DDoS (радкунии тақсимоти хидматрасонӣ) ва DoS (рад кардани хидмат) Ҳамлаҳоро дар асоси қабатҳои модели OSI, ки онҳо ҳадаф қарор медиҳанд, ба таври васеъ ба се категория тасниф кардан мумкин аст: қабати шабака (Қабат 3), қабати нақлиёт (Қабат 4), ва қабати татбиқ (Қабат 7).

Қабат 3 ва қабат 4 ҳамлаҳо одатан камтар мураккаб мебошанд–гарчанде ки онҳо метавонанд барои сабук кардани онҳо хеле душвор бошанд–ва обхезии шабака ва қабати нақлиётро бо трафикро дар бар мегирад, аз ҳад зиёд сарбории захираҳои системаи мақсаднок ва дастнорас кардани он барои корбарони қонунӣ. Ин намуди ҳамлаҳоро метавон бо истифода аз усулҳои гуногун ба монанди обхезии ICMP оғоз кард, Обхезии TCP SYN, ё обхезии UDP.

Масалан, обхезии ICMP, қабат аст 3 ҳамлае, ки дар он шумораи зиёди бастаҳои ICMP ба системаи ҳадаф ворид карда мешаванд, онро бечавоб гардонда. Обхезии TCP SYN, аз тарафи дигар, қабат аст 4 ҳамлае, ки роҳҳои барқарор кардани пайвастҳои TCP-ро истифода мебарад.

Дар ҳамлаи обхезии SYN, ҳамлакунанда бисёр бастаҳои SYN-ро ба системаи ҳадаф мефиристад, аммо ҳеҷ гоҳ бастаи ACK-ро барои анҷом додани пайваст намефиристад. Ин боиси он мегардад, ки система барои ҳар як кӯшиши пайвастшавӣ захираҳо ҷудо кунад, ки оқибат системаро аз ҳад зиёд бор мекунад ва онро барои корбарони қонунӣ дастнорас месозад.. Обхезии UDP шумораи зиёди бастаҳои UDP-ро ба системаи мақсаднок мефиристад, ресурсхояшро сарф карда, онро бепарво мегардонад.

Ҳамлаҳои қабати барномавии DDoS

Ҳамлаҳои қабати барнома нисбат ба қабат мураккабтар ва сабуктар кардан душвортаранд 3 ва қабат 4 ҳамлаҳо. Ин ҳамлаҳо ба қабати барнома нигаронида шудаанд (қабат 7) системаи мақсаднок ва осебпазирии худи барномаро истифода баред. Қабат 7 ҳамлаҳо метавонанд зарари бештар расонанд, зеро онҳо метавонанд бевосита ба барномаҳо ва инфрасохтори асосӣ таъсир расонанд. Шумо наметавонед қабатро кам кунед 7 Ҳамлаҳои DDoS бо қабат 3 ё қабат 4 асбобҳо ба монанди бо деворҳои шабакавӣ.

Обхезиҳои HTTP, Ҳамлаҳои Slowloris, ва ҳамлаҳои тақвияти DNS Layer мебошанд 7 рад кардани ҳамлаҳои хидматӣ. Ин ҳамлаҳо муҳофизати мураккабтарро талаб мекунанд, ба монанди брандмауэрҳои қабати барнома, системаҳои пешгирии ҳамла, ва CDN (шабакаҳои интиқоли мундариҷа).

Обхезиҳои HTTP

Ҳамлаҳои обхезии HTTP бо истифода аз дархостҳои GET ё POST барои пур кардани сервери мавриди ҳадаф анҷом дода мешаванд. Ҳамлаҳои обхезӣ бо истифода аз дархостҳои GET одатан соддатаранд ва захираҳои камтарро талаб мекунанд, зеро онҳо танҳо аз сервер маълумот мепурсанд.. дархостҳои POST, аз тарафи дигар, одатан фиристодани миқдори зиёди маълумотро талаб мекунад.

