SlideShare a Scribd company logo

Ddоs практическое руководство к выживанию А.Лямин

HighLoad Lab.
HighLoad Lab.
Technology
1 of 17
Download to read offline
DDoS:  Практическое   руководство  к  выживанию   Лямин  Александр  
Экономика  DDoS:   •   Доступность  -­‐  высокая   •   Cтоимость  аренды  ботнета  –  низкая   •   Эффективность  -­‐  высокая  
Смотрим  врагу  в  лицо   Исчерпание  канальной  емкости     1 0 0 . 0 0 0 +   Инфраструктура  сети   10. 000+   Сетевой  стек  системы   1.000+   Приложение   100+  
Cвойства  ботнета:   •   конечность/самосохраняемость   •   жадность   •   инертность   •   ущербность   •   транснациональность  
DDoS  -­‐  он  пришел…   1.  Не  паникуем   2.  Удаляем  hWp  сервер  из  автостарта   3.  Что  в  top?   4.  Интересные  сообщение  в  dmesg   5.  Содержимое  netstat   6.  Анализируем  access.  Log  
Инструментарий   1.  Linux  2.6   2.  iptables   3.  ipset   4.  nginx  
HTTP  Flood.  Frontend   Минимизируем  размеры  буферов   large_client_header_buffers   client_header_buffer_size   client_body_buffer_size   client_max_body_size     Минимизируем  ожидание  клиента   reset_wmedout_connecwon  on;   client_header_wmeout   client_body_wmeout   keepalive_wmeout   send_wmeout  
HTTP  Flood.  Frontend   И  ожидаем  попавшихся  ботов  на  default  vhost   server  {                                  listen                    80;                                  server_name    noname;                                                                  return  444;                  }     Ограничиваем  количество  одновременных  соединений  с  одного  ip   limit_zone  conlim  $binary_remote_addr  XXm;   limit_conn  conlim    XX;    
HTTP  Flood.  Backend   Бюджетирование  нагрузки  на  скриптовый  бэкенд  через     limit_req_zone    $binary_remote_addr    zone=qulim:Xm      rate=Yr/s;   limit_req  zone=qulim  burst=Z;      
HTTP  Flood.  Отфильтровать  в  один  запрос   log_format    $hWp_accept  $hWp_accept_language  $hWp_accept_encoding;   +   grep    -­‐-­‐line-­‐buffered   =     tail  -­‐f  /var/log/nginx/myserver.access_log    |     grep  -­‐-­‐line-­‐buffered     -­‐F  '*/*  en-­‐us  -­‐'  |     grep    -­‐-­‐line-­‐buffered  -­‐oE  "BOINK  [0-­‐9]{1,3}.[0-­‐9]{1,3}.[0-­‐9]{1,3}.[0-­‐9]{1,3}  "  |  sed  -­‐u   "s/^BOINK//"  |  xargs  -­‐n1  ipset  -­‐A  myserv     и  вариации  на  тему  из  myserv.error_log  по  ключевому  слову  limiwng      
HTTP  Flood.  Кого  фильтровать  не  нужно   Ваши  собственные  ajax  скрипты  (вставляем  заголовки-­‐маркеры)   Полезных  ботов,  например  поисковики:   §   77.88.0.0/18  Yandex   §   87.250.224.0/19  Yandex   §   93.158.128.0/18  Yandex   §   213.180.192.0/19  Yandex   §   95.108.128.0/17  Yandex   §   65.52.0.0/14  Microso–   §   209.85.128.0/17  Google   §   81.19.64.0/19  Rambler*     рамблер  -­‐  это  телеком,  и  там  иногда  живут  боты.      
Conntrack    abuse   ip_conntrack:  table  full,  dropping  packet  ?     Conntrack  хранит  соединения  в  hashtable  и  небесплатен.       При  больших  размерах  таблицы  можно:   net.ipv4.nešilter.ip_conntrack_tcp_wmeout_*     но  проще  выключить:   iptables  -­‐t  RAW  -­‐A  PREROUTING  -­‐d  $PUBLISHED_IP  -­‐j  NOTRACK   iptables  -­‐t  RAW  -­‐A  OUTPUT  -­‐d  $PUBLISHED_IP  -­‐j  NOTRACK        
Большой  обьем  отфильрованых  ботов?   ipset     его  чудесные  b-­‐tree  для  плохих  ботов   ipset  -­‐N  myserv  iptree  -­‐-­‐wmeout  XX   ipset  -­‐A  myserv    $OFFENDING_IP     и     -­‐N  goodbots  nethash  -­‐-­‐hashsize  512  -­‐-­‐probes  4  -­‐-­‐resize  50   для  хороших      
SYN  Flood       syn-­‐cookies!     net.ipv4.tcp_syncookies  =  1  
    Просто  много  трафика  и   складывается   инфраструктура  провайдера?  
Домашнее  задание   1.  Настроенные  nginx/ipset  на  сервере   2.  Выключенный  conntrack   3.  Выделенный  ip  для  публикуемых  сервисов   4.  Представление  о  связности  хостера  
Ничего  не  помоголо?   hll.msu.ru   be@hll.msu.ru  

