Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)

Защищаемость от
DDoS на этапе
проектирования
системы
Рамиль Хантимиров, к.т.н.
CEO StormWall

Плохой пример
(онлайн-игра)
- Протокол – UDP
- Сайт и сервис – на одном IP
- Сайт не работает без игровой
базы
- Игровой сервис легко нагрузить
- Работоспособность сервиса
зависит от DNS J
IP 1.2.3.4
Сайт
UDP-Сервис
(slow)
СУБД
(MySQL)
DNS
Точка отказа для

Хороший пример (сервис такси)
IP 1.2.3.4
Сайт
Этап I
IP 1.2.4.5
Сервер
аутентификации
(fast)
Этап II
IP 1.2.5.6
IP 1.2.7.8
IP 1.2.6.7
Сервис такси
(критичный)
Не подряд, только
после аутентификации

Как устроена защита от DDoS?

Определения
Эффективность защиты от DDoS – отношение времени, когда
негативные последствия атаки не отражаются на доступности
сервиса, к общему времени атаки в данный промежуток времени
Защищаемость (protectability) - способность сервиса быть
эффективно защищенным от DDoS-атак с минимальными
затратами ресурсов

Хорошее
проектирование
Защищаемость
Эффективность
защиты
Доступность
Затраты
на защиту

Задача I: Предоставить как
можно меньше информации
атакующему

Сервер
(fast)
Атакующий
?
IP 1.2.5.6
IP 1.2.7.8
IP 1.2.6.7
1
2
3
Пользователь

Атакующий
?
Сервис
Атака
ping?
tcp connect?
??????

Атакующий
L
Сервис
DDoS-атака
OK
1
2
Атакующий
J
Сервис
Взлом
Fail

Задача I. Рекомендации
• Нет авторизации – неизвестны и объекты атаки
• Атакующий не должен узнать о том, что атака успешна
• Не забудьте про защиту от взлома

Задача II: Предоставить как
можно больше информации
DDoS-защитнику

Задача II. Рекомендации
• Сделайте так, чтобы DDoS-защитник знал, хорошо ли работает
сервис

Задача III: Обеспечить
понятные возможности
фильтрации атаки

Задача III. Рекомендации
• По возможности используйте TCP
• Используете UDP? Как будете отличать легитимного клиента от
нелегитимного?
• Убедитесь, что DDoS-защитник знает, как фильтровать атаку и
имеет метод фильтрации

Задача IV: Обеспечить
надежность сервиса под атакой

Атакующий
DDoS-защита
СерверМаршрутизатор
Приложение
Мощная DDoS-атака
Ослабленная
DDoS-атака
10 Mpps
50 Kpps

IP 1.2.3.4
Сайт
IP 1.2.4.5
Сервер
(TCP)
IP 1.2.6.7
Основной сервис
(UDP)
- Блок всего UDP
- Блок всех TCP SYN+ACK
- Блок всего UDP
- Блок всех TCP SYN+ACK
- Разрешить доступ только
после авторизации на сайте
- Блок амплификации UDP
Правила Firewall/ACLТип сервиса

Задача IV. Рекомендации
• Позаботьтесь о доступности сервиса без атаки
• Точки отказа, зависимость компонентов друг от друга
• Резервирование
• Обеспечьте устойчивость системы к слабым атакам
• На уровне сети
• На уровне ОС
• На уровне приложения
• Разнесите разные функции на разные адреса (и сообщите это
защитнику)

Задачи по повышению защищаемости
Предоставить как можно меньше информации атакующему
Предоставить как можно больше информации DDoS-защитнику
Обеспечить понятные возможности фильтрации атаки
Обеспечить надежность сервиса под атакой

• Число возможностей скрыть атакуемый объект
• Число путей проверки работоспособности
• Безопасность (защищенность от взлома)

• Возможность у DDoS-защитника оценить эффективность
защиты

• Число возможностей отделить бота от не-бота (на уровне
протокола, приложения)
• Известность и понятность работы используемых
протоколов и механизмов (для DDoS-защитника)

• Резервирование на уровне приложения
• Устойчивость к слабым атакам
• Выделение разных функций на разные IP-адреса для
снижения числа векторов атак
• Зависимость компонентов системы друг от друга и
способность работать автономно

Спасибо за внимание!
Рамиль Хантимиров
CEO StormWall
ramil@stormwall.pro
+7 (926) 700-00-11
(telegram, whatsapp)
Skype ramilkh

Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)

More Related Content

What's hot

Viewers also liked

Similar to Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)

More from Ontico

Защищаемость от DDoS на этапе проектирования системы / Рамиль Хантимиров (StormWall)