Яке аз сабабҳои коҳиш додани ҳамлаҳои обхезии HTTP душвор аст, ки онҳо аксар вақт аз шумораи зиёди манбаъҳо оғоз карда мешаванд., муайян кардан ва бастани тамоми трафики зарароварро душвор мегардонад. Илова бар ин, ҳамлагарон метавонанд аз усулҳое ба мисли қаллобии IP истифода баранд, то шахсияти аслии худро пинҳон кунанд ва пайгирии манбаи ҳамлаҳои онҳоро боз ҳам мушкилтар гардонанд..

Муҳофизат аз ҳамлаҳои обхезии HTTP метавонад душвор бошад. Намудҳои гуногуни ҳамлаҳо стратегияҳои гуногуни коҳишро талаб мекунанд. Муҳофизати умумӣ аз ҳамлаҳои обхезии HTTP маҳдудкунии суръатро дар бар мегирад, рӯйхати сиёҳ, ва деворҳои барномаҳои веб. Аммо, ин усулҳо метавонанд захираҳои зиёд дошта бошанд ва барои пешгирӣ кардани ҳамлаҳои мураккабтар кофӣ нестанд.

Ҳамлаҳои Slowloris

Slowloris як намуди ҳамлаи обхезӣ мебошад, ки дар он тарзи коркарди веб-серверҳо бо пайвастҳои муштарӣ ҳадаф қарор мегирад. Ин ҳамла тавассути кушодани шумораи зиёди пайвастҳо ба сервер кор мекунад, аммо фиристодани дархостҳо бо суръати суст, ҳар як пайвастро то ҳадди имкон кушода нигоҳ доред. Ин намуди ҳамла метавонад тамоми захираҳои мавҷудаи серверро истеъмол кунад ва ба ҳамлагарон имкон медиҳад, ки CPU-ро истеъмол кунанд, хотира, ё маҷрои шабака, ва ғайра. бе ҳатто боиси маҳдудияти меъёри муқаррарӣ ва механизмҳои филтркунии трафик, ки одатан барои ошкор ва бастани дигар намудҳои ҳамлаҳои DDoS истифода мешаванд.

Барои анҷом додани ҳамлаи Slowloris, ҳамлагарон маъмулан скриптҳо ё асбобҳоеро истифода мебаранд, ки дархостҳои HTTP-ро ба сервер мефиристанд, вале фиристодани дархостхои минбаъдаро дидаю дониста кашол медиханд. Дархост тарҳрезӣ шудааст, ки ба дархости қонунӣ монанд бошад, аммо бо сарлавҳаи нопурра, ки пайвастагиро ба таври номуайян боз медорад. Бо гузашти вақт, сервер дорои бисёр пайвастҳои кушод хоҳад буд, ки маълумоти иловагӣ аз муштариро интизоранд, боиси қатъ кардани вокуниш ба трафики қонунии сервер мегардад.

Ҳамлаҳои Slowloris бо сабаби тарҳрезии махфии онҳо ва паҳнои маҷрои нисбатан пасти онҳо метавонанд душвор бошанд. Ин онро як воситаи муассир барои ҳамлагароне месозад, ки мехоҳанд серверҳои худро бидуни огоҳӣ ё эҷоди шубҳа тахриб кунанд. Барои дифоъ аз ҳамлаҳои Slowloris, серверҳои веб метавонанд якчанд чораҳои зиддитеррористӣ амалӣ намоянд. Барои намуна, шумораи пайвастҳоеро, ки аз як суроғаи IP муқаррар кардан мумкин аст, маҳдуд кунед ё барои дархостҳои нопурра мӯҳлат муқаррар кунед. Баъзе брандмауэрҳои веб-барномаҳо ва хидматрасонии кам кардани DDoS муҳофизати дохилӣ аз ҳамлаҳои Slowloris доранд., бо истифода аз алгоритмҳое, ки метавонанд чунин трафикро дар вақти воқеӣ ошкор ва манъ кунанд.

Қабат 7 Кам кардани DDoS

Маҳдуд кардани меъёр

Маҳдудияти нарх муқаррар кардани ҳадди шумораи дархостҳоро дар бар мегирад, ки метавонанд аз суроғаи мушаххаси IP ё агенти корбар дар як давраи муайян анҷом дода шаванд.. Консепсия ба маҳдудияти суръат дар қабат хеле монанд аст 3 вале он бояд дар кабат ба амал бароварда шавад 7.

