SlideShare a Scribd company logo

Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад

Konstantin Novakovksy
Konstantin Novakovksy

Собрание сообщества SPb Linux User Group 2017.02.22. Слегка переработанный доклад с Highload++ 2016 https://spblug.org/ https://vscale.io/ https://selectel.com/

1 of 35
Download to read offline
Борьба с DDoS в хостинге: по обе стороны баррикад. Netflow, Flowspec Константин Новаковский Vscale, Selectel SPb Linux User Group 2017.02.22
Почему нам больно • 6 датацентров (6,5к м2 ) • Аренда серверов / стоек / серверных помещений / волокон • Виртуальное приватное облако • Облачное хранилище / CDN • Мониторинг • Vscale • Anycast DNS • новый “железный” проект в разработке
Проблемы • атаки на наших клиентов • атаки на нашу инфраструктуру • использование нашей инфраструктуры для атак • взломали сервер клиента • виртуалки для атак
Коротко А вдруг ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение
Коротко А вдруг ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение ● большой BPS ● большой PPS ● большой PPS ● небольшие числа BPS/PPS
Отражение 1. Атакующий хост рассылает запросы от имени жертвы по всему интернету 2. Хосты в интернете отвечают жертве 3. Жертва получает ОЧЕНЬ МНОГО неожиданных ответов Размер ответа небольшой — как правило, равный размеру запроса. ping -S <жертва> <host в интернете> hping3 ...
Усиление Основной механизм - отражение, но ● посылка маленького по размеру запроса ● генерация очень большого ответа - до 100 килобайт • SNMP, DNS, NTP, SSDP, CS, Quake • UDP - нет установки сессии перед запросом rfc768
12 декабря 2015
Флуд Атака на протокол • PING-flood • SYN-flood • SSL-handshake • slow TCP • IP fragments
Мониторинг Минимум нагрузка на сетевых интерфейсах серверов роутерах Держать перед глазами
Мониторинг
Кто кого откуда куда
• сенсор • коллектор • анализатор
• сенсор • коллектор • анализатор
• Обрабатываются не все пакеты • Может создать излишнюю нагрузку на сенсор • Значение семплинга зависит от: • объемов трафика • оборудования / сенсора
Инструменты • nfdump, nfsen • flowtools • elasticsearch • nbox/ntopng • ipfixcol
Мониторим
Мониторим
Мониторим
Отчёт клиенту • Топ по портам назначения • Топ портам источников трафика • Автономные системы источников трафика • Топы адресов на основе топов портов источников и назначения • Количество адресов в по топам портов
Реакция и смягчение • Работает поверх • обрабатывается аппаратно на ах • опасен своей мощью • поддерживают далеко не все операторы
Фильтры
Фильтры
Фильтры
Реакция
• • • •
Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
— программный многоуровневый коммутатор Обеспечивает сеть виртуальным машинам — протокол взаимодействия между сетевыми устройствами коммутаторами программно управляемой сети и централизованным контроллером
Фильтруем трафик виртуалок http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
Фильтруем трафик виртуалок http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
Предотвращение атак из виртуалок Мониторим превышение на порту виртуалок Проверяем подозрительный трафик • не попадает под известные случаи • ничего не делаем • вредоносная активность • делаем небольшой дамп для дальнейшего разбора инцидента • отключаем порт виртуалки от сети
Вопросы Обратная связь: twitter: clickfreakbit email: kostya.keeper at gmail dot com

Recommended

Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)
Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)
Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)Ontico
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Ontico
 
Марина Широчкина: Верстка. Вид снизу
Марина Широчкина: Верстка. Вид снизуМарина Широчкина: Верстка. Вид снизу
Марина Широчкина: Верстка. Вид снизуYandex
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Ontico
 
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Александр Тоболь, Кадры решают все, или стриминг видео в ОдноклассникахАлександр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Tanya Denisyuk
 
Flexireg
FlexiregFlexireg
Flexireg
FAITID
 
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Ontico
 
Скорость с доставкой до пользователя
Скорость с доставкой до пользователяСкорость с доставкой до пользователя
Скорость с доставкой до пользователя
Anatoliy Orlov
 

Recommended

Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)
Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)
Как не надо писать приложения, основанные на протоколе TCP (Артём Гавриченков)Ontico
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Ontico
 
Марина Широчкина: Верстка. Вид снизу
Марина Широчкина: Верстка. Вид снизуМарина Широчкина: Верстка. Вид снизу
Марина Широчкина: Верстка. Вид снизуYandex
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Ontico
 
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Александр Тоболь, Кадры решают все, или стриминг видео в ОдноклассникахАлександр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
Tanya Denisyuk
 
Flexireg
FlexiregFlexireg
Flexireg
FAITID
 
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Реклама со скоростью света (DMP-платформа), Сергей Жемжицкий (Clever Data)
Ontico
 
Скорость с доставкой до пользователя
Скорость с доставкой до пользователяСкорость с доставкой до пользователя
Скорость с доставкой до пользователя
Anatoliy Orlov
 
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...Ontico
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Ontico
 