Recommended

Ddos
DdosDdos
DdosHighLoad2009
 
HighLoad весна 2014 лекция 3
HighLoad весна 2014 лекция 3HighLoad весна 2014 лекция 3
HighLoad весна 2014 лекция 3Technopark
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»Tanya Denisyuk
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 

Recommended

Ddos
DdosDdos
DdosHighLoad2009
 
HighLoad весна 2014 лекция 3
HighLoad весна 2014 лекция 3HighLoad весна 2014 лекция 3
HighLoad весна 2014 лекция 3Technopark
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 
HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»
Андрей Светлов-«Делаем своё решение для оптимальной загрузки кластера»Tanya Denisyuk
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...KazHackStan
 
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...Ontico
 
Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Ontico
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Ontico
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingДмитрий Бумов
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....KazHackStan
 
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Tanya Denisyuk
 
Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎mayperl
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Tanya Denisyuk
 
DDoS: Survival Guide
DDoS: Survival GuideDDoS: Survival Guide
DDoS: Survival GuideHighloadLab
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Видеохостинг своими руками
Видеохостинг своими рукамиВидеохостинг своими руками
Видеохостинг своими рукамиStanislavMalkin
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...KazHackStan
 
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...PavelKonotopov
 
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр ТобольКадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тобольodnoklassniki.ru
 
WWW
WWWWWW
WWWЕвгений Евсеев
 
Снижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXAndrii Podanenko
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site movingТранслируем.бел
 
Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.odnoklassniki.ru
 
Barkery inn hotel
Barkery inn hotelBarkery inn hotel
Barkery inn hotelbbrookivy
 
6428 Georgia Avenue RFO
6428 Georgia Avenue RFO6428 Georgia Avenue RFO
6428 Georgia Avenue RFOWashington, DC Economic Partnership
 

More Related Content

What's hot

Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...KazHackStan
 
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...Ontico
 
Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Ontico
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Ontico
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....KazHackStan
 
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Tanya Denisyuk
 
Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎mayperl
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Tanya Denisyuk
 
DDoS: Survival Guide
DDoS: Survival GuideDDoS: Survival Guide
DDoS: Survival GuideHighloadLab
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Видеохостинг своими руками
Видеохостинг своими рукамиВидеохостинг своими руками
Видеохостинг своими рукамиStanislavMalkin
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...KazHackStan
 
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...PavelKonotopov
 
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр ТобольКадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тобольodnoklassniki.ru
 
Снижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXAndrii Podanenko
 
Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.odnoklassniki.ru
 

What's hot (20)

Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
Шамбулов У. К. (Казахстан), ГТС. Анализ и исследование инцидентов информацион...
 
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
Чем заняться вечером, если я знаю сколько будет ++i + ++i / Андрей Бородин (Y...
 
Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.Максим Дунин, Nginx, Inc.
Максим Дунин, Nginx, Inc.
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
 
KazHackStan 2017 | Tracking
KazHackStan 2017 | TrackingKazHackStan 2017 | Tracking
KazHackStan 2017 | Tracking
 
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
Алексей Морозов (Россия), Rambler.ru. ASP.NET в помощь хакеру и не только....
 
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
Андрей Федоренчик- «Высоконагруженная система с аналитикой на InfoBright»
 
Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎Работа с большими файлами под перлом‎
Работа с большими файлами под перлом‎
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
 
DDoS: Survival Guide
DDoS: Survival GuideDDoS: Survival Guide
DDoS: Survival Guide
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
 
Видеохостинг своими руками
Видеохостинг своими рукамиВидеохостинг своими руками
Видеохостинг своими руками
 
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
Иван Чалыкин (Россия), Digital Security. Легальный SOP Bypass. Проблемы внедр...
 
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
Building the Enterprise infrastructure with PostgreSQL as the basis for stori...
 
