SlideShare a Scribd company logo
1 of 17
DDOS-­‐АТАКИ:  ЧТО  ЭТО  
И  КАК  С  НИМИ  БОРОТЬСЯ
Рамиль  Хантимиров
CEO  StormWall
ЧЕМ  МЫ  ЗАНИМАЕМСЯ?
ЗАЩИТА ОТ DDOS-АТАК
ЗАЩИЩЕННЫЕ VDS
ХОСТИНГ С DDOS-ЗАЩИТОЙ
СЕРВЕРЫ С ЗАЩИТОЙ
Быстро  остановим  любой  паразитный  трафик  на  пути  к  Вашему  
проекту
Виртуальные  машины  на  платформе  VMware vSphere,  позволяющие  
найти  компромисс  между  стоимостью  и  производительностью
Мощные  серверы,  настроенные  индивидуально  для  снижения
последствий  DDoS-­‐атак  на  Ваш  Интернет-­‐проект
Устойчивая  к  DDoS-­‐атакам  и  высоким  нагрузкам  платформа  для  
размещения  Вашего  сайта
ЧТО  ТАКОЕ  DDOS-­‐АТАКА?
• DDoS-­‐атака  – распределенная  атака  на  сайт  (либо  сервер),    
направленная  на  исчерпание  его  ресурсов,    вследствие  чего  
происходит  отказ  в  обслуживании      клиентов
• Недоступность  сайта/сервиса  часто  ведет  к  серьезным  
финансовым  и  репутационным потерям
• Цена  атаки  начинается  от  $20/сутки,  а  потери  могут  
измеряться  огромными  суммами
КТО  
ПОДВЕРЖЕН  
РИСКУ?
САЙТЫ  КОМПАНИЙ
ИНТЕРНЕТ-­‐МАГАЗИНЫ
ADULT  И  ПРОЧЕЕ
ИНТЕРНЕТ-­‐СЕРВИСЫ
ОНЛАЙН  ИГРЫ
ПОЛИТИЧЕСКИЕ  САЙТЫ
КТО  
ПОДВЕРЖЕН  
РИСКУ?
САЙТЫ  КОМПАНИЙ
ИНТЕРНЕТ-­‐МАГАЗИНЫ
ADULT  И  ПРОЧЕЕ
ИНТЕРНЕТ-­‐СЕРВИСЫ
ОНЛАЙН  ИГРЫ
ПОЛИТИЧЕСКИЕ  САЙТЫ
КТО  
ПОДВЕРЖЕН  
РИСКУ?
САЙТЫ  КОМПАНИЙ
ИНТЕРНЕТ-­‐МАГАЗИНЫ
ADULT  И  ПРОЧЕЕ
ИНТЕРНЕТ-­‐СЕРВИСЫ
ОНЛАЙН  ИГРЫ
ПОЛИТИЧЕСКИЕ  САЙТЫ
ВСЕ
КОМУ  ЭТО  ВЫГОДНО?
Конкурентам
Недобросовестные  участники  Вашей  
сферы  бизнеса  с  удовольствием  
лишат  Вас  части  клиентов  и,  
соответственно,  прибыли
Мошенникам
Мошенники  часто  организуют  атаки  на  
сайт  с  целью  шантажа  или  обмана  
пользователей  (отправка  SMS,  
распространение  вредоносного  ПО  и  пр.)
Недоброжелателям  
Нередко  личная  неприязнь  становится  
причиной,  по  которой  Ваш  сайт  может  
стать  объектом  атаки
Хулиганам
В  настоящее  время  всё  больше  человек  
интересуются  DDoS-­‐атаками,  и  все  хотят  
попробовать  себя  в  этом  деле.  Поэтому  
многие  начинающие  злоумышленники  
осуществляют  DDoS-­‐атаки  ради  
развлечения
ПАКЕТНЫЙ  ФЛУД  (L3-­‐L5) HTTP-­‐ФЛУД  (L7)
TCP-­‐флуд
SYN-­‐флуд
ACK-­‐флуд
TCP  reflection
и  др.
UDP-­‐флуд
DNS-­‐амплификация
NTP-­‐амплификация
SSDP-­‐амплификация
и  др.
Атака  GET/POST  запросами
Атака  медленными  запросами  (SlowLoris)
Атака  на  SSL
WordPress Pingback
Переполнение  сервера  Log-­‐файламиGRE-­‐флуд
КЛАССИФИКАЦИЯ  DDOS-­‐АТАК
ICMP-­‐флуд
На сервере
• канал,  знания
Программно
• канал,  сервер(ы)  для  фильтрации,  знания
Аппаратно
• канал,  оборудование  (от  1,000,000р),  
знания  (от  100,000р)
Нет  знаний  и  понимания  процесса  защиты
Нет  времени  на  поиски  самостоятельного    
решения
Нет  необходимых  каналов  и  оборудования
Сервис  критичен,  а  круглосуточной  
поддержки  нет
СПОСОБЫ  ЗАЩИТЫ  ОТ  DDOS-­‐АТАКИ
САМОСТОЯТЕЛЬНО НЕ  САМОСТОЯТЕЛЬНО
