlow/sFlow, gösterge panoları L3/L4/L7, uyarılar, SLO.
7. Otomasyon: RTBH/Flowspec düğmeleri, kurallar için IaC, yapılandırmaların kanarya düzeni.
8. Matkaplar ve RCA'lar: düzenli testler, oyun kitabı güncellemeleri.
IGaming/fintech için özellikler
Zirve etkinlikleri (turnuvalar, promosyonlar, maçlar): plan kapasitesi/limitleri, ısınma önbellekleri, ısınma öncesi CDN.
Ödeme entegrasyonları: ayrılmış IP/etki alanları, anti-DDoS sağlayıcısı aracılığıyla öncelikli kanallar, PSP'ye mTLS, kritik uç noktalarda katı sınırlar.
Anti-dolandırıcılık/bot kontrolü: kayıt/giriş/promosyon kodlarında davranışsal puanlama ve insan zorlukları.
UX ve dönüştürme: agresif koruma ile, VIP/ortaklar, yumuşak bozulma (önbellek/readonly) için grace listeleri kullanın.
Yasal gereksinimler: günlük saydamlığı, telemetri depolama, önlemlerin Time-to-Wallet ve ciro ölçümleri üzerindeki etkisinin ayıklanması.
Örnekler: Flowspec ve RTBH (kavramsal olarak)
Topluluk aracılığıyla RTBH (örnek):
route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream
match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000SSS
WAF DDoS'u çözüyor mu?
Kısmen L7 için. L3/L4 ve hacimsel karşı, ovma/Anycast/ağ önlemleri gereklidir.
SYN kurabiyeleri yeterli mi?
Bu, SYN-flood'a karşı temel korumadır, ancak ağ sınırları ve ovalama olmadan, kanal hala tıkanabilir.
ICMP'yi devre dışı bırakmam gerekiyor mu?
Hayır. Daha iyi hız sınırı ve sadece tehlikeli türleri, ICMP teşhis/PMTU için yararlıdır.
Ovma ile GRE tüneli gecikme eklemez?
Evet, ama genellikle kabul edilebilir. Önbellek ve en yakın PoP'ye tam rota ile telafi edin.
Toplam
Güvenilir DDoS koruması çok seviyeli bir mimaridir: ağ hijyeni (sahteciliği önleme/ACL/CoPP), hızlı trafik saptırma (RTBH/Flowspec/ovma/Anycast), ana bilgisayar ve L7 mekanizmaları (SYNPROXY, eBPF/XDP, WAAP), Artı telemetri, SLO ve hata ayıklanmış oyun kitapları. Bu yaklaşım, kesinti süresini en aza indirir, kanalları canlı tutar ve iş metriklerini dağıtılmış saldırıların baskısı altında bile tutar.