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр ТобольКадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
Кадры решают все, или стриминг видео в «Одноклассниках». Александр Тоболь
 
WWW
WWWWWW
WWW
 
Снижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINXСнижение нагрузки на сервер с помощью NGINX
Снижение нагрузки на сервер с помощью NGINX
 
Major mistakes in site moving
Major mistakes in site movingMajor mistakes in site moving
Major mistakes in site moving
 
Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.Платформа для видео сроком в квартал. Александр Тоболь.
Платформа для видео сроком в квартал. Александр Тоболь.
 

Viewers also liked

Barkery inn hotel
Barkery inn hotelBarkery inn hotel
Barkery inn hotelbbrookivy
 
Eo navigating the cloud
Eo navigating the cloudEo navigating the cloud
Eo navigating the cloudeophiladelphia
 
Good or Evil: les fonctions anonymes en Javascript
Good or Evil: les fonctions anonymes en JavascriptGood or Evil: les fonctions anonymes en Javascript
Good or Evil: les fonctions anonymes en JavascriptNoirdes
 
Do Public Access ICTs have an Impact on Socio-Economic Development?
Do Public Access ICTs have an Impact on Socio-Economic Development?Do Public Access ICTs have an Impact on Socio-Economic Development?
Do Public Access ICTs have an Impact on Socio-Economic Development?Technology & Social Change Group
 
Percubaan upsr 2013 b
Percubaan upsr 2013 bPercubaan upsr 2013 b
Percubaan upsr 2013 bJamrah Jelani
 
Five-Year Economic Development Strategy for the District of Columbia
Five-Year Economic Development Strategy for the District of ColumbiaFive-Year Economic Development Strategy for the District of Columbia
Five-Year Economic Development Strategy for the District of ColumbiaWashington, DC Economic Partnership
 
Мастер класс по составлению родословной
Мастер класс по составлению родословной Мастер класс по составлению родословной
Мастер класс по составлению родословной Say2rus
 
waseem Final year presentation.pptx
waseem Final year presentation.pptxwaseem Final year presentation.pptx
waseem Final year presentation.pptxsizzling1341
 
Business Registration and Licensing | Doing Business in DC | ABRA
Business Registration and Licensing | Doing Business in DC | ABRA Business Registration and Licensing | Doing Business in DC | ABRA
Business Registration and Licensing | Doing Business in DC | ABRAWashington, DC Economic Partnership
 

Viewers also liked (20)

Barkery inn hotel
Barkery inn hotelBarkery inn hotel
Barkery inn hotel
 
6428 Georgia Avenue RFO
6428 Georgia Avenue RFO6428 Georgia Avenue RFO
6428 Georgia Avenue RFO
 
Eo navigating the cloud
Eo navigating the cloudEo navigating the cloud
Eo navigating the cloud
 
Rich Philippines Product Presentation
Rich Philippines Product PresentationRich Philippines Product Presentation
Rich Philippines Product Presentation
 
+654354
+654354+654354
+654354
 
Starting a Nonprofit | OPGS | Entrepreneur Roadmap
Starting a Nonprofit | OPGS | Entrepreneur RoadmapStarting a Nonprofit | OPGS | Entrepreneur Roadmap
Starting a Nonprofit | OPGS | Entrepreneur Roadmap
 
ICSC "We Choose DC" Sponsorship Kit
ICSC "We Choose DC" Sponsorship KitICSC "We Choose DC" Sponsorship Kit
ICSC "We Choose DC" Sponsorship Kit
 
Good or Evil: les fonctions anonymes en Javascript
Good or Evil: les fonctions anonymes en JavascriptGood or Evil: les fonctions anonymes en Javascript
Good or Evil: les fonctions anonymes en Javascript
 
Do Public Access ICTs have an Impact on Socio-Economic Development?
Do Public Access ICTs have an Impact on Socio-Economic Development?Do Public Access ICTs have an Impact on Socio-Economic Development?
Do Public Access ICTs have an Impact on Socio-Economic Development?
 
Percubaan upsr 2013 b
Percubaan upsr 2013 bPercubaan upsr 2013 b
Percubaan upsr 2013 b
 
Five-Year Economic Development Strategy for the District of Columbia
Five-Year Economic Development Strategy for the District of ColumbiaFive-Year Economic Development Strategy for the District of Columbia
Five-Year Economic Development Strategy for the District of Columbia
 
Pergerakan haiwan 1
Pergerakan haiwan 1Pergerakan haiwan 1
Pergerakan haiwan 1
 
Licensing & Registration: One Customer's Experience
Licensing & Registration: One Customer's Experience Licensing & Registration: One Customer's Experience
Licensing & Registration: One Customer's Experience
 
DCSBC | Starting a Business in DC
DCSBC | Starting a Business in DCDCSBC | Starting a Business in DC
DCSBC | Starting a Business in DC
 