Мақсади маҳдудияти суръат ин пешгирӣ кардани ҳамла аз изофабори замимаи веб бо шумораи зиёди дархостҳо мебошад, боиси халалдор шудани сервер мегардад. Маҳдудияти нархро дар қабатҳои гуногуни меъмории замимаи веби шумо амалӣ кардан мумкин аст, дар сервери веб, мутавозуни бор, ё девори барнома. Татбиқҳо маъмулан пайгирии шумораи дархостҳои аз ҷониби як суроғаи IP ё агенти корбар пешниҳодшуда ва бастани дархостҳои минбаъда ҳангоми расидан ба ҳадди пешакӣ муайяншударо дар бар мегирад..

Равиши маъмул барои татбиқи маҳдудияти суръат дар барномаҳои веб ин истифодаи миёнаравӣ ё плагинҳо мебошад, ки шумораи дархостҳои аз ҷониби ҳар як муштариро пайгирӣ мекунанд ва дархостҳои минбаъдаро ҳангоми аз ҳадди меъёр гузаштан манъ мекунанд.. Ин плагинҳоро метавон танзим кард, ки сиёсатҳои гуногуни маҳдудкунии меъёрро дар асоси омилҳо ба монанди намуди дархост истифода баранд., агенти корбар, ё суроғаи IP муштарӣ.

Барои намуна, сиёсати оддии маҳдудкунии меъёр метавонад дархостҳоро аз як суроғаи IP то ҳадди аксар маҳдуд кунад 10 дархостҳо дар як дақиқа. Агар муштарӣ аз ин меъёр зиёд бошад, дархостҳои минбаъда то ба охир расидани мӯҳлат баста мешаванд.

Маҳсулоти маҳдудкунандаи суръати сатҳи барномавӣ барои веб-серверҳои маъмул ва хидматҳои абрӣ дастрасанд, аз чумла:

Апачи

Apache дорои якчанд модулҳо мебошад, ки метавонанд барои маҳдуд кардани суръат истифода шаванд, ба мисли mod_limitipconn, ки шумораи пайвастҳои ҳамзамон аз суроғаи IP додашударо маҳдуд мекунад, ва mod_qos, ки назорати гуногуни сифати хизматрасониро, аз он ҷумла маҳдудияти меъёрро таъмин мекунад.

Гайр аз ин, Firewall Web Application ModSecurity дорои хусусияти маҳдудкунандаи суръат аст, ки метавонад муштариёни аз ҳадди муайян зиёдтарро манъ кунад. Илова ба модулҳои дар боло зикршуда, Apache инчунин mod_evasive -ро таъмин мекунад. Ин модулест, ки метавонад барои баҳодиҳии маҳдудият ва бастани муштариёне, ки аз ҳадди муқарраршуда зиёданд, истифода шавад. Бо истифода аз усулҳои гуногун муштариёни қаллобиро ошкор ва маҳкам кунед, аз ҷумла IP ва пайгирии корбар-агенти.

Nginx

Nginx таъмин менамояд модули ngx_http_limit_req. Ин метавонад барои маҳдуд кардани суръати дархост аз муштариёни муайян дар асоси суроғаи IP ё омилҳои дигар истифода шавад. Ин модул як алгоритми сатили токенро барои ҷудо кардани нишонаҳо ба ҳар як муштарӣ дар асоси сиёсати маҳдудкунии нарх истифода мебарад. Ба ғайр аз модули ngx_http_limit_req, Nginx инчунин модули ngx_http_limit_conn -ро таъмин мекунад. Ин метавонад барои маҳдуд кардани шумораи пайвастҳо аз муштариёни мушаххас ё суроғаҳои IP истифода шавад. Ин модул як алгоритми сатили токенро барои ҷудо кардани нишонаҳо дар асоси сиёсати маҳдудкунии қурб истифода мебарад.

