SlideShare a Scribd company logo

Lyamin Yandex webmaster2013

Download as PPTX, PDF
Alexander Lyamin
Alexander Lyamin
1 of 40
DDoS-атаки
DDoS-активность по дням 0 20 40 60 80 100 120 140 160 1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек 2013 2012
Факты и Цифры
Пациенты 2012* 3Q 2013* процент роста 12-13 Магические услуги 132.5 339.3 156% Правительство 36.4 36.0 -1% Интернет-магазины 28.7 30.8 7% Купоны 23.7 49.0 107% Недвижимость 23.5 50.5 115% СМИ 22.5 22.7 1% Биржи и Forex 22.1 117.5 431% Инфо-услуги 21.0 26.0 24% Платежные системы 20.9 41.0 97% Игры и развлечения 19.2 22.6 18% Сайты-визитки 11.8 16.0 36% Банки 11.3 14.7 30% Туристические фирмы 11.1 30.1 170% Страховые компании 2.8 25.0 798% Общий итог 24.8 33.3 34%
Гео-распределение ботнетов 0.00% 1.00% 2.00% 3.00% 4.00% 5.00% 6.00% 7.00% 8.00% 9.00% 10.00% VN IN IR RU KZ ID PH TH DE MX EG PE UA
ЧТО ДЕЛАТЬ? • Не делайте глупостей
ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте
ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • (Желательно) Подготовьтесь
ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • Подготовьтесь • Имейте запас производительности (2x)
ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • Подготовьтесь • Имейте запас производительности (2x) • Оцените характеристики атаки и список подверженных сетевых сервисов
ЧТО ДЕЛАТЬ? • Не паникуйте • Не делайте глупостей • Подготовьтесь • Имейте запас производительности (2x) • Оцените характеристики атаки и список подверженных сетевых сервисов • Примите меры по нейтрализации атаки • Проконтролируйте результативность фильтров
Завесим и замерим?
Замерим и завесим! • Восстановите контроль • Bitrate • Packetrate • Access.log • tcpdump -n –s0 –c1000000 –w attack.dump
Вы против 100$ Вы Ваши опции • nginx
Вы против 100$ Вы Ваши опции • nginx • ipset
Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx
Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx • http://habrahabr.ru
Вы против 1000$
Вы против 1000$ • Хостеры
Вы против 1000$ • Хостеры • Вендоры
Вы против 1000$ • Хостеры • Вендоры • Облачные сервисы
Облачные сервисы Зарубежные Отечественные • Kaspersky KDP • Qrator • Prolexic • CloudFlare • Incapsula • Akamai
Важные аспекты при подключении • Конфиденциальность IP адреса приложения
Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP
Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса
Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Безопасность DNS серверов • Управляемость DNS зоны
Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны
Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны • Устойчивость DNS
Pro.Tip *rawpost :POSTROUTING ACCEPT [15:1548] -A POSTROUTING -s 10.1.0.0/24 -o eth8 -j RAWSNAT --to-source 10.10.40.3/32 COMMIT # Completed on Mon May 20 04:47:30 2013 # Generated by iptables-save v1.4.16.3 on Mon May 20 04:47:30 2013 *raw :PREROUTING ACCEPT [28:2128] :OUTPUT ACCEPT [18:2056] -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 0 -j RAWDNAT --to-destination 10.1.0.1/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 1 -j RAWDNAT --to-destination 10.1.0.2/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 2 -j RAWDNAT --to-destination 10.1.0.3/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 3 -j RAWDNAT --to-destination 10.1.0.4/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 4 -j RAWDNAT --to-destination 10.1.0.5/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 5 -j RAWDNAT --to-destination 10.1.0.6/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 6 -j RAWDNAT --to-destination 10.1.0.7/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 7 -j RAWDNAT --to-destination 10.1.0.8/32 COMMIT
Pro.Tip 0 500 1000 1500 2000 2500 3000 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 kPPS RSS
Мой сайт недоступен
Когда я пропаду из выдачи? 3-5 дней, в зависимости от популярности сайта
Как мне минимизировать риск исчезновения из выдачи? Отдавать 503 Вайтлистить роботов Яндекса по IP - Reverse DNS lookup - Если знаете, что такое ASN...
Что будет с моей рекламной кампанией? Поставьте Метрику Включите мониторинг в Директе
Как мне поскорей вернуться? http://help.yandex.ru/webmaster/indexing- options/sitemap.xml http://webmaster.yandex.ru/addurl.xml
Не лежать больше 3-5 суток Отдавать 503 Вайтлистить роботов Яндекса (по IP) Поставить Метрику http://help.yandex.ru/webmaster/indexing- options/sitemap.xml http://webmaster.yandex.ru/addurl.xml
DDoS – это не страшно
DDoS – это не страшно, если включить голову

