Ddos

DDoS: Практическоеруководствоквыживанию
ЛяминАлександр

ЭкономикаDDoS:

Доступность - высокая
Cтоимость арендыботнета – низкая
Эффективность - высокая

Смотрим врагу в лицо

Cвойства ботнета:

конечность/самосохраняемость
жадность
инертность
ущербность
транснациональность

DDoS - онпришел…
Не паникуем
Удаляемhttp серверизавтостарта
Что в top?
Интересные сообщениевdmesg
Содержимое netstat
Анализируем access. Log

Инструментарий
Linux 2.6
iptables
ipset
nginx

HTTP Flood.Frontend
Минимизируемразмерыбуферов
large_client_header_buffers
client_header_buffer_size
client_body_buffer_size
client_max_body_size
Минимизируеможиданиеклиента
reset_timedout_connection on;
client_header_timeout
client_body_timeout
keepalive_timeout
send_timeout

HTTP Flood.Frontend
Иожидаемпопавшихсяботовна default vhost
   server {
   listen 80;
   server_name noname;
   return 444;
   }
Ограничиваемколичествоодновременныхсоединенийсодногоip
limit_zoneconlim $binary_remote_addrXXm;
limit_connconlim XX;

HTTP Flood.Backend
Бюджетированиенагрузкинаскриптовыйбэкендчерез
limit_req_zone $binary_remote_addr zone=qulim:Xm rate=Yr/s;
limit_req zone=qulim burst=Z;

HTTP Flood.Отфильтровать в один запрос
log_format $http_accept $http_accept_language $http_accept_encoding;
+
grep --line-buffered
=
tail -f /var/log/nginx/myserver.access_log |
grep --line-buffered
-F '*/* en-us -' |
grep --line-buffered -oE "BOINK [0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3} " | sed -u "s/^BOINK//" | xargs -n1 ipset -A myserv
ивариациинатемуизmyserv.error_logпоключевомуслову limiting

HTTP Flood.Когофильтроватьненужно
Вашисобственныеajaxскрипты (вставляемзаголовки-маркеры)
Полезныхботов, напримерпоисковики:

77.88.0.0/18 Yandex
87.250.224.0/19 Yandex
93.158.128.0/18 Yandex
213.180.192.0/19 Yandex
95.108.128.0/17 Yandex
65.52.0.0/14 Microsoft
209.85.128.0/17 Google
81.19.64.0/19 Rambler*

рамблер - этотелеком, итаминогдаживутботы.

Conntrack abuse
ip_conntrack: table full, dropping packet ?
Conntrackхранитсоединениявhashtableинебесплатен.
Прибольшихразмерахтаблицыможно:
net.ipv4.netfilter.ip_conntrack_tcp_timeout_*
нопрощевыключить:
iptables -t RAW -A PREROUTING -d$PUBLISHED_IP -j NOTRACK
iptables -t RAW -A OUTPUT -d$PUBLISHED_IP -jNOTRACK

Большойобьемотфильрованыхботов?
ipset
егочудесныеb-tree дляплохихботов
ipset -N myserviptree --timeout XX
ipset -A myserv $OFFENDING_IP
и
-N goodbotsnethash --hashsize 512 --probes 4 --resize 50
дляхороших

SYN Flood
syn-cookies!
net.ipv4.tcp_syncookies = 1

Простомноготрафикаискладываетсяинфраструктурапровайдера?

Домашнеезадание
Настроенныеnginx/ipsetнасервере
Выключенный conntrack
Выделенныйipдляпубликуемыхсервисов
Представлениеосвязностихостера

Ничего не помоголо?
hll.msu.ru
be@hll.msu.ru