10. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• (Желательно) Подготовьтесь
11. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• Подготовьтесь
• Имейте запас производительности (2x)
12. ЧТО ДЕЛАТЬ?
• Не делайте глупостей
• Не паникуйте
• Подготовьтесь
• Имейте запас производительности (2x)
• Оцените характеристики атаки и список
подверженных сетевых сервисов
13. ЧТО ДЕЛАТЬ?
• Не паникуйте
• Не делайте глупостей
• Подготовьтесь
• Имейте запас производительности (2x)
• Оцените характеристики атаки и список
подверженных сетевых сервисов
• Примите меры по нейтрализации атаки
• Проконтролируйте результативность фильтров
25. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
26. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
27. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• Whitelisting облачного сервиса
28. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• Whitelisting облачного сервиса
• Безопасность DNS серверов
• Управляемость DNS зоны
29. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• Whitelisting облачного сервиса
• Управляемость DNS зоны
30. Важные аспекты при подключении
• Конфиденциальность IP адреса
приложения
• Безусловная фильтрация сторонних IP
• Whitelisting облачного сервиса
• Управляемость DNS зоны
• Устойчивость DNS
31. Pro.Tip
*rawpost
:POSTROUTING ACCEPT [15:1548]
-A POSTROUTING -s 10.1.0.0/24 -o eth8 -j RAWSNAT --to-source 10.10.40.3/32
COMMIT
# Completed on Mon May 20 04:47:30 2013
# Generated by iptables-save v1.4.16.3 on Mon May 20 04:47:30 2013
*raw
:PREROUTING ACCEPT [28:2128]
:OUTPUT ACCEPT [18:2056]
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 0 -j RAWDNAT --to-destination 10.1.0.1/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 1 -j RAWDNAT --to-destination 10.1.0.2/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 2 -j RAWDNAT --to-destination 10.1.0.3/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 3 -j RAWDNAT --to-destination 10.1.0.4/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 4 -j RAWDNAT --to-destination 10.1.0.5/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 5 -j RAWDNAT --to-destination 10.1.0.6/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 6 -j RAWDNAT --to-destination 10.1.0.7/32
-A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 7 -j RAWDNAT --to-destination 10.1.0.8/32
COMMIT
34. Когда я пропаду из выдачи?
3-5 дней, в зависимости от популярности
сайта
35. Как мне минимизировать риск
исчезновения из выдачи?
Отдавать 503
Вайтлистить роботов Яндекса по IP
- Reverse DNS lookup
- Если знаете, что такое ASN...
36. Что будет с моей рекламной
кампанией?
Поставьте Метрику
Включите мониторинг в Директе
37. Как мне поскорей вернуться?
http://help.yandex.ru/webmaster/indexing-
options/sitemap.xml
http://webmaster.yandex.ru/addurl.xml
38. Не лежать больше 3-5 суток
Отдавать 503
Вайтлистить роботов Яндекса (по IP)
Поставить Метрику
http://help.yandex.ru/webmaster/indexing-
options/sitemap.xml
http://webmaster.yandex.ru/addurl.xml
Сезонно и полностью следует циклу бизнес активности (обычно)
Обратите внимание на средний размер ботнета
Первых три пункта касаются всехи всегда. Так вчера это был заказчик из Вьетнама (головная боль)Не делайте глупостей при проектировании системы: картинки из базы пережимаемые на лету, сценарии считающиеся по 10+ секунд, состояния привязанные к TCP-сессии. Вам это не нужно.Поэтому при превентивных подключениях мы стараемся проводить нагрузочное тестирование – выявить слабые места и пороги производительности.Не держите DNS на этой-же локальной инфраструктуре.Дайте вашему техническому персоналу 1-2 часа времени для разработки краткосрочного и долгосрочного плана.В случае если вы работаете с роботизированным инструментарием – добавьтеизвестных вам роботов в белые списки.Включите поддержку TCP keepaliveчтобы уменьшить возможные задержки при работе с фильтром.
Проконтролируйте результативность работы фильтров: pageviews/обьем и состав черного списка.
Первые два пункта очевидно придется спросить у хостера/оператора. Кстати не удивляйтесь если хостер просто положит ваш /32 в Null.Невозможно что-то делать с неуправляемой системой. У вас конечно-же есть out-of-band IPMI/IPKVM на ваши «фронты»?Access.logимеет cмысл но ограниченно, запросы там оказываются только тогда когда они завершились. Убедитесь что это действительно атака.ПОЭТОМУ tcpdumpПакетов БУДЕТ много, поэтому ограничьте количество пакетов. Нам нужны все данные, поэтому не надо ограничивать размер пакета в дампе.Кстати, достаточно часто бывают интересные случаи с LowRateатаками при которых в frontend log пусто, но все тормозит.С такой ситуацией, например столкнулся Александр Коротков читавший вчера о индексах postgres. Не ленитесь, присылайте нам в коллекцию ссылки на такие дампы. По мере возможностей мы попытаемся помочь.РЕШИТЕ: есть-ли у вас в распоряжении достаточно пропускной полосы и вычислительных ресурсов чтобы противостоять самостоятельно или вам понадобиться помощь.Не паникуйте. Действуйте.