DDoS — ko‘p manba yoki qurilmadan bir vaqtda juda katta trafik, connection yoki application request yuborib service’ni qonuniy foydalanuvchilar uchun ishlatib bo‘lmaydigan holatga keltirish hujumi. Atama Distributed Denial of Service so‘zlaridan tuzilgan.
Hujum distributed bo‘lgani sabab bitta IP manzilni bloklash yetarli emas. Traffic botnet, ochiq resolver, compromised server yoki boshqa ko‘p source’dan kelishi mumkin.
Maqsad
DDoS quyidagi resource’larni tugatishga urinadi:
- internet bandwidth;
- firewall yoki load balancer state;
- TCP connection;
- CPU;
- memory;
- thread;
- database connection;
- application quota;
- tashqi provider limiti.
Service server ishlayotgan bo‘lsa ham user requestiga javob bera olmasligi mumkin.
Volumetric hujum
Juda katta bandwidth oqimi network linkni to‘ldiradi.
Traffic turi:
Bunday hujumni faqat application server ichida bloklash kech, chunki traffic internet kanaliga allaqachon kirgan bo‘ladi.
Protocol hujumi
Network yoki transport protocol holatini suiiste’mol qiladi.
Masalan, ko‘p yarim ochiq connection state table’ni band qilishi mumkin.
Nishon:
State timeout va SYN himoyasi ishlatilishi mumkin.
Application-layer hujum
Hujum oddiy HTTP requestga o‘xshaydi, ammo qimmat endpointni ko‘p chaqiradi.
Misollar:
Traffic hajmi kichik bo‘lsa ham backend resource’ini tugatadi.
Reflection
Attacker request source IP manzilini victim sifatida soxtalashtiradi.
Uchinchi tomon serverlari response’ni victimga yuboradi.
Attacker o‘z trafficini relaylar orqali ko‘paytiradi va haqiqiy source’ni yashiradi.
Amplification
Kichik request katta response yaratadigan protocol ishlatiladi.
Amplification factor response va request hajmi nisbatidir.
Ochiq va noto‘g‘ri sozlangan service’lar amplification vositasiga aylanishi mumkin.
Ingress filtering source spoofingni kamaytiradi.
Botnet
Botnet minglab zararlangan qurilmani boshqaradi.
Har bot qonuniy internet connectionga ega bo‘lishi mumkin.
IoT botlari router, kamera yoki DVR kabi doim yoqilgan qurilmalardan tashkil topishi ehtimoli bor.
Multi-vector hujum
Attacker bir vaqtning o‘zida:
hujumlarini birlashtirishi mumkin.
Himoya bir qatlamga tayanmasa, hujumchi eng zaif joyga o‘tadi.
Rate limiting
Request soni client, token, endpoint yoki region bo‘yicha cheklanadi.
Faqat IP limit botnetga qarshi yetarli emas.
Kritik login va qimmat endpointlar alohida policy oladi.
Limit qonuniy katta trafikni ham bloklamasligi kerak.
Anycast va global tarqatish
Anycast bir IPga kelgan trafficni geografik jihatdan yaqin datacenterlarga tarqatishi mumkin.
Bu hujum yukini ko‘p point of presence orasida bo‘ladi.
Agar application state yoki origin bitta joyda bo‘lsa downstream bottleneck qolishi mumkin.
CDN va edge
Static content va ayrim dynamic requestlar edge’da qayta ishlanadi.
Edge cache origin requestlarini kamaytiradi.
WAF va bot management zararli patternlarni originga yetmasdan bloklaydi.
Cache-bypass querylar alohida himoyalanadi.
Scrubbing
DDoS scrubbing center trafficni qabul qilib, zararli oqimni filtrlab, toza trafficni nishonga uzatadi.
Routing BGP yoki tunnel orqali o‘zgartirilishi mumkin.
Scrubbing provider capacity va activation vaqti oldindan sinovdan o‘tkaziladi.
Load shedding
Tizim overload bo‘lsa past priority yoki qimmat requestlarni erta rad etadi.
Asosiy funksiyalar uchun reserve capacity saqlanadi.
Graceful degradation orqali recommendation, analytics yoki katta image vaqtincha o‘chirilishi mumkin.
Autoscaling
Compute instance sonini oshirish application-layer burstga yordam berishi mumkin.
Ammo cheksiz autoscaling:
muammosini yaratadi.
DDoSni faqat ko‘proq server bilan yengish doim mumkin emas.
Monitoring
Kuzatiladi:
- requests per second;
- packets per second;
- bits per second;
- connection state;
- error;
- latency;
- cache hit;
- source distribution;
- endpoint;
- upstream saturation.
Baseline va mavsumiy traffic bilan solishtirish muhim.
Incident rejasi
Oldindan:
- provider contact;
- routing o‘zgarishi;
- emergency rule;
- status page;
- communication;
- log retention;
- cost limit
belgilanadi.
Hujum vaqtida yangi account va shartnoma ochishga vaqt ketishi mumkin.
Originni yashirish
CDN yoki reverse proxy ishlatilsa origin server IP manzili public DNS, eski record, email header yoki boshqa service orqali oshkor bo‘lmasligi kerak. Attacker edge himoyasini chetlab to‘g‘ridan-to‘g‘ri originga hujum qilishi mumkin. Origin faqat trusted proxy addresslaridan traffic qabul qiladi.
DNS himoyasi
Application sog‘lom bo‘lsa ham authoritative DNS ishlamasa user domenni resolve qila olmaydi. DNS provider anycast, rate limit va ko‘p regionli infratuzilmaga ega bo‘lishi kerak. Registrar accounti va DNS configuration ham alohida himoyalanadi.
Business qatlam
DDoS maqsadi faqat serverni o‘chirish emas, incident response va cloud xarajatini oshirish ham bo‘lishi mumkin. Autoscaling, bandwidth va third-party API usage uchun cost alert va limitlar qo‘yiladi. Himoya qonuniy trafficni saqlab qolishga qaratiladi.
False positive
Flash crowd, yangilik, reklama kampaniyasi yoki release ham DDoSga o‘xshash keskin trafik yaratishi mumkin. Himoya barcha yangi userni bloklamasligi kerak. Behavior, request sifati, session, geographic distribution va business kontekst orqali qonuniy burst bilan zararli oqim ajratiladi.
Bog‘liq tushunchalar
Denial of Service, Botnet, Volumetric attack, Reflection, Amplification, Rate limiting, Anycast, CDN, WAF, Load shedding, Scrubbing center