Recommended

Александр Лямин и Антон Карпов - Ddos-атаки
Александр Лямин и Антон Карпов - Ddos-атакиАлександр Лямин и Антон Карпов - Ddos-атаки
Александр Лямин и Антон Карпов - Ddos-атакиYandex
 
Вы против DDoS: доступные контрмеры
Вы против DDoS: доступные контрмеры Вы против DDoS: доступные контрмеры
Вы против DDoS: доступные контрмеры Alexander Lyamin
 
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибались
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибалисьQA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибались
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибалисьQAFest
 
ENOG-1 ddos-classification.lyamin
ENOG-1 ddos-classification.lyaminENOG-1 ddos-classification.lyamin
ENOG-1 ddos-classification.lyaminAlexander Lyamin
 
Lyamin idc2015
Lyamin idc2015Lyamin idc2015
Lyamin idc2015Alexander Lyamin
 
Lyamin idc2015
Lyamin idc2015Lyamin idc2015
Lyamin idc2015Alexander Lyamin
 
Александр Лямин, QratorLabs/HLL
Александр Лямин, QratorLabs/HLLАлександр Лямин, QratorLabs/HLL
Александр Лямин, QratorLabs/HLLOntico
 
Hl++2013 lyamin
Hl++2013 lyaminHl++2013 lyamin
Hl++2013 lyaminAlexander Lyamin
 

Recommended

Александр Лямин и Антон Карпов - Ddos-атаки
Александр Лямин и Антон Карпов - Ddos-атакиАлександр Лямин и Антон Карпов - Ddos-атаки
Александр Лямин и Антон Карпов - Ddos-атакиYandex
 
Вы против DDoS: доступные контрмеры
Вы против DDoS: доступные контрмеры Вы против DDoS: доступные контрмеры
Вы против DDoS: доступные контрмеры Alexander Lyamin
 
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибались
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибалисьQA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибались
QA Fest 2017. Денис Жевнер. Вы думали ваши секреты в безопасности? Вы ошибалисьQAFest
 
ENOG-1 ddos-classification.lyamin
ENOG-1 ddos-classification.lyaminENOG-1 ddos-classification.lyamin
ENOG-1 ddos-classification.lyaminAlexander Lyamin
 
Lyamin idc2015
Lyamin idc2015Lyamin idc2015
Lyamin idc2015Alexander Lyamin
 
Lyamin idc2015
Lyamin idc2015Lyamin idc2015
Lyamin idc2015Alexander Lyamin
 
Александр Лямин, QratorLabs/HLL
Александр Лямин, QratorLabs/HLLАлександр Лямин, QratorLabs/HLL
Александр Лямин, QratorLabs/HLLOntico
 
Hl++2013 lyamin
Hl++2013 lyaminHl++2013 lyamin
Hl++2013 lyaminAlexander Lyamin
 
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1Michael Kozloff
 
MONT Solution Club #4
MONT Solution Club #4MONT Solution Club #4
MONT Solution Club #4Yuri Yashkin
 
Центр обработки данных в Мегафон
Центр обработки данных в МегафонЦентр обработки данных в Мегафон
Центр обработки данных в МегафонExpolink
 
Lyamin ya.roundtable2014
Lyamin ya.roundtable2014Lyamin ya.roundtable2014
Lyamin ya.roundtable2014Alexander Lyamin
 
DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015Qrator Labs
 
Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015Alexander Lyamin
 
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...Максим Захаренко
 
1. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_20151. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_2015trenders
 
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...Банковское обозрение
 
Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011Ipolito
 
Публичная лекция Теле2 Казахстан
Публичная лекция Теле2 КазахстанПубличная лекция Теле2 Казахстан
Публичная лекция Теле2 КазахстанIpolito
 
DNS как улика
DNS как уликаDNS как улика
DNS как уликаAleksey Lukatskiy
 
видеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signageвидеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signageКРОК
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Softline - общая презентация о компании
Softline - общая презентация о компанииSoftline - общая презентация о компании
Softline - общая презентация о компанииSoftline
 
TTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinTTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinRoman Emelyanov
 
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...it-people
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_финLETA IT-company
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБAleksey Lukatskiy
 
