Download as PDF, PPTX
![[社内LT][Debian] お前はもう使っている-2013/05/24](https://cdn.slidesharecdn.com/ss_thumbnails/lt-debian20130524-131104022409-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
DDoS-taisaku-etc
- 1. DDoS攻撃への防御施策と 受けた時の初動を早める模索 Hosting Casual Talk#1 2014/06/28 ※今日は所属はナイショでお願いします※
- 2. おしながき • 自己紹介 • サービス環境 •最近のDDoS事例 • 対策例 • 検知~対策の工夫と今後 PandoraFMS 5 Netflow
- 3. 自己紹介 • データセンター運用やマネージドホスティング サービスをかれこれ12年くらい • 得意技:MRTG、Zoho •JPIXユーザ会や、昔のrentalsever.orgで ぶっちゃけた相談をしていました • 相談したいネタは今もたくさん.... -ベアメタル専用サーバのアップデート適用のドキドキ -RH Software Collectionをサービス提供するか -コンテンツ制作会社さんにg+wの複雑系 -管理パネル論争 -MLってmailmanでFA?
- 4. OSの動作復元に必要なシステム領域 と、お客様指定のディレクトリを毎日 定期的にバックアップ。 信頼の高品質ハイエンドモデルを採用 ミッションクリティカルな業務にも十分 ご利用頂けます。 機種:NEC Express5800 サービス環境 冗長化された共有回線をご利用 頂けます。 ホスティングサーバ 信頼性の高い商用OSを使用する ことによりサポートも万全。 MIRACLE LINUXV5 商用Linux OS使用 データバックアップ 信頼のアプライアンス製品を冗長化 し万全のセキュリティーを確保。 ファイアーウォール オプションのロードバランサーを利用 することにより、複数台構成のサーバ 群での不可分散にも対応。 ロードバランサー 共有回線 当社データセンター(震度6強耐震 設計)の専用ラックに設置の上、専 門の技術者が運用を行います。 当社データセンター アプリケーションサーバやDBサーバの組合せなど、大 規模な複数台構成にも対応可能。基盤構築の容易性、 さらにサービスの急成長にも柔軟に対応できる拡張 性。 拡張性 企業ユーザ向けの専⽤マネージドホスティングを⾏っています。 他にコロケーションたくさん、VPS細々、etc.
- 5. 最近の 事例 • WebサーバへhttpのDDoS •WebサーバへICMPのDDoS • DNSサーバへ反射攻撃 • コロケーションのFirewallへNTPの反射攻撃 UDP系のDDoSはppsだと 割と検知しやすい印象 これはDoSではなく 昼休み終わりの使用集中
- 6. • httpはiptablesやapache moduleが効果的 最近はmod_evasive使ってます •UDPについてはiptablesがそれなりに hashlimitにすれば過剰検知もかなり防げる DNSサーバ上でMRTGを動かして、ThreshProgから -直近のパケットのL4情報をdump -過剰なsrcをiptablesに追加登録してDROP -かからない場合はdumpに切り替えて http://dnsamplificationattacks.blogspot.jp/ を参照して 載っていればブロック 対策例
- 7.
- 8.
- 9.
- 10. 対策例 pps dnsstats Flow top talkerswget BGP sh ip cache top talkers dst flow dst src src src Y! RBL
- 11.
- 12. ネタ セットアップ手順 • 最少構成でインストール -HDD設定以外はkickstart •reboot後、NFSマウントでスクリプト実行 -ルーティングなどのサービス環境用設定 -追加RPMを-ivh *.rpmで一斉追加 -共通設定やセキュリティ設定を追記した 各種configファイルへ差し替え -管理用アカウントの作成と鍵登録 -bash + expect →NFSレポジトリの管理にツールを検討中