IIS

Хидматҳои иттилоотии интернетии Microsoft (IIS) дар бар мегирад а модули маҳдудкунандаи IP динамикӣ ки барои махдуд кардани нарх истифода бурдан мумкин аст. Ин модул метавонад барои бастани дархостҳо аз суроғаҳои IP танзим карда шавад, ки аз ҳадди муқарраршуда зиёданд ва инчунин метавонанд барои назорат огоҳиҳо ва гузоришҳоро таъмин кунанд. Илова ба модули Dynamic IP Limiting, IIS инчунин модули филтркунии дархостро пешниҳод мекунад, ки метавонад барои маҳдуд кардани суръати дархости муштариёни мушаххас дар асоси меъёрҳои гуногун ба монанди суроғаи IP истифода шавад., агенти корбар, ва усули дархост.

AWS

Amazon Web Services (AWS) якчанд хидматҳоро пешниҳод мекунад, ки метавонанд барои маҳдуд кардани меъёр истифода шаванд, аз чумла AWS WAF бо маҳдудияти суръат ҳамчун хусусият.

AWS Shield муҳофизати DDoS-ро пешниҳод мекунад, аз ҷумла қоидаҳои ба меъёр асосёфта, ки метавонанд дархостҳоро аз суроғаҳои IP аз ҳадди муайян манъ кунанд. Илова ба AWS WAF ва AWS Shield, AWS инчунин пешниҳод мекунад AWS Elastic Load Balancer. Он сиёсатҳои гуногуни маҳдудкунии нархҳоро дар бар мегирад, ки метавонанд барои бастани муштариён аз ҳадди муқарраршуда танзим карда шаванд.

Азур

Microsoft Azure якчанд хидматҳоро пешниҳод мекунад, ки метавонанд барои маҳдуд кардани нарх истифода шаванд, аз ҷумла Azure Application Gateways. Он як девори барномаи вебро дар бар мегирад, ки метавонад барои маҳдуд кардани суръати дархостҳои воридотӣ танзим карда шавад. Илова бар ин, Azure Front Door пешниҳод мекунад хусусияти маҳдудкунандаи суръати ки метавонад дархостҳоро аз суроғаҳои IP болотар аз ҳадди муқарраршуда маҳкам кунад. Илова ба Azure Application Gateway ва Azure Front Door, Azure инчунин Firewall Azure пешниҳод мекунад. Ин метавонад барои баҳодиҳии маҳдудият ва бастани муштариён аз ҳадди муайяншуда истифода шавад.

GCP

Платформаи абрии Google (GCP) Cloud Armor пешниҳод мекунад, брандмауэри барномаи веб бо қобилиятҳои маҳдудкунандаи суръат, ки метавонад дархостҳои муштариёнро, ки аз ҳадди муқарраршуда зиёданд, боздорад.

Ин маҳсулоти сатҳи маҳдудкунандаи сатҳи барномаҳо метавонанд ҳамлаҳои обхезии HTTP-ро тавассути маҳдуд кардани шумораи дархостҳои муштариёни фиребгарон самаранок кам кунанд.. Аммо, муҳим аст, ки онҳо дуруст танзим карда шаванд, то трафики қонуниро манъ накунанд ва дар якҷоягӣ бо дигар чораҳои амниятӣ, аз қабили брандмауэрҳо ва хидматҳои кам кардани DDoS барои таъмини ҳифзи ҳамаҷониба аз ҳамлаҳои DDoS истифода шаванд..

Вақтсанҷи барои дархостҳои нопурра

Дар зер баъзе усулҳои кам кардани қабати замимаи Slowloris мавҷуданд, ки барои Apache номбар шудаанд, Nginx, ва веб-серверҳои IIS, ва тавозуни сарборӣ ва хусусиятҳои иловагӣ барои AWS, Азур, ва хидматҳои GCP:

Апачи

Илова ба модулҳои дар боло зикршуда, Apache инчунин модулро таъмин мекунад, mod_reqtimeout, ки метавонад барои таъин кардани вақт барои дархостҳои воридотӣ истифода шавад. Агар муштарӣ дархосте фиристад, ки аз мӯҳлати муқарраршуда зиёдтар мегирад, сервер пайвастро мебандад. Ин ҳамлаҳои slowlorisро пешгирӣ мекунад.