Infotecs. Виталий Беличко
Infotecs. Виталий БеличкоInfotecs. Виталий Беличко
Infotecs. Виталий БеличкоExpolink
 
20150525 wsis
20150525 wsis20150525 wsis
20150525 wsisAlexander Lyamin
 
Lyamin press2015
Lyamin press2015Lyamin press2015
Lyamin press2015Alexander Lyamin
 

More Related Content

Similar to Lyamin Yandex webmaster2013

Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1Michael Kozloff
 
MONT Solution Club #4
MONT Solution Club #4MONT Solution Club #4
MONT Solution Club #4Yuri Yashkin
 
Центр обработки данных в Мегафон
Центр обработки данных в МегафонЦентр обработки данных в Мегафон
Центр обработки данных в МегафонExpolink
 
DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015Qrator Labs
 
Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015Alexander Lyamin
 
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...Максим Захаренко
 
1. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_20151. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_2015trenders
 
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...Банковское обозрение
 
Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011Ipolito
 
Публичная лекция Теле2 Казахстан
Публичная лекция Теле2 КазахстанПубличная лекция Теле2 Казахстан
Публичная лекция Теле2 КазахстанIpolito
 
видеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signageвидеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signageКРОК
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиDiana Frolova
 
Softline - общая презентация о компании
Softline - общая презентация о компанииSoftline - общая презентация о компании
Softline - общая презентация о компанииSoftline
 
TTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinTTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinRoman Emelyanov
 
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...it-people
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_финLETA IT-company
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБAleksey Lukatskiy
 
Infotecs. Виталий Беличко
Infotecs. Виталий БеличкоInfotecs. Виталий Беличко
Infotecs. Виталий БеличкоExpolink
 

Similar to Lyamin Yandex webmaster2013 (20)

Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
Куда летят облака? Примеры внедрений, вопросы и прогнозы развития в России v.1.1
 
MONT Solution Club #4
MONT Solution Club #4MONT Solution Club #4
MONT Solution Club #4
 
Центр обработки данных в Мегафон
Центр обработки данных в МегафонЦентр обработки данных в Мегафон
Центр обработки данных в Мегафон
 
Lyamin ya.roundtable2014
Lyamin ya.roundtable2014Lyamin ya.roundtable2014
Lyamin ya.roundtable2014
 
DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015DDoS-атаки в россии: 2015
DDoS-атаки в россии: 2015
 
Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015Lyamin GroupIB Report 2015
Lyamin GroupIB Report 2015
 
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
Реальный кейс создания и сопровождения облачной ИТ-инфраструктуры компании ма...
 
1. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_20151. idc keynote_minsk_june_25_2015
1. idc keynote_minsk_june_25_2015
 
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
Комплексные методы обеспечения защиты от Ddos атак. Владимир Сабылин, «Ростел...
 
Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011Tele2 ipr public_lection_16-11-2011
Tele2 ipr public_lection_16-11-2011
 
Публичная лекция Теле2 Казахстан
Публичная лекция Теле2 КазахстанПубличная лекция Теле2 Казахстан
Публичная лекция Теле2 Казахстан
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
видеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signageвидеоаналитика - средство измерения эффективности Digital signage
видеоаналитика - средство измерения эффективности Digital signage
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
Softline - общая презентация о компании
Softline - общая презентация о компанииSoftline - общая презентация о компании
Softline - общая презентация о компании
 
TTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinTTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey Shishkin
 
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
«Как перейти от веб-аналитики к аналитике мобильных приложений» Д. Школьник...
 
Group ib 14-09_2010_фин
Group ib 14-09_2010_финGroup ib 14-09_2010_фин
Group ib 14-09_2010_фин
 
Тенденции российского рынка ИБ
Тенденции российского рынка ИБТенденции российского рынка ИБ
Тенденции российского рынка ИБ
 
Infotecs. Виталий Беличко
Infotecs. Виталий БеличкоInfotecs. Виталий Беличко
Infotecs. Виталий Беличко
 

More from Alexander Lyamin

Lyamin nanog63 lightning ddos amplifiers
Lyamin nanog63 lightning ddos amplifiersLyamin nanog63 lightning ddos amplifiers
Lyamin nanog63 lightning ddos amplifiersAlexander Lyamin
 
Rigf2012 lyamin ANYONYMOUS uncovered
Rigf2012 lyamin ANYONYMOUS uncoveredRigf2012 lyamin ANYONYMOUS uncovered
Rigf2012 lyamin ANYONYMOUS uncoveredAlexander Lyamin
 
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88Mpps
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88MppsPhd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88Mpps
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88MppsAlexander Lyamin
 
HLL2011: Traffic Clearance Center
HLL2011: Traffic Clearance CenterHLL2011: Traffic Clearance Center
HLL2011: Traffic Clearance CenterAlexander Lyamin
 

More from Alexander Lyamin (12)

20150525 wsis
20150525 wsis20150525 wsis
20150525 wsis
 
Lyamin press2015
Lyamin press2015Lyamin press2015
Lyamin press2015
 
Lyamin nanog63 lightning ddos amplifiers
Lyamin nanog63 lightning ddos amplifiersLyamin nanog63 lightning ddos amplifiers
Lyamin nanog63 lightning ddos amplifiers
 
Lyamin hl2014
Lyamin hl2014Lyamin hl2014
Lyamin hl2014
 
D do s survival guide
D do s survival guideD do s survival guide
D do s survival guide
 
Trends d do s 2010
Trends d do s 2010Trends d do s 2010
Trends d do s 2010
 
Rigf2012 lyamin ANYONYMOUS uncovered
Rigf2012 lyamin ANYONYMOUS uncoveredRigf2012 lyamin ANYONYMOUS uncovered
Rigf2012 lyamin ANYONYMOUS uncovered
 
Lyamin zn2013
Lyamin zn2013Lyamin zn2013
Lyamin zn2013
 
Yac2013 lyamin-ddos
Yac2013 lyamin-ddosYac2013 lyamin-ddos
Yac2013 lyamin-ddos
 
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88Mpps
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88MppsPhd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88Mpps
Phd2013 lyamin Высокий пакетрейт на x86-64, берем планку 14.88Mpps
 
Ddos 2011 risspa
Ddos 2011 risspaDdos 2011 risspa
Ddos 2011 risspa
 
HLL2011: Traffic Clearance Center
HLL2011: Traffic Clearance CenterHLL2011: Traffic Clearance Center
HLL2011: Traffic Clearance Center
 

Lyamin Yandex webmaster2013

  • 2.
  • 3. DDoS-активность по дням 0 20 40 60 80 100 120 140 160 1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек 2013 2012
  • 5. Пациенты 2012* 3Q 2013* процент роста 12-13 Магические услуги 132.5 339.3 156% Правительство 36.4 36.0 -1% Интернет-магазины 28.7 30.8 7% Купоны 23.7 49.0 107% Недвижимость 23.5 50.5 115% СМИ 22.5 22.7 1% Биржи и Forex 22.1 117.5 431% Инфо-услуги 21.0 26.0 24% Платежные системы 20.9 41.0 97% Игры и развлечения 19.2 22.6 18% Сайты-визитки 11.8 16.0 36% Банки 11.3 14.7 30% Туристические фирмы 11.1 30.1 170% Страховые компании 2.8 25.0 798% Общий итог 24.8 33.3 34%
  • 7.
  • 8. ЧТО ДЕЛАТЬ? • Не делайте глупостей
  • 9. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте
  • 10. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • (Желательно) Подготовьтесь
  • 11. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • Подготовьтесь • Имейте запас производительности (2x)
  • 12. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • Подготовьтесь • Имейте запас производительности (2x) • Оцените характеристики атаки и список подверженных сетевых сервисов
  • 13. ЧТО ДЕЛАТЬ? • Не паникуйте • Не делайте глупостей • Подготовьтесь • Имейте запас производительности (2x) • Оцените характеристики атаки и список подверженных сетевых сервисов • Примите меры по нейтрализации атаки • Проконтролируйте результативность фильтров
  • 15. Замерим и завесим! • Восстановите контроль • Bitrate • Packetrate • Access.log • tcpdump -n –s0 –c1000000 –w attack.dump
  • 16. Вы против 100$ Вы Ваши опции • nginx
  • 17. Вы против 100$ Вы Ваши опции • nginx • ipset
  • 18. Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx
  • 19. Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx • http://habrahabr.ru
  • 21. Вы против 1000$ • Хостеры
  • 22. Вы против 1000$ • Хостеры • Вендоры
  • 23. Вы против 1000$ • Хостеры • Вендоры • Облачные сервисы
  • 24. Облачные сервисы Зарубежные Отечественные • Kaspersky KDP • Qrator • Prolexic • CloudFlare • Incapsula • Akamai
  • 25. Важные аспекты при подключении • Конфиденциальность IP адреса приложения
  • 26. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP
  • 27. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса
  • 28. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Безопасность DNS серверов • Управляемость DNS зоны
  • 29. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны
  • 30. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны • Устойчивость DNS
  • 31. Pro.Tip *rawpost :POSTROUTING ACCEPT [15:1548] -A POSTROUTING -s 10.1.0.0/24 -o eth8 -j RAWSNAT --to-source 10.10.40.3/32 COMMIT # Completed on Mon May 20 04:47:30 2013 # Generated by iptables-save v1.4.16.3 on Mon May 20 04:47:30 2013 *raw :PREROUTING ACCEPT [28:2128] :OUTPUT ACCEPT [18:2056] -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 0 -j RAWDNAT --to-destination 10.1.0.1/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 1 -j RAWDNAT --to-destination 10.1.0.2/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 2 -j RAWDNAT --to-destination 10.1.0.3/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 3 -j RAWDNAT --to-destination 10.1.0.4/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 4 -j RAWDNAT --to-destination 10.1.0.5/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 5 -j RAWDNAT --to-destination 10.1.0.6/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 6 -j RAWDNAT --to-destination 10.1.0.7/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 7 -j RAWDNAT --to-destination 10.1.0.8/32 COMMIT
  • 32. Pro.Tip 0 500 1000 1500 2000 2500 3000 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 kPPS RSS
  • 34. Когда я пропаду из выдачи? 3-5 дней, в зависимости от популярности сайта
  • 35. Как мне минимизировать риск исчезновения из выдачи? Отдавать 503 Вайтлистить роботов Яндекса по IP - Reverse DNS lookup - Если знаете, что такое ASN...
  • 36. Что будет с моей рекламной кампанией? Поставьте Метрику Включите мониторинг в Директе
  • 37. Как мне поскорей вернуться? http://help.yandex.ru/webmaster/indexing- options/sitemap.xml http://webmaster.yandex.ru/addurl.xml
  • 38. Не лежать больше 3-5 суток Отдавать 503 Вайтлистить роботов Яндекса (по IP) Поставить Метрику http://help.yandex.ru/webmaster/indexing- options/sitemap.xml http://webmaster.yandex.ru/addurl.xml
  • 39. DDoS – это не страшно
  • 40. DDoS – это не страшно, если включить голову

