DDoS

1. Вы VS DDoS
Доступные контрмеры
Александр Лямин
<la@qrator.net>

3. Отцы основатели

4. Коллеги

5. Коллеги

6. Злоумышленники

7. DDoS-активность по дням
0
20
40
60
80
100
120
140
160
1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек
2013
2012

8. Факты и Цифры

9. Пациенты
2012* 3Q 2013* процент роста 12-13
Магические услуги 132.5 339.3 156%
Правительство 36.4 36.0 -1%
Интернет-магазины 28.7 30.8 7%
Купоны 23.7 49.0 107%
Недвижимость 23.5 50.5 115%
СМИ 22.5 22.7 1%
Биржи и Forex 22.1 117.5 431%
Инфо-услуги 21.0 26.0 24%
Платежные системы 20.9 41.0 97%
Игры и развлечения 19.2 22.6 18%
Сайты-визитки 11.8 16.0 36%
Банки 11.3 14.7 30%
Туристические фирмы 11.1 30.1 170%
Страховые компании 2.8 25.0 798%
Общий итог 24.8 33.3 34%

10. Гео-распределение ботнетов
0.00%
1.00%
2.00%
3.00%
4.00%
5.00%
6.00%
7.00%
8.00%
9.00%
10.00%
VN
IN
IR
RU
KZ
ID
PH
TH
DE
MX
EG
PE
UA

11. Прекрасный новый мир

12. Прекрасный новый мир

14. ЧТО ДЕЛАТЬ?
• Не делайте глупостей

15. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте

16. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• (Желательно) Подготовьтесь

17. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• Подготовьтесь
• Имейте запас производительности (2x)

18. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• Подготовьтесь
• Имейте запас производительности (2x)
• Оцените характеристики атаки и список
подверженных сетевых сервисов

19. ЧТО ДЕЛАТЬ?
• Не паникуйте
• Не делайте глупостей
• Подготовьтесь
• Имейте запас производительности (2x)
• Оцените характеристики атаки и список
подверженных сетевых сервисов
• Примите меры по нейтрализации атаки

20. ЧТО ДЕЛАТЬ?
• Не паникуйте
• Не делайте глупостей
• Подготовьтесь
• Имейте запас производительности (2x)
• Оцените характеристики атаки и список
подверженных сетевых сервисов
• Примите меры по нейтрализации атаки
• Проконтролируйте результативность фильтров

21. Завесим и замерим?

22. Замерим и завесим!
• Восстановите контроль
• Bitrate
• Packetrate
• Access.log
• tcpdump -n –s0 –c1000000 –w attack.dump

23. Вы против 100$
Вы Ваши опции
• nginx

24. Вы против 100$
Вы Ваши опции
• nginx
• ipset

25. Вы против 100$
Вы Ваши опции
• nginx
• ipset
• mod_security for nginx

26. Вы против 100$
Вы Ваши опции
• nginx
• ipset
• mod_security for nginx
• http://habrahabr.ru

27. Вы против 1000$
• Вендоры

28. Вендоры
Зарубежные
• Arbor
• Radware
Отечественные
• МФИ Софт
• Инновентика

29. Вы против 1000$
• Вендоры
• Хостеры

30. Хостеры
Зарубежные
• Dragonara
• OVH
• Voxility
Отечественные
…

31. Вы против 1000$
• Вендоры
• Хостеры
• Операторы

32. Операторы
Зарубежные
…
Отечественные
• Ростелеком
...

33. Вы против 1000$
• Вендоры
• Хостеры
• Операторы
• Облачные сервисы

34. Облачные сервисы
Зарубежные Отечественные
• Kaspersky KDP
• Qrator
• Prolexic/Akamai
• CloudFlare
• Incapsula

35. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения

36. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP

37. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• White-listing облачного сервиса

38. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• White-listing облачного сервиса
• Управляемость DNS зоны

39. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• White-listing облачного сервиса
• Управляемость DNS зоны
• Устойчивость DNS

40. Альтернатива

41. Альтернатива
domain: HABRAHABR.RU
nserver: ns1.habradns.net.
nserver: ns2.habradns.net.
state: REGISTERED, DELEGATED,
UNVERIFIED

42. Альтернатива альтернативе
;; QUESTION SECTION:
;ns3.habradns.net. IN A
;; ANSWER SECTION:
ns3.habradns.net. 1877 IN A 178.248.233.33

43. Вы против 10k$

44. Вы против 10k$
Проблему решают:
ELAN/EPL/EVPL/IP VPN MPLS/VPLS
(или даже физика)

45. Pro.Tip
*rawpost
:POSTROUTING ACCEPT [15:1548]
A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT tosource 10.10.40.3/32
COMMIT
# Completed on Mon May 20 04:47:30 2013
# Generated by iptablessave v1.4.16.3 on Mon May 20 04:47:30 2013
*raw
:PREROUTING ACCEPT [28:2128]
:OUTPUT ACCEPT [18:2056]
A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT todestination 10.1.0.1/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT todestination 10.1.0.2/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT todestination 10.1.0.3/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT todestination 10.1.0.4/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT todestination 10.1.0.5/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT todestination 10.1.0.6/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT todestination 10.1.0.7/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT todestination 10.1.0.8/32
COMMIT

46. Pro.Tip
0
500
1000
1500
2000
2500
3000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
kPPS
RSS

47. DDoS – это не страшно

48. DDoS – это не страшно,
если включить голову