ПОДГОТОВКА  СИСТЕМЫ
1.  Укрепить  сетевой  стек  (векторы  прерываний,  sysctl)
• оптимизировать  количество  процессов  веб  сервера  (актуально  для  
Apache):  должно  быть  соизмеримо  количеству  доступной  памяти
• оптимизировать  приложение  баз  данных:  количество  доступных  
соединений,  количество  потоков,  оптимальный  кеш
• настроить  кеширование  динамики  и  статики:  обычно  apc,  memcached,  
varnish,  nginx cache (желательно  разместить  в  ОЗУ)
2.  Закрыть  все  лишнее  (порты,  сервисы)
3.  Оптимизировать  затраты  системных  ресурсов  
• использовать  свежее  ПО!
• распределить  векторы  прерываний  сетевой  карты  между  ядрами  CPU
• увеличить  лимиты  файловой  системы
• увеличить  объем  памяти  для  сетевого  стека
• увеличить  лимиты  таблиц  полуоткрытых  и  открытых  соединений
• уменьшить  таймауты  conntrack
БАЗОВЫЕ  МЕТОДЫ  БОРЬБЫ  С  АТАКОЙ
1.  Понять,  в  какой  ресурс  упирается  сервер  
(htop,  atop,  vnstat,  netstat)
2.  Понять  сигнатуру  атаки:
• tail  -­‐f  /var/log/nginx/access.log
• tcpdump -­‐nn -­‐vv -­‐i eth0  -­‐с  100
3.  Настроить  фильтрацию  определенного  типа  атаки  
(правила  iptables,  nginx,  и  т.д.)
4.  fail2ban
5.  Модуль  testcookie для  nginx
БАЗОВЫЕ  МЕТОДЫ  БОРЬБЫ  С  АТАКОЙ:
ПРИМЕРЫ  БЛОКИРУЮЩИХ  ПРАВИЛ
• Блокировка  hping3 (размер  окна  TCP  512  по  умолчанию)
iptables -t raw -A PREROUTING -d 10.10.10.10 -m u32 --u32
"30&0xFF=0x2 && 32&0xFFFF=0x0200" -j DROP
• Лимит  для  SYN-­‐flood  c  1  IP
iptables -t raw -A PREROUTING -i eth0 -d 10.10.10.10 -m u32 -
-u32 "6&0xFF=0x6 && 30&0xFF=0x2" -m hashlimit --hashlimit-
above 100/sec --hashlimit-mode srcip --hashlimit-name oneip –
-hashlimit-htable-size 2097152 --hashlimit-srcmask 32 -j DROP
• Блокировка в  nginx пустого  user-­‐agent или  user-­‐agent “PHP”
if ($http_user_agent ~* ^($|PHP)){
return 444;
}
КОГДА  МОЖНО  ЗАЩИТИТЬСЯ  САМОСТОЯТЕЛЬНО?
• Атака  меньше  полосы  сервера
• Атака  легко  отличима от  легитимного  трафика
•   Все  методы  не  универсальны,  требуют  постоянного  
внимания
ПРИМЕРЫ  РЕАЛЬНЫХ  АТАК:  L3
• Различные  комбинации  TCP-­‐
флуда
• Атакующие  меняли  атаку,  
пытаясь  найти  «дыру»  в  
системе  защиты
• Мощность  атаки  – до  12,7  
Mpps
ПРИМЕРЫ  РЕАЛЬНЫХ  АТАК:  HTTP
• До  10,000  запросов  в  секунду
• Ботнет из  мобильных  устройств  
на  платформе  Android
КОГДА  ВСЕ  ЛЕЖИТ…
ИЛИ  КАК  ПРАВИЛЬНО  ПОДКЛЮЧИТЬ  ЗАЩИТУ
Важные  моменты:
• Какой  TTL  у  А-­‐записи  в  DNS?
• Желательно  сменить  IP-­‐адрес,  а  лучше  -­‐ локацию
• Если  нельзя  сменить  -­‐ заблокировать  лишний  трафик  (помним  про  TTL)
• Отправка  почты  через  SMTP
Частные  случаи:
• Загрузка  файлов  на  сервер  не  через  фильтр
• В  коде  есть  ссылки  на  прямой  IP
• А-­‐запись  для  веба  сменили,  а  для  MX  (ftp,  etc.)  – нет
ОСТАЛИСЬ  ВОПРОСЫ?
Mail:  ramil@stormwall.pro
Skype:  ramilkh
Web:  https://stormwall.pro