Editor's Notes

  1. Сезонно и полностью следует циклу бизнес активности (обычно)
  2. Обратите внимание на средний размер ботнета
  3. Первых три пункта касаются всехи всегда. Так вчера это был заказчик из Вьетнама (головная боль)Не делайте глупостей при проектировании системы: картинки из базы пережимаемые на лету, сценарии считающиеся по 10+ секунд, состояния привязанные к TCP-сессии. Вам это не нужно.Поэтому при превентивных подключениях мы стараемся проводить нагрузочное тестирование – выявить слабые места и пороги производительности.Не держите DNS на этой-же локальной инфраструктуре.Дайте вашему техническому персоналу 1-2 часа времени для разработки краткосрочного и долгосрочного плана.В случае если вы работаете с роботизированным инструментарием – добавьтеизвестных вам роботов в белые списки.Включите поддержку TCP keepaliveчтобы уменьшить возможные задержки при работе с фильтром.
  4. Проконтролируйте результативность работы фильтров: pageviews/обьем и состав черного списка.
  5. Первые два пункта очевидно придется спросить у хостера/оператора. Кстати не удивляйтесь если хостер просто положит ваш /32 в Null.Невозможно что-то делать с неуправляемой системой. У вас конечно-же есть out-of-band IPMI/IPKVM на ваши «фронты»?Access.logимеет cмысл но ограниченно, запросы там оказываются только тогда когда они завершились. Убедитесь что это действительно атака.ПОЭТОМУ tcpdumpПакетов БУДЕТ много, поэтому ограничьте количество пакетов. Нам нужны все данные, поэтому не надо ограничивать размер пакета в дампе.Кстати, достаточно часто бывают интересные случаи с LowRateатаками при которых в frontend log пусто, но все тормозит.С такой ситуацией, например столкнулся Александр Коротков читавший вчера о индексах postgres. Не ленитесь, присылайте нам в коллекцию ссылки на такие дампы. По мере возможностей мы попытаемся помочь.РЕШИТЕ: есть-ли у вас в распоряжении достаточно пропускной полосы и вычислительных ресурсов чтобы противостоять самостоятельно или вам понадобиться помощь.Не паникуйте. Действуйте.