Вы против ddos: доступные контрмеры
DESCRIPTION
DDoSTRANSCRIPT
Вы VS DDoSДоступные контрмеры
Александр Лямин<[email protected]>
Отцы основатели
Коллеги
Коллеги
Злоумышленники
DDoS-активность по дням
1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек0
20
40
60
80
100
120
140
160
20132012
Факты и Цифры
Пациенты 2012* 3Q 2013* процент роста 12-13
Магические услуги 132.5 339.3 156%Правительство 36.4 36.0 -1%Интернет-магазины 28.7 30.8 7%Купоны 23.7 49.0 107%Недвижимость 23.5 50.5 115%СМИ 22.5 22.7 1%Биржи и Forex 22.1 117.5 431%Инфо-услуги 21.0 26.0 24%Платежные системы 20.9 41.0 97%Игры и развлечения 19.2 22.6 18%Сайты-визитки 11.8 16.0 36%Банки 11.3 14.7 30%Туристические фирмы 11.1 30.1 170%Страховые компании 2.8 25.0 798%Общий итог 24.8 33.3 34%
Гео-распределение ботнетов
0.00%
1.00%
2.00%
3.00%
4.00%
5.00%
6.00%
7.00%
8.00%
9.00%
10.00%
VN INIR RUKZ IDPH THDE MXEG PEUA TRPK USCN BRIL GETW IQDZ GBEC JPAR VECO SG
Прекрасный новый мир
Прекрасный новый мир
ЧТО ДЕЛАТЬ?• Не делайте глупостей
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• (Желательно) Подготовьтесь
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список
подверженных сетевых сервисов
ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список
подверженных сетевых сервисов• Примите меры по нейтрализации атаки
ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список подверженных
сетевых сервисов• Примите меры по нейтрализации атаки• Проконтролируйте результативность фильтров
Завесим и замерим?
Замерим и завесим!• Восстановите контроль• Bitrate• Packetrate• Access.log• tcpdump -n –s0 –c1000000 –w attack.dump
Вы против 100$Вы Ваши опции
• nginx
Вы против 100$Вы Ваши опции
• nginx• ipset
Вы против 100$Вы Ваши опции
• nginx• ipset• mod_security for nginx
Вы против 100$Вы Ваши опции
• nginx• ipset• mod_security for nginx• http://habrahabr.ru
Вы против 1000$
• Вендоры
ВендорыЗарубежные• Arbor• Radware
Отечественные• МФИ Софт• Инновентика
Вы против 1000$
• Вендоры• Хостеры
ХостерыЗарубежные• Dragonara• OVH• Voxility
Отечественные
…
Вы против 1000$
• Вендоры• Хостеры• Операторы
ОператорыЗарубежные
…
Отечественные• Ростелеком
...
Вы против 1000$
• Вендоры• Хостеры• Операторы• Облачные сервисы
Облачные сервисыЗарубежные Отечественные
• Kaspersky KDP• Qrator
• Prolexic/Akamai• CloudFlare• Incapsula
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса• Управляемость DNS зоны
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса• Управляемость DNS зоны• Устойчивость DNS
Альтернатива
Альтернативаdomain: HABRAHABR.RUnserver: ns1.habradns.net.nserver: ns2.habradns.net.state: REGISTERED, DELEGATED, UNVERIFIED
Альтернатива альтернативе;; QUESTION SECTION:;ns3.habradns.net. IN A
;; ANSWER SECTION:ns3.habradns.net. 1877IN A178.248.233.33
Вы против 10k$
Вы против 10k$
Проблему решают:
ELAN/EPL/EVPL/IP VPN MPLS/VPLS(или даже физика)
Pro.Tip*rawpost:POSTROUTING ACCEPT [15:1548] A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT to source 10.10.40.3/32COMMIT# Completed on Mon May 20 04:47:30 2013# Generated by iptables save v1.4.16.3 on Mon May 20 04:47:30 2013*raw:PREROUTING ACCEPT [28:2128]:OUTPUT ACCEPT [18:2056] A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT to destination 10.1.0.1/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT to destination 10.1.0.2/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT to destination 10.1.0.3/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT to destination 10.1.0.4/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT to destination 10.1.0.5/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT to destination 10.1.0.6/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT to destination 10.1.0.7/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT to destination 10.1.0.8/32COMMIT
Pro.Tip
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 160
500
1000
1500
2000
2500
3000
RSS
kPPS
DDoS – это не страшно
DDoS – это не страшно,если включить голову