Мастер класс по составлению родословной
Мастер класс по составлению родословной Мастер класс по составлению родословной
Мастер класс по составлению родословной
 
Business Taxes | OTR | Doing Business 2.0
Business Taxes | OTR | Doing Business 2.0Business Taxes | OTR | Doing Business 2.0
Business Taxes | OTR | Doing Business 2.0
 
Affordable Care Act | SBA | Entrepreneur Road Map
Affordable Care Act | SBA | Entrepreneur Road MapAffordable Care Act | SBA | Entrepreneur Road Map
Affordable Care Act | SBA | Entrepreneur Road Map
 
waseem Final year presentation.pptx
waseem Final year presentation.pptxwaseem Final year presentation.pptx
waseem Final year presentation.pptx
 
PEPzoom
PEPzoomPEPzoom
PEPzoom
 
Business Registration and Licensing | Doing Business in DC | ABRA
Business Registration and Licensing | Doing Business in DC | ABRA Business Registration and Licensing | Doing Business in DC | ABRA
Business Registration and Licensing | Doing Business in DC | ABRA
 

Similar to Ddоs практическое руководство к выживанию А.Лямин

DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюHLL
 
DDoS: Survival Guide
DDoS: Survival GuideDDoS: Survival Guide
DDoS: Survival GuideHighloadLab
 
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow Vadim Nesterov
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
 
SOA: Строим свой service mesh
SOA: Строим свой service meshSOA: Строим свой service mesh
SOA: Строим свой service meshIvan Kruglov
 
SOA: строим свой service mesh / Иван Круглов (Booking.com)
SOA: строим свой service mesh / Иван Круглов (Booking.com)SOA: строим свой service mesh / Иван Круглов (Booking.com)
SOA: строим свой service mesh / Иван Круглов (Booking.com)Ontico
 
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Ontico
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализацияYandex
 
Семь тысяч Rps, один go
Семь тысяч Rps, один goСемь тысяч Rps, один go
Семь тысяч Rps, один goBadoo Development
 
Построение аналитического хранилища на 100 петабайт
Построение аналитического хранилища на 100 петабайтПостроение аналитического хранилища на 100 петабайт
Построение аналитического хранилища на 100 петабайтAlexander Mazurov
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Ontico
 
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Ontico
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Evgeny Kokovikhin
 
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...Procontent.Ru Magazine
 

Similar to Ddоs практическое руководство к выживанию А.Лямин (20)

DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживанию
 
D do s survival guide
D do s survival guideD do s survival guide
D do s survival guide
 
DDoS: Survival Guide
DDoS: Survival GuideDDoS: Survival Guide
DDoS: Survival Guide
 
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
2017-03-11 01 Игорь Родионов. Docker swarm vs Kubernetes
 
DDOS mitigation software solutions
DDOS mitigation software solutionsDDOS mitigation software solutions
DDOS mitigation software solutions
 
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
Zabbix в сервисной компании  ОНЛАНТА - Zabbix Meetup Moscow
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
 
SOA: Строим свой service mesh
SOA: Строим свой service meshSOA: Строим свой service mesh
SOA: Строим свой service mesh
 
SOA: строим свой service mesh / Иван Круглов (Booking.com)
SOA: строим свой service mesh / Иван Круглов (Booking.com)SOA: строим свой service mesh / Иван Круглов (Booking.com)
SOA: строим свой service mesh / Иван Круглов (Booking.com)
 
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализация
 
Семь тысяч Rps, один go
Семь тысяч Rps, один goСемь тысяч Rps, один go
Семь тысяч Rps, один go
 
Построение аналитического хранилища на 100 петабайт
Построение аналитического хранилища на 100 петабайтПостроение аналитического хранилища на 100 петабайт
Построение аналитического хранилища на 100 петабайт
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
 