Nginx

Ба ғайр аз модули ngx_http_limit_conn ва модули ngx_http_limit_req, Nginx инчунин модули ngx_http_request-и худро таъмин мекунад. Ин метавонад барои маҳдуд кардани вақти коркарди дархост барои сервери болоӣ истифода шавад. Агар сервери болоӣ аз мӯҳлати муқарраршуда зиёдтар вақт гирад, Nginx пайвастро мебандад.

IIS

Илова ба Маҳдудиятҳои IP динамикӣ ва модулҳои филтркунии дархост, IIS инчунин драйвери ҳолати ядроро таъмин мекунад HTTP.sys. Ин ба шумо имкон медиҳад, ки барои дархостҳои воридотӣ мӯҳлат муқаррар кунед. Агар муштарӣ дархосте фиристад, ки аз мӯҳлати муқарраршуда зиёдтар мегирад, сервер пайвастро мебандад.

AWS

Илова ба AWS WAF ва AWS Shield, AWS ба таври илова Elastic Load Balancer медиҳад, ки қоидаҳои сершумори вақти пайвастшавиро дар бар мегирад, ки метавонанд барои бастани пайвастҳое танзим карда шаванд, ки аз ҳадди муқарраршуда зиёдтар вақт мегиранд.

Азур

Илова ба Azure Application Gateway ва Azure Front Door, Azure иловатан Azure Load Balancer медиҳад, ки хусусияти конфигуратсияшавандаи мӯҳлатҳои бекориро дар бар мегирад, ки метавонад барои бастани пайвастҳое истифода шавад, ки метавонанд барои як давраи пешакӣ муқарраршуда бекор бошанд..

GCP

Платформаи абрии Google (GCP) барои хидматҳои худ алтернативаҳои зиёди вақти пайвастшавӣ медиҳад, ки мувозинати Cloud Load-ро дар бар мегиранд, ки хусусияти танзимшавандаи вақтро дар бар мегирад, ки метавонад барои бастани пайвастҳое истифода шавад, ки аз ҳадди муқарраршуда дарозтар мегирад.

Хулоса

Хулоса, Ҳамлаҳои DDoS ва DoS-ро дар асоси қабатҳои модели OSI, ки ба онҳо нигаронида шудаанд, тасниф кардан мумкин аст, ба монанди қабати шабака (Қабат 3), қабати нақлиёт (Қабат 4), ва қабати татбиқ (Қабат 7).

Дар ҳоле ки қабат 3 ва қабат 4 ҳамлаҳо шабакаро пур мекунанд ва қабатҳои интиқолро бо трафик фаро мегиранд, қабат 7 ҳамлаҳо мураккабтаранд ва осебпазирии худи барномаҳоро истифода мебаранд. Обхезиҳои HTTP ва ҳамлаҳои Slowloris намунаҳои қабат мебошанд 7 рад кардани ҳамлаҳои хидматӣ. Тадбирҳои зидди ин ҳамлаҳо маҳдуд кардани суръатро дар бар мегиранд, рӯйхати сиёҳ, ва деворҳои барномаҳои веб. Муайян кардан ва нигоҳ доштани ҳамлаҳо дар вақти воқеӣ ҳамаҷониба талаб мекунад, стратегияи бисёрқабатаи мудофиа, ки мониторингро дар бар мегирад, ошкор, ва қобилиятҳои ҷавобӣ.

Илова бар ин, ҳамлагарон метавонанд усулҳои худро танзим кунанд ва ҳамлаҳои худро барои пешгирӣ кардани ошкоркунӣ ва саркашӣ аз чораҳои амниятӣ мутобиқ созанд. Бинобар ин, зарур аст, ки ташкилотхо комплексиро ба амал бароранд, стратегияи бисёрқабатаи мудофиа, ки мониторингро дар бар мегирад, ошкор, ва қобилияти вокуниш ба зудӣ муайян ва нигоҳ доштани ҳамлаҳо дар вақти воқеӣ. Ин метавонад истифодаи алгоритмҳои омӯзишии пешрафтаи мошинсозӣ ва таҳлили рафторро барои ошкор ва бастани шаклҳои трафики зараровар дар бар гирад.