Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)
•
0 likes•531 views
HighLoad++ 2017 Зал «Пекин + Шанхай», 8 ноября, 14:00 Тезисы: http://www.highload.ru/2017/abstracts/2891.html - Защищаемость системы от DDoS (Protectability - The ability to receive protection) - это важный параметр, которому стоит уделять внимание при проектировании. В настоящее время он не сформулирован в явном виде, однако сильно влияет на дальнейшую судьбу системы, особенно если она подвержена риску DDoS-атак. - Уже на этапе проектирования можно обезопасить себя и заложить в систему такие элементы, которые облегчат и повысят эффективность защиты системы от DDoS-атак в будущем. ...
Recommended
More Related Content
What's hot
What's hot (10)
Viewers also liked
Viewers also liked (10)
Similar to Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)
Similar to Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall) (20)
More from Ontico
More from Ontico (20)
Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)
- 2. Плохой пример (онлайн-игра) - Протокол – UDP - Сайт и сервис – на одном IP - Сайт не работает без игровой базы - Игровой сервис легко нагрузить - Работоспособность сервиса зависит от DNS J IP 1.2.3.4 Сайт UDP-Сервис (slow) СУБД (MySQL) DNS Точка отказа для
- 3. Хороший пример (сервис такси) IP 1.2.3.4 Сайт Этап I IP 1.2.4.5 Сервер аутентификации (fast) Этап II IP 1.2.5.6 IP 1.2.7.8 IP 1.2.6.7 Сервис такси (критичный) Не подряд, только после аутентификации
- 5. Определения Эффективность защиты от DDoS – отношение времени, когда негативные последствия атаки не отражаются на доступности сервиса, к общему времени атаки в данный промежуток времени Защищаемость (protectability) - способность сервиса быть эффективно защищенным от DDoS-атак с минимальными затратами ресурсов
- 8. Сервер аутентификации (fast) Атакующий ? IP 1.2.5.6 IP 1.2.7.8 IP 1.2.6.7 1 2 3 Пользователь
- 11. Задача I. Рекомендации • Нет авторизации – неизвестны и объекты атаки • Атакующий не должен узнать о том, что атака успешна • Не забудьте про защиту от взлома
- 17. vs.
- 18. Задача III. Рекомендации • По возможности используйте TCP • Используете UDP? Как будете отличать легитимного клиента от нелегитимного? • Убедитесь, что DDoS-защитник знает, как фильтровать атаку и имеет метод фильтрации
- 22. IP 1.2.3.4 Сайт IP 1.2.4.5 Сервер аутентификации (TCP) IP 1.2.6.7 Основной сервис (UDP) - Блок всего UDP - Блок всех TCP SYN+ACK - Блок всего UDP - Блок всех TCP SYN+ACK - Разрешить доступ только после авторизации на сайте - Блок амплификации UDP Правила Firewall/ACLТип сервиса
- 23. Задача IV. Рекомендации • Позаботьтесь о доступности сервиса без атаки • Точки отказа, зависимость компонентов друг от друга • Резервирование • Обеспечьте устойчивость системы к слабым атакам • На уровне сети • На уровне ОС • На уровне приложения • Разнесите разные функции на разные адреса (и сообщите это защитнику)
- 25. Задачи по повышению защищаемости Предоставить как можно меньше информации атакующему Предоставить как можно больше информации DDoS-защитнику Обеспечить понятные возможности фильтрации атаки Обеспечить надежность сервиса под атакой • Число возможностей скрыть атакуемый объект • Число путей проверки работоспособности • Безопасность (защищенность от взлома)
- 28. Задачи по повышению защищаемости Предоставить как можно меньше информации атакующему Предоставить как можно больше информации DDoS-защитнику Обеспечить понятные возможности фильтрации атаки Обеспечить надежность сервиса под атакой • Резервирование на уровне приложения • Устойчивость к слабым атакам • Выделение разных функций на разные IP-адреса для снижения числа векторов атак • Зависимость компонентов системы друг от друга и способность работать автономно