Сети и протоколы
Сетевая безопасность: тест с множественным выбором
Шесть вопросов, проходящих через весь юнит. Каждый отражает решение, которое вы принимаете прямо в ходе инцидента — какой слой отказывает, какая ручка реально меняет стоимость атаки для атакующего — а не определение для зазубривания.
Убедитесь, что вы связываете вектор атаки со слоем защиты: какой инструмент останавливает какую атаку, почему amplification и Rapid Reset обходят наивные лимиты и почему некоторые защиты (RPKI без ROV, HSTS без preload) сами по себе косметические.
Атакующий арендует ботнет на 1 Гбит/с прямого трафика, затем переходит на memcached-отражение с коэффициентом усиления 1024x при тех же 1 Гбит/с аплинка. Что меняется и почему это сложнее остановить?
Публичное API использует строгий fixed window лимит 100 req/min на IP. Скрапер стабильно вытягивает ~200 запросов за несколько секунд и его ни разу не блокируют. В чём механизм и какой алгоритм чинит это дёшево?
Чёрная пятница через три дня. Ваш WAF на PL2 блокирует ~70% текущей L7-атаки; подъём до PL4 даёт ~95% покрытия, но ложные срабатывания по легитимным клиентам растут до ~5%. Что сделает сеньор?
Платформенная команда предлагает запереть трафик между сервисами IP-allowlist (только поды подсети 10.2.0.0/16 могут звать payments). Почему сеньор настаивает на mTLS?
У всех ваших префиксов опубликованы валидные RPKI ROA, но захваченный анонс от неавторизованной AS всё равно на час уводит часть вашего трафика. Как это возможно?
Вы прикрыли всё CDN, rate limits и WAF. Атакующий переходит на GET-запросы с уникальным ?x=random на каждый запрос к самому дорогому запросу; cache-hit rate падает с 95% до 5%, и БД origin плавится. Какой слой реально вас спасает?
Сквозная линия — одна карта: вектор атаки к слою защиты. Amplification превращает мелкого атакующего в объёмный flood, который надо поглощать на anycast edge, а не блокировать. Выбор лимитера — компромисс: fixed window протекает на границе, sliding window counter чинит это при O(1). Паранойя WAF меняет покрытие на ложные срабатывания, поэтому умеренный WAF паруют с adaptive concurrency, реагирующим на нагрузку, а не гонятся за идеальным сопоставлением контента. mTLS даёт идентичность, которую IP-allowlist дать не может. А RPKI без ROV — как HSTS без preload — лишь половина контроля. Ни один слой не останавливает все векторы; в этом весь смысл defense in depth.