Вы VS DDoSДоступные контрмеры

Александр Лямин<la@qrator.net>

Отцы основатели

Коллеги

Коллеги

Злоумышленники

DDoS-активность по дням

1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек0

20

40

60

80

100

120

140

160

20132012

Факты и Цифры

Пациенты 2012* 3Q 2013* процент роста 12-13

Магические услуги 132.5 339.3 156%Правительство 36.4 36.0 -1%Интернет-магазины 28.7 30.8 7%Купоны 23.7 49.0 107%Недвижимость 23.5 50.5 115%СМИ 22.5 22.7 1%Биржи и Forex 22.1 117.5 431%Инфо-услуги 21.0 26.0 24%Платежные системы 20.9 41.0 97%Игры и развлечения 19.2 22.6 18%Сайты-визитки 11.8 16.0 36%Банки 11.3 14.7 30%Туристические фирмы 11.1 30.1 170%Страховые компании 2.8 25.0 798%Общий итог 24.8 33.3 34%

Гео-распределение ботнетов

0.00%

1.00%

2.00%

3.00%

4.00%

5.00%

6.00%

7.00%

8.00%

9.00%

10.00%

VN INIR RUKZ IDPH THDE MXEG PEUA TRPK USCN BRIL GETW IQDZ GBEC JPAR VECO SG

Прекрасный новый мир

Прекрасный новый мир

ЧТО ДЕЛАТЬ?• Не делайте глупостей

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• (Желательно) Подготовьтесь

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список

подверженных сетевых сервисов

ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список

подверженных сетевых сервисов• Примите меры по нейтрализации атаки

ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список подверженных

сетевых сервисов• Примите меры по нейтрализации атаки• Проконтролируйте результативность фильтров

Завесим и замерим?

Замерим и завесим!• Восстановите контроль• Bitrate• Packetrate• Access.log• tcpdump -n –s0 –c1000000 –w attack.dump

Вы против 100$Вы Ваши опции

• nginx

Вы против 100$Вы Ваши опции

• nginx• ipset

Вы против 100$Вы Ваши опции

• nginx• ipset• mod_security for nginx

Вы против 100$Вы Ваши опции

• nginx• ipset• mod_security for nginx• http://habrahabr.ru

Вы против 1000$

• Вендоры

ВендорыЗарубежные• Arbor• Radware

Отечественные• МФИ Софт• Инновентика

Вы против 1000$

• Вендоры• Хостеры

ХостерыЗарубежные• Dragonara• OVH• Voxility

Отечественные

…

Вы против 1000$

• Вендоры• Хостеры• Операторы

ОператорыЗарубежные

…

Отечественные• Ростелеком

...

Вы против 1000$

• Вендоры• Хостеры• Операторы• Облачные сервисы

Облачные сервисыЗарубежные Отечественные

• Kaspersky KDP• Qrator

• Prolexic/Akamai• CloudFlare• Incapsula

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса• Управляемость DNS зоны

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• White-listing облачного сервиса• Управляемость DNS зоны• Устойчивость DNS

Альтернатива

Альтернативаdomain: HABRAHABR.RUnserver: ns1.habradns.net.nserver: ns2.habradns.net.state: REGISTERED, DELEGATED, UNVERIFIED

Альтернатива альтернативе;; QUESTION SECTION:;ns3.habradns.net. IN A

;; ANSWER SECTION:ns3.habradns.net. 1877IN A178.248.233.33

Вы против 10k$

Вы против 10k$

Проблему решают:

ELAN/EPL/EVPL/IP VPN MPLS/VPLS(или даже физика)

Pro.Tip*rawpost:POSTROUTING ACCEPT [15:1548] A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT to source 10.10.40.3/32COMMIT# Completed on Mon May 20 04:47:30 2013# Generated by iptables save v1.4.16.3 on Mon May 20 04:47:30 2013*raw:PREROUTING ACCEPT [28:2128]:OUTPUT ACCEPT [18:2056] A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT to destination 10.1.0.1/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT to destination 10.1.0.2/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT to destination 10.1.0.3/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT to destination 10.1.0.4/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT to destination 10.1.0.5/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT to destination 10.1.0.6/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT to destination 10.1.0.7/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT to destination 10.1.0.8/32COMMIT

Pro.Tip

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 160

500

1000

1500

2000

2500

3000

RSS

kPPS

DDoS – это не страшно

DDoS – это не страшно,если включить голову