Александр Лямин, генеральный директор HLL, рассказал на конференции HighLoad++ 2009 о том, какие виды DDoS-атак являются наиболее популярными и как пережить их с минимальными потерями, используя известный и не очень инструментарий с открытым исходным кодом. Экономика DDoS: во сколько вас оценили (предмет для гордости!) и чего можно ожидать (оценка эффективность атаки). • DDoS – это просто и дешево; • стоимость аренды ботнета; • экономическое плечо атаки; • выводы. Посмотрим врагу в лицо: география и габариты ботнетов, встречающихся на просторах Рунета. Особенности ботнетов (конечность, тупость, жадность) и как их использовать при борьбе с атаками. Кто к нам пришел: основные разновидности DDoS-атак, элементы LAMP-стека, на которые они направлены. Комбинированые атаки. Куда смотреть, что замечать и на что обращать особое внимание. Домашнее задание: о каких элементах вашей архитектуры полезно позаботиться заранее, адекватность архитектуры и вашей рыночной стоимости (не жадничать). Искусство художественной grepки: как настроить access.log, заголовок как улика, печеньки и зачем их едят, ловушки для бота, как выделить тело ботнета, используя однострочный шелл-скрипт. Фильтруем базар: зачем нужен stateful файрволл, зачем он не нужен и как отфильтровать сто тысяч пятьсот ботов и не устать в ksoftirq. Звонок NOC'у: как использовать географию и языковую сегментацию в своих целях. Как вежливо и грамотно получить blackhole на интересных направлениях. Печальное положение вещей в Телко. Цена запроса: о стоимости запроса в терминах ресурсов сервера и жадности ботов.

1. DDoS:
Практическоеруководствокв
ыживанию
ЛяминАлександр

2. ЭкономикаDDoS:
•Доступность - высокая
•Cтоимость арендыботнета – низкая
• Эффективность - высокая

3. Смотрим врагу в лицо
Исчерпаниеканальнойемкости 100.000+
Инфраструктурасети 1 0 . 000 +
Сетевойстексистемы 1.000+
Приложение 100+

4. Cвойства ботнета:
•конечность/самосохраняемость
•жадность
•инертность
•ущербность
•транснациональность

5. DDoS - онпришел…
1. Не паникуем
2. Удаляемhttp серверизавтостарта
3. Что в top?
4. Интересные сообщениевdmesg
5. Содержимое netstat
6. Анализируем access. Log

6. Инструментарий
1. Linux 2.6
2. iptables
3. ipset
4. nginx

7. HTTP Flood.Frontend
Минимизируемразмерыбуферов
large_client_header_buffers
client_header_buffer_size
client_body_buffer_size
client_max_body_size
Минимизируеможиданиеклиента
reset_timedout_connection on;
client_header_timeout
client_body_timeout
keepalive_timeout
send_timeout

8. HTTP Flood.Frontend
Иожидаемпопавшихсяботовна default vhost
server {
listen 80;
server_name noname;
return 444;
}
Ограничиваемколичествоодновременныхсоединенийсодногоip
limit_zoneconlim $binary_remote_addrXXm;
limit_connconlim XX;

9. HTTP Flood.Backend
Бюджетированиенагрузкинаскриптовыйбэкендчерез
limit_req_zone $binary_remote_addr zone=qulim:Xm rate=Yr/s;
limit_req zone=qulim burst=Z;

10. HTTP Flood.Отфильтровать в один запрос
log_format $http_accept $http_accept_language $http_accept_encoding;
+
grep --line-buffered
=
tail -f /var/log/nginx/myserver.access_log |
grep --line-buffered
-F '*/* en-us -' |
grep --line-buffered -oE "BOINK [0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3} " | sed -u
"s/^BOINK//" | xargs -n1 ipset -A myserv
ивариациинатемуизmyserv.error_logпоключевомуслову limiting

11. HTTP Flood.Когофильтроватьненужно
Вашисобственныеajaxскрипты (вставляемзаголовки-маркеры)
Полезныхботов, напримерпоисковики:
 77.88.0.0/18 Yandex
 87.250.224.0/19 Yandex
 93.158.128.0/18 Yandex
 213.180.192.0/19 Yandex
 95.108.128.0/17 Yandex
 65.52.0.0/14 Microsoft
 209.85.128.0/17 Google
 81.19.64.0/19 Rambler*
рамблер - этотелеком, итаминогдаживутботы.

12. Conntrack abuse
ip_conntrack: table full, dropping packet ?
Conntrackхранитсоединениявhashtableинебесплатен.
Прибольшихразмерахтаблицыможно:
net.ipv4.netfilter.ip_conntrack_tcp_timeout_*
нопрощевыключить:
iptables -t RAW -A PREROUTING -d$PUBLISHED_IP -j NOTRACK
iptables -t RAW -A OUTPUT -d$PUBLISHED_IP -jNOTRACK

13. Большойобьемотфильрованыхботов?
ipset
егочудесныеb-tree дляплохихботов
ipset -N myserviptree --timeout XX
ipset -A myserv $OFFENDING_IP
и
-N goodbotsnethash --hashsize 512 --probes 4 --resize 50
дляхороших

14. SYN Flood
syn-cookies!
net.ipv4.tcp_syncookies = 1

15. Простомноготрафикаисклад
ываетсяинфраструктурапров
айдера?

16. Домашнеезадание
1. Настроенныеnginx/ipsetнасервере
2. Выключенный conntrack
3. Выделенныйipдляпубликуемыхсервисов
4. Представлениеосвязностихостера

17. Ничего не помоголо?
hll.msu.ru
be@hll.msu.ru