More Related Content

What's hot

HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6Technopark
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5Technopark
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращатьQrator Labs
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Ontico
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Ddоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминDdоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминHighLoad Lab.
 
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...Ontico
 
Анализ рынка решений по защите от DDoS
Анализ рынка решений по защите от DDoSАнализ рынка решений по защите от DDoS
Анализ рынка решений по защите от DDoSКРОК
 
Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016S-Terra CSP
 
Вебинар С-Терра по DMVPN, 21.02.2017
Вебинар С-Терра по DMVPN, 21.02.2017Вебинар С-Терра по DMVPN, 21.02.2017
Вебинар С-Терра по DMVPN, 21.02.2017S-Terra CSP
 
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)Ontico
 
презентация икс 2016 новая
презентация икс 2016 новаяпрезентация икс 2016 новая
презентация икс 2016 новаяarealconsulting
 
Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017S-Terra CSP
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101Qrator Labs
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Ontico
 
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)Ontico
 

What's hot (20)

HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6HighLoad весна 2014 лекция 6
HighLoad весна 2014 лекция 6
 
HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5HighLoad весна 2014 лекция 5
HighLoad весна 2014 лекция 5
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPS
 
Ddos
DdosDdos
Ddos
 
Lyamin press2015
Lyamin press2015Lyamin press2015
Lyamin press2015
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
 
Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 new
 
Ddоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминDdоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.Лямин
 
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
После подключения DDoS-защиты: как "положат" Ваши ресурсы / Рамиль Хантимиров...
 
Анализ рынка решений по защите от DDoS
Анализ рынка решений по защите от DDoSАнализ рынка решений по защите от DDoS
Анализ рынка решений по защите от DDoS
 
Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016
 
Вебинар С-Терра по DMVPN, 21.02.2017
Вебинар С-Терра по DMVPN, 21.02.2017Вебинар С-Терра по DMVPN, 21.02.2017
Вебинар С-Терра по DMVPN, 21.02.2017
 
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
NVMf: 5 млн IOPS по сети своими руками / Андрей Николаенко (IBS)
 
презентация икс 2016 новая
презентация икс 2016 новаяпрезентация икс 2016 новая
презентация икс 2016 новая
 
Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
 
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)
DPDK в виртуальном коммутаторе Open vSwitch / Александр Джуринский (Selectel)
 

Similar to DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ

Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиCisco Russia
 
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Ontico
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиCisco Russia
 
DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюHLL
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksBAKOTECH
 
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Fwdays
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANАльбина Минуллина
 
Тенденции развития DDoS-атак: к чему нужно быть готовым
Тенденции развития DDoS-атак: к чему нужно быть готовымТенденции развития DDoS-атак: к чему нужно быть готовым
Тенденции развития DDoS-атак: к чему нужно быть готовымIT61
 
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Cisco Russia
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атакSkillFactory
 
Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)MUK Extreme
 
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSAlexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSDefconRussia
 
A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNCisco Russia
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco Russia
 
Учет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиCisco Russia
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Ontico
 

Similar to DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ (20)

Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
 
DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживанию
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 Networks
 
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"
 
Смотрим в HTTPS
Смотрим в HTTPSСмотрим в HTTPS
Смотрим в HTTPS
 
Визуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PANВизуализация взломов в собственной сети PAN
Визуализация взломов в собственной сети PAN
 
Тенденции развития DDoS-атак: к чему нужно быть готовым
Тенденции развития DDoS-атак: к чему нужно быть готовымТенденции развития DDoS-атак: к чему нужно быть готовым
Тенденции развития DDoS-атак: к чему нужно быть готовым
 
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
 
Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)
 
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoSAlexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
 
Lyamin zn2013
Lyamin zn2013Lyamin zn2013
Lyamin zn2013
 
A popular DNS security overview
A popular DNS security overviewA popular DNS security overview
A popular DNS security overview
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
 
Cisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угрозCisco TALOS – интеллектуальная платформа для анализа угроз
Cisco TALOS – интеллектуальная платформа для анализа угроз
 
Учет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сети
 
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
Отказоустойчивый микрокластер своими руками, Виталий Гаврилов (Ленвендо)
 

DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ

  • 1. DDOS-­‐АТАКИ:  ЧТО  ЭТО   И  КАК  С  НИМИ  БОРОТЬСЯ Рамиль  Хантимиров CEO  StormWall
  • 2. ЧЕМ  МЫ  ЗАНИМАЕМСЯ? ЗАЩИТА ОТ DDOS-АТАК ЗАЩИЩЕННЫЕ VDS ХОСТИНГ С DDOS-ЗАЩИТОЙ СЕРВЕРЫ С ЗАЩИТОЙ Быстро  остановим  любой  паразитный  трафик  на  пути  к  Вашему   проекту Виртуальные  машины  на  платформе  VMware vSphere,  позволяющие   найти  компромисс  между  стоимостью  и  производительностью Мощные  серверы,  настроенные  индивидуально  для  снижения последствий  DDoS-­‐атак  на  Ваш  Интернет-­‐проект Устойчивая  к  DDoS-­‐атакам  и  высоким  нагрузкам  платформа  для   размещения  Вашего  сайта
  • 3. ЧТО  ТАКОЕ  DDOS-­‐АТАКА? • DDoS-­‐атака  – распределенная  атака  на  сайт  (либо  сервер),     направленная  на  исчерпание  его  ресурсов,    вследствие  чего   происходит  отказ  в  обслуживании      клиентов • Недоступность  сайта/сервиса  часто  ведет  к  серьезным   финансовым  и  репутационным потерям • Цена  атаки  начинается  от  $20/сутки,  а  потери  могут   измеряться  огромными  суммами
  • 4. КТО   ПОДВЕРЖЕН   РИСКУ? САЙТЫ  КОМПАНИЙ ИНТЕРНЕТ-­‐МАГАЗИНЫ ADULT  И  ПРОЧЕЕ ИНТЕРНЕТ-­‐СЕРВИСЫ ОНЛАЙН  ИГРЫ ПОЛИТИЧЕСКИЕ  САЙТЫ
  • 5. КТО   ПОДВЕРЖЕН   РИСКУ? САЙТЫ  КОМПАНИЙ ИНТЕРНЕТ-­‐МАГАЗИНЫ ADULT  И  ПРОЧЕЕ ИНТЕРНЕТ-­‐СЕРВИСЫ ОНЛАЙН  ИГРЫ ПОЛИТИЧЕСКИЕ  САЙТЫ
  • 6. КТО   ПОДВЕРЖЕН   РИСКУ? САЙТЫ  КОМПАНИЙ ИНТЕРНЕТ-­‐МАГАЗИНЫ ADULT  И  ПРОЧЕЕ ИНТЕРНЕТ-­‐СЕРВИСЫ ОНЛАЙН  ИГРЫ ПОЛИТИЧЕСКИЕ  САЙТЫ ВСЕ
  • 7. КОМУ  ЭТО  ВЫГОДНО? Конкурентам Недобросовестные  участники  Вашей   сферы  бизнеса  с  удовольствием   лишат  Вас  части  клиентов  и,   соответственно,  прибыли Мошенникам Мошенники  часто  организуют  атаки  на   сайт  с  целью  шантажа  или  обмана   пользователей  (отправка  SMS,   распространение  вредоносного  ПО  и  пр.) Недоброжелателям   Нередко  личная  неприязнь  становится   причиной,  по  которой  Ваш  сайт  может   стать  объектом  атаки Хулиганам В  настоящее  время  всё  больше  человек   интересуются  DDoS-­‐атаками,  и  все  хотят   попробовать  себя  в  этом  деле.  Поэтому   многие  начинающие  злоумышленники   осуществляют  DDoS-­‐атаки  ради   развлечения
  • 8. ПАКЕТНЫЙ  ФЛУД  (L3-­‐L5) HTTP-­‐ФЛУД  (L7) TCP-­‐флуд SYN-­‐флуд ACK-­‐флуд TCP  reflection и  др. UDP-­‐флуд DNS-­‐амплификация NTP-­‐амплификация SSDP-­‐амплификация и  др. Атака  GET/POST  запросами Атака  медленными  запросами  (SlowLoris) Атака  на  SSL WordPress Pingback Переполнение  сервера  Log-­‐файламиGRE-­‐флуд КЛАССИФИКАЦИЯ  DDOS-­‐АТАК ICMP-­‐флуд
  • 9. На сервере • канал,  знания Программно • канал,  сервер(ы)  для  фильтрации,  знания Аппаратно • канал,  оборудование  (от  1,000,000р),   знания  (от  100,000р) Нет  знаний  и  понимания  процесса  защиты Нет  времени  на  поиски  самостоятельного     решения Нет  необходимых  каналов  и  оборудования Сервис  критичен,  а  круглосуточной   поддержки  нет СПОСОБЫ  ЗАЩИТЫ  ОТ  DDOS-­‐АТАКИ САМОСТОЯТЕЛЬНО НЕ  САМОСТОЯТЕЛЬНО
  • