Bosh sahifa Wiki DDoS

DDoS

DDoS — ko‘p manba yoki qurilmadan bir vaqtda juda katta trafik, connection yoki application request yuborib service’ni qonuniy foydalanuvchilar uchun ishlatib bo‘lmaydigan holatga keltirish hujumi. Atama Distributed Denial of Service so‘zlaridan tuzilgan.

Hujum distributed bo‘lgani sabab bitta IP manzilni bloklash yetarli emas. Traffic botnet, ochiq resolver, compromised server yoki boshqa ko‘p source’dan kelishi mumkin.

Maqsad

DDoS quyidagi resource’larni tugatishga urinadi:

Service server ishlayotgan bo‘lsa ham user requestiga javob bera olmasligi mumkin.

Volumetric hujum

Juda katta bandwidth oqimi network linkni to‘ldiradi.

Traffic turi:

  • UDP flood;
  • ICMP flood;
  • amplification;
  • reflection;
  • katta packet oqimi.

Bunday hujumni faqat application server ichida bloklash kech, chunki traffic internet kanaliga allaqachon kirgan bo‘ladi.

Protocol hujumi

Network yoki transport protocol holatini suiiste’mol qiladi.

Masalan, ko‘p yarim ochiq connection state table’ni band qilishi mumkin.

Nishon:

State timeout va SYN himoyasi ishlatilishi mumkin.

Application-layer hujum

Hujum oddiy HTTP requestga o‘xshaydi, ammo qimmat endpointni ko‘p chaqiradi.

Misollar:

Traffic hajmi kichik bo‘lsa ham backend resource’ini tugatadi.

Reflection

Attacker request source IP manzilini victim sifatida soxtalashtiradi.

Uchinchi tomon serverlari response’ni victimga yuboradi.

Attacker o‘z trafficini relaylar orqali ko‘paytiradi va haqiqiy source’ni yashiradi.

Amplification

Kichik request katta response yaratadigan protocol ishlatiladi.

Amplification factor response va request hajmi nisbatidir.

Ochiq va noto‘g‘ri sozlangan service’lar amplification vositasiga aylanishi mumkin.

Ingress filtering source spoofingni kamaytiradi.

Botnet

Botnet minglab zararlangan qurilmani boshqaradi.

Har bot qonuniy internet connectionga ega bo‘lishi mumkin.

IoT botlari router, kamera yoki DVR kabi doim yoqilgan qurilmalardan tashkil topishi ehtimoli bor.

Multi-vector hujum

Attacker bir vaqtning o‘zida:

hujumlarini birlashtirishi mumkin.

Himoya bir qatlamga tayanmasa, hujumchi eng zaif joyga o‘tadi.

Rate limiting

Request soni client, token, endpoint yoki region bo‘yicha cheklanadi.

Faqat IP limit botnetga qarshi yetarli emas.

Kritik login va qimmat endpointlar alohida policy oladi.

Limit qonuniy katta trafikni ham bloklamasligi kerak.

Anycast va global tarqatish

Anycast bir IPga kelgan trafficni geografik jihatdan yaqin datacenterlarga tarqatishi mumkin.

Bu hujum yukini ko‘p point of presence orasida bo‘ladi.

Agar application state yoki origin bitta joyda bo‘lsa downstream bottleneck qolishi mumkin.

CDN va edge

Static content va ayrim dynamic requestlar edge’da qayta ishlanadi.

Edge cache origin requestlarini kamaytiradi.

WAF va bot management zararli patternlarni originga yetmasdan bloklaydi.

Cache-bypass querylar alohida himoyalanadi.

Scrubbing

DDoS scrubbing center trafficni qabul qilib, zararli oqimni filtrlab, toza trafficni nishonga uzatadi.

Routing BGP yoki tunnel orqali o‘zgartirilishi mumkin.

Scrubbing provider capacity va activation vaqti oldindan sinovdan o‘tkaziladi.

Load shedding

Tizim overload bo‘lsa past priority yoki qimmat requestlarni erta rad etadi.

Asosiy funksiyalar uchun reserve capacity saqlanadi.

Graceful degradation orqali recommendation, analytics yoki katta image vaqtincha o‘chirilishi mumkin.

Autoscaling

Compute instance sonini oshirish application-layer burstga yordam berishi mumkin.

Ammo cheksiz autoscaling:

muammosini yaratadi.

DDoSni faqat ko‘proq server bilan yengish doim mumkin emas.

Monitoring

Kuzatiladi:

  • requests per second;
  • packets per second;
  • bits per second;
  • connection state;
  • error;
  • latency;
  • cache hit;
  • source distribution;
  • endpoint;
  • upstream saturation.

Baseline va mavsumiy traffic bilan solishtirish muhim.

Incident rejasi

Oldindan:

belgilanadi.

Hujum vaqtida yangi account va shartnoma ochishga vaqt ketishi mumkin.

Originni yashirish

CDN yoki reverse proxy ishlatilsa origin server IP manzili public DNS, eski record, email header yoki boshqa service orqali oshkor bo‘lmasligi kerak. Attacker edge himoyasini chetlab to‘g‘ridan-to‘g‘ri originga hujum qilishi mumkin. Origin faqat trusted proxy addresslaridan traffic qabul qiladi.

DNS himoyasi

Application sog‘lom bo‘lsa ham authoritative DNS ishlamasa user domenni resolve qila olmaydi. DNS provider anycast, rate limit va ko‘p regionli infratuzilmaga ega bo‘lishi kerak. Registrar accounti va DNS configuration ham alohida himoyalanadi.

Business qatlam

DDoS maqsadi faqat serverni o‘chirish emas, incident response va cloud xarajatini oshirish ham bo‘lishi mumkin. Autoscaling, bandwidth va third-party API usage uchun cost alert va limitlar qo‘yiladi. Himoya qonuniy trafficni saqlab qolishga qaratiladi.

False positive

Flash crowd, yangilik, reklama kampaniyasi yoki release ham DDoSga o‘xshash keskin trafik yaratishi mumkin. Himoya barcha yangi userni bloklamasligi kerak. Behavior, request sifati, session, geographic distribution va business kontekst orqali qonuniy burst bilan zararli oqim ajratiladi.

Bog‘liq tushunchalar

Denial of Service, Botnet, Volumetric attack, Reflection, Amplification, Rate limiting, Anycast, CDN, WAF, Load shedding, Scrubbing center