DDoS attack ను సహజ ట్రాఫిక్ స్పైక్ నుండి ఎలా వేరు చేస్తారు?

Question

Accepted Answer

రెండూ అకస్మాత్తుగా అభ్యర్థనల ఎక్కువకు కనిపిస్తాయి, కాబట్టి మీరు వాటిని **ట్రాఫిక్ రూపం ద్వారా, కేవలం దాని వాల్యూమ్ ద్వారా కాదు** వేరు చేస్తారు. DDoS అసాధారణ, యంత్రం-సంబంధిత నమూనాలను ప్రదర్శిస్తుంది, వ్యాపార కారణం లేకుండా; సేంద్రీయ స్పైక్ నిజమైన వినియోగదారులను అనుసరిస్తుంది మరియు మీరు చూపించే ఒక కారణం ఉంది.

## ఇది DDoS నుండి సంకేతాలు

- **ఒక ఎండ్‌పాయింట్‌పై ఏకాగ్రత** — సైట్ అంతటా వ్యాపించే బదులు ఒకే ఖరీదైన మార్గాన్ని (ఉదా `/search` లేదా `/login`) గట్టిగా కొట్టే వేల అభ్యర్థనలు.
- **బేసి భూగోలు మరియు వినియోగదారు ఏజెంట్‌లు** — మీరు సేవ చేయని ప్రాంతాల నుండి ట్రాఫిక్, లేదా ఒకే పునరావృత్తమైన/ఖాళీ/నకిలీ `User-Agent`.
- **తక్కువ కాష్-హిట్ నిష్పత్తి** — దాడిచేసేవారు CDN ను దాటవేయడానికి మరియు నేరుగా మీ మూలం కు హిట్ చేయడానికి ప్రత్యేక క్వెరీ స్ట్రింగ్‌లను తయారు చేస్తారు.
- **తప్పుగా రూపొందించిన లేదా పునరావృత్తమైన అభ్యర్థనలు** — సమానమైన పేలోడ్‌లు, లేని హెడర్‌లు, కుకీలు లేవు, రెఫరర్ చెయిన్ లేదు.
- **వ్యాపార డ్రైవర్ లేదు** — ఎటువంటి ప్రచారం, ప్రారంభం, లేదా రెఫరల్ స్పైక్ పెరుగుదలను వివరించలేదు, మరియు ఇది రామ్పింగ్ కాకుండా తక్షణమిగా కనిపిస్తుంది.

## ఇది సేంద్రీయ స్పైక్ నుండి సంకేతాలు

- **సుశోధన చేయదగిన కారణం** — ఒక మార్కెటింగ్ ప్రచారం, ఒక వైరల్ పోస్ట్, ఒక ప్రెస్ ప్రస్తావన, లేదా తెలిసిన మూలం నుండి ఒక రెఫరల్ స్పైక్.
- **సాధారణ వినియోగదారు మార్గాలు** — ట్రాఫిక్ నిజమైన ప్రయాణం ద్వారా ప్రవహిస్తుంది (ల్యాండింగ్ -> ఉత్పత్తి -> చెక్‌అవుట్), కాష్‌ను సంబరణం చేస్తుంది, మరియు కుకీలు మరియు విభిన్న వినియోగదారు ఏజెంట్‌లను కలిగి ఉంటుంది.
- **సహజ రామ్ప** — లోడ్ నిర్మాణం మరియు తక్కువ చేయబడుతుంది, తక్షణమిగా గోడకు స్నాప్ చేయకుండా.

## ఎలా నిర్ణయించాలి

ముడిపోనిమ సంఖ్యలను చూడవద్దు. **బేస్‌లైన్‌లను నిర్వహించండి** అభ్యర్థనలు-సెకనుకు, జియో మిక్స్, కాష్-హిట్ నిష్పత్తి, మరియు ఎర్రర్ రేట్ కోసం, ఆపై వాటికి వ్యతిరేకంగా **anomaly detection** నడుపుము.

```text
# Correlate several signals before declaring an attack:
requests/sec       -> spiked 20x        (suspicious)
cache-hit ratio    -> dropped 95% -> 5%  (bypassing cache = suspicious)
top endpoint       -> 90% to /login      (concentrated = suspicious)
conversions/signups-> flat or zero        (no business value = attack)
```

కथा **సంబంధం**: నిజమైన స్పైక్ ఆర్థిక సూచికలను కూడా పెంచుతుంది; ఆ దాడి ఖర్చు పెంచుతుంది, అయితే మార్పిడులు చదునుగా ఉంటాయి.

## ఇది ఎందుకు విషయం

దానిలో రెండుని తప్పుగా చదవడం రెండు దిశలలో ఖరీదైనది. ప్రారంభం స్పైక్‌ను దాడిగా చికిత్స చేయడం మరియు రేట్-పరిమితం చేయడం చెల్లిన వినియోగదారులను నిరోధిస్తుంది; దాడిని సేంద్రీయంగా చికిత్స చేయడం దానిని మీ మూలం ను అయిపోవడానికి అనుమతిస్తుంది. బేస్‌లైనింగ్ ప్లస్ సంబంధిత సూచికలు మీరు వేగవంతంగా మరియు సరిగ్గా ప్రతిస్పందించటానికి అనుమతిస్తాయి, ఇది డిటెక్షన్ యొక్క మొత్తం పాయింట్.