Веб-сервер
Веб-серверВеб-сервер
Веб-сервер
 
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
 
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
 

Ddоs практическое руководство к выживанию А.Лямин

  • 1. DDoS:  Практическое   руководство  к  выживанию   Лямин  Александр  
  • 2. Экономика  DDoS:   •   Доступность  -­‐  высокая   •   Cтоимость  аренды  ботнета  –  низкая   •   Эффективность  -­‐  высокая  
  • 3. Смотрим  врагу  в  лицо   Исчерпание  канальной  емкости     1 0 0 . 0 0 0 +   Инфраструктура  сети   10. 000+   Сетевой  стек  системы   1.000+   Приложение   100+  
  • 4. Cвойства  ботнета:   •   конечность/самосохраняемость   •   жадность   •   инертность   •   ущербность   •   транснациональность  
  • 5. DDoS  -­‐  он  пришел…   1.  Не  паникуем   2.  Удаляем  hWp  сервер  из  автостарта   3.  Что  в  top?   4.  Интересные  сообщение  в  dmesg   5.  Содержимое  netstat   6.  Анализируем  access.  Log  
  • 6. Инструментарий   1.  Linux  2.6   2.  iptables   3.  ipset   4.  nginx  
  • 7. HTTP  Flood.  Frontend   Минимизируем  размеры  буферов   large_client_header_buffers   client_header_buffer_size   client_body_buffer_size   client_max_body_size     Минимизируем  ожидание  клиента   reset_wmedout_connecwon  on;   client_header_wmeout   client_body_wmeout   keepalive_wmeout   send_wmeout  
  • 8. HTTP  Flood.  Frontend   И  ожидаем  попавшихся  ботов  на  default  vhost   server  {                                  listen                    80;                                  server_name    noname;                                                                  return  444;                  }     Ограничиваем  количество  одновременных  соединений  с  одного  ip   limit_zone  conlim  $binary_remote_addr  XXm;   limit_conn  conlim    XX;    
  • 9. HTTP  Flood.  Backend   Бюджетирование  нагрузки  на  скриптовый  бэкенд  через     limit_req_zone    $binary_remote_addr    zone=qulim:Xm      rate=Yr/s;   limit_req  zone=qulim  burst=Z;      
  • 10. HTTP  Flood.  Отфильтровать  в  один  запрос   log_format    $hWp_accept  $hWp_accept_language  $hWp_accept_encoding;   +   grep    -­‐-­‐line-­‐buffered   =     tail  -­‐f  /var/log/nginx/myserver.access_log    |     grep  -­‐-­‐line-­‐buffered     -­‐F  '*/*  en-­‐us  -­‐'  |     grep    -­‐-­‐line-­‐buffered  -­‐oE  "BOINK  [0-­‐9]{1,3}.[0-­‐9]{1,3}.[0-­‐9]{1,3}.[0-­‐9]{1,3}  "  |  sed  -­‐u   "s/^BOINK//"  |  xargs  -­‐n1  ipset  -­‐A  myserv     и  вариации  на  тему  из  myserv.error_log  по  ключевому  слову  limiwng      
  • 11. HTTP  Flood.  Кого  фильтровать  не  нужно   Ваши  собственные  ajax  скрипты  (вставляем  заголовки-­‐маркеры)   Полезных  ботов,  например  поисковики:   §   77.88.0.0/18  Yandex   §   87.250.224.0/19  Yandex   §   93.158.128.0/18  Yandex   §   213.180.192.0/19  Yandex   §   95.108.128.0/17  Yandex   §   65.52.0.0/14  Microso–   §   209.85.128.0/17  Google   §   81.19.64.0/19  Rambler*     рамблер  -­‐  это  телеком,  и  там  иногда  живут  боты.      
  • 12. Conntrack    abuse   ip_conntrack:  table  full,  dropping  packet  ?     Conntrack  хранит  соединения  в  hashtable  и  небесплатен.       При  больших  размерах  таблицы  можно:   net.ipv4.nešilter.ip_conntrack_tcp_wmeout_*     но  проще  выключить:   iptables  -­‐t  RAW  -­‐A  PREROUTING  -­‐d  $PUBLISHED_IP  -­‐j  NOTRACK   iptables  -­‐t  RAW  -­‐A  OUTPUT  -­‐d  $PUBLISHED_IP  -­‐j  NOTRACK        
  • 13. Большой  обьем  отфильрованых  ботов?   ipset     его  чудесные  b-­‐tree  для  плохих  ботов   ipset  -­‐N  myserv  iptree  -­‐-­‐wmeout  XX   ipset  -­‐A  myserv    $OFFENDING_IP     и     -­‐N  goodbots  nethash  -­‐-­‐hashsize  512  -­‐-­‐probes  4  -­‐-­‐resize  50   для  хороших      
  • 14. SYN  Flood       syn-­‐cookies!     net.ipv4.tcp_syncookies  =  1  
  • 15.     Просто  много  трафика  и   складывается   инфраструктура  провайдера?  
  • 16. Домашнее  задание   1.  Настроенные  nginx/ipset  на  сервере   2.  Выключенный  conntrack   3.  Выделенный  ip  для  публикуемых  сервисов   4.  Представление  о  связности  хостера  
  • 17. Ничего  не  помоголо?   hll.msu.ru   be@hll.msu.ru