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
Ontico
 
Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Ontico
 
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...Fuenteovejuna
 
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Ontico
 
Тестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стендеТестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стенде
ARCCN
 
Инкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКСИнкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКС
ARCCN
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Tanya Denisyuk
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Tanya Denisyuk
 
Юрий Насретдинов, Badoo
Юрий Насретдинов, BadooЮрий Насретдинов, Badoo
Юрий Насретдинов, Badoo
Ontico
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Ontico
 
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
GeeksLab Odessa
 
LinuxConf-2014
LinuxConf-2014LinuxConf-2014
LinuxConf-2014
Alexey Savanovich
 
Elutin lvs prez-2
Elutin lvs prez-2Elutin lvs prez-2
Elutin lvs prez-2kuchinskaya
 
Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)Andrey Smirnov
 
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
CleverDATA
 
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
odnoklassniki.ru
 
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Ontico
 
Krizhanovsky Ddos
Krizhanovsky DdosKrizhanovsky Ddos
Krizhanovsky DdosLiudmila Li
 
HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: Genode
Iosif Itkin
 

More Related Content

What's hot

Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...Ontico
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Ontico
 
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
Ontico
 
Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Ontico
 
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...Fuenteovejuna
 
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Ontico
 
Тестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стендеТестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стенде
ARCCN
 
Инкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКСИнкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКС
ARCCN
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Tanya Denisyuk
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Tanya Denisyuk
 
Юрий Насретдинов, Badoo
Юрий Насретдинов, BadooЮрий Насретдинов, Badoo
Юрий Насретдинов, Badoo
Ontico
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Ontico
 
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
GeeksLab Odessa
 
LinuxConf-2014
LinuxConf-2014LinuxConf-2014
LinuxConf-2014
Alexey Savanovich
 
Elutin lvs prez-2
Elutin lvs prez-2Elutin lvs prez-2
Elutin lvs prez-2kuchinskaya
 
Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)Andrey Smirnov
 
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
CleverDATA
 
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
odnoklassniki.ru
 
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Ontico
 
Krizhanovsky Ddos
Krizhanovsky DdosKrizhanovsky Ddos
Krizhanovsky DdosLiudmila Li
 

What's hot (20)

Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
Использование асинхронной очереди сообщений в высоконагруженном проекте / Анд...
 
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
Микросервисы: опыт использования в нагруженном проекте / Вадим Мадисон (М-Тех)
 
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
 
Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)Механика DDoS (Александр Крижановский)
Механика DDoS (Александр Крижановский)
 
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
 
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
Тюним память и сетевой стек в Linux: история перевода высоконагруженных серве...
 
Тестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стендеТестирование QoS на экспериментальном стенде
Тестирование QoS на экспериментальном стенде
 
Инкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКСИнкапсуляция сетевой топологии при помощи ПКС
Инкапсуляция сетевой топологии при помощи ПКС
 
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
Юрий Насретдинов-«Сбор логов в «облаке» в Badoo»
 
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
Дмитрий Лазаренко-«Живая миграция и отказоустойчивость контейнеров в гибридно...
 
Юрий Насретдинов, Badoo
Юрий Насретдинов, BadooЮрий Насретдинов, Badoo
Юрий Насретдинов, Badoo
 
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...
 
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
WebCamp: Developer Day: N2O: The Most Powerful Erlang Web Framework - Максим ...
 
LinuxConf-2014
LinuxConf-2014LinuxConf-2014
LinuxConf-2014
 
Elutin lvs prez-2
Elutin lvs prez-2Elutin lvs prez-2
Elutin lvs prez-2
 
Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)Анатомия веб сервиса (HighLoad-2014)
Анатомия веб сервиса (HighLoad-2014)
 
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
Реклама со скоростью света. Презентация Сергея Жемжицкого на High Load++ 2014
 
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
Франкенштейнизация Voldemort или key-value данные в Одноклассниках. Роман Ан...
 
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
Применение блокчейна в RTB. Можно ли масштабировать децентрализованную базу д...
 
Krizhanovsky Ddos
Krizhanovsky DdosKrizhanovsky Ddos
Krizhanovsky Ddos
 

Similar to Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад

HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2Technopark
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: Genode
Iosif Itkin
 
Тестирование Сетевой Безопасности
Тестирование Сетевой БезопасностиТестирование Сетевой Безопасности
Тестирование Сетевой Безопасности
SQALab
 
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSAlexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSDefconRussia
 
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...rit2011
 
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...Procontent.Ru Magazine
 
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Evgeny Kokovikhin
 
Тандемные DDoS-атаки (Артём Гавриченков)
Тандемные DDoS-атаки (Артём Гавриченков)Тандемные DDoS-атаки (Артём Гавриченков)
Тандемные DDoS-атаки (Артём Гавриченков)Ontico
 
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
HLL
 
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Fwdays
 
Intel DPDK в решениях для противодействия DDoS-атакам
Intel DPDK в решениях для противодействия DDoS-атакамIntel DPDK в решениях для противодействия DDoS-атакам
Intel DPDK в решениях для противодействия DDoS-атакам
Глеб Хохлов
 
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)Ontico
 
Rc uskov
Rc uskovRc uskov
Rc uskov
QratorLabs
 
RootConf 2015
RootConf 2015RootConf 2015
RootConf 2015
Evgeny Uskov
 
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
Ontico
 
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
HappyDev
 

Similar to Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад (20)

HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2HighLoad весна 2014 лекция 2
HighLoad весна 2014 лекция 2
 
TMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: GenodeTMPA-2013 Sartakov: Genode
TMPA-2013 Sartakov: Genode
 
Async Python
Async PythonAsync Python
Async Python
 
Тестирование Сетевой Безопасности
Тестирование Сетевой БезопасностиТестирование Сетевой Безопасности
Тестирование Сетевой Безопасности
 
Lyamin zn2013
Lyamin zn2013Lyamin zn2013
Lyamin zn2013
 
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSAlexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
 
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...
как написать масштабируемую баннерокрутилку. денис бирюков, артем гавриченков...
 
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
WapStart: Как показывать 200 миллионов баннеров ежедневно и быть готовым пока...
 
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
Как показывать 200 миллионов баннеров ежедневно и быть готовым показать милли...
 
Тандемные DDoS-атаки (Артём Гавриченков)
Тандемные DDoS-атаки (Артём Гавриченков)Тандемные DDoS-атаки (Артём Гавриченков)
Тандемные DDoS-атаки (Артём Гавриченков)
 
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...
 
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
 
Intel DPDK в решениях для противодействия DDoS-атакам
Intel DPDK в решениях для противодействия DDoS-атакамIntel DPDK в решениях для противодействия DDoS-атакам
Intel DPDK в решениях для противодействия DDoS-атакам
 
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)
Практика использования NoSQL в высоконагруженном проекте (Дмитрий Ананьев)
 
pyFMS
pyFMSpyFMS
pyFMS
 
pyFMS
pyFMSpyFMS
pyFMS
 
Rc uskov
Rc uskovRc uskov
Rc uskov
 
RootConf 2015
RootConf 2015RootConf 2015
RootConf 2015
 
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
Сетевая диагностика: новый взгляд сквозь старые щели / Евгений Усков (Qrator ...
 
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
2015-12-05 Анатолий Орлов - Скорость с доставкой до пользователя
 

Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад

  • 1. Борьба с DDoS в хостинге: по обе стороны баррикад. Netflow, Flowspec Константин Новаковский Vscale, Selectel SPb Linux User Group 2017.02.22
  • 2. Почему нам больно • 6 датацентров (6,5к м2 ) • Аренда серверов / стоек / серверных помещений / волокон • Виртуальное приватное облако • Облачное хранилище / CDN • Мониторинг • Vscale • Anycast DNS • новый “железный” проект в разработке
  • 3. Проблемы • атаки на наших клиентов • атаки на нашу инфраструктуру • использование нашей инфраструктуры для атак • взломали сервер клиента • виртуалки для атак
  • 4. Коротко А вдруг ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение
  • 5. Коротко А вдруг ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение ● большой BPS ● большой PPS ● большой PPS ● небольшие числа BPS/PPS
  • 6. Отражение 1. Атакующий хост рассылает запросы от имени жертвы по всему интернету 2. Хосты в интернете отвечают жертве 3. Жертва получает ОЧЕНЬ МНОГО неожиданных ответов Размер ответа небольшой — как правило, равный размеру запроса. ping -S <жертва> <host в интернете> hping3 ...
  • 7. Усиление Основной механизм - отражение, но ● посылка маленького по размеру запроса ● генерация очень большого ответа - до 100 килобайт • SNMP, DNS, NTP, SSDP, CS, Quake • UDP - нет установки сессии перед запросом rfc768
  • 9. Флуд Атака на протокол • PING-flood • SYN-flood • SSL-handshake • slow TCP • IP fragments
  • 10. Мониторинг Минимум нагрузка на сетевых интерфейсах серверов роутерах Держать перед глазами
  • 15. • Обрабатываются не все пакеты • Может создать излишнюю нагрузку на сенсор • Значение семплинга зависит от: • объемов трафика • оборудования / сенсора
  • 16. Инструменты • nfdump, nfsen • flowtools • elasticsearch • nbox/ntopng • ipfixcol
  • 20. Отчёт клиенту • Топ по портам назначения • Топ портам источников трафика • Автономные системы источников трафика • Топы адресов на основе топов портов источников и назначения • Количество адресов в по топам портов
  • 21. Реакция и смягчение • Работает поверх • обрабатывается аппаратно на ах • опасен своей мощью • поддерживают далеко не все операторы
  • 27.
  • 28. Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
  • 29. Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
  • 30. — программный многоуровневый коммутатор Обеспечивает сеть виртуальным машинам — протокол взаимодействия между сетевыми устройствами коммутаторами программно управляемой сети и централизованным контроллером
  • 33. Предотвращение атак из виртуалок Мониторим превышение на порту виртуалок Проверяем подозрительный трафик • не попадает под известные случаи • ничего не делаем • вредоносная активность • делаем небольшой дамп для дальнейшего разбора инцидента • отключаем порт виртуалки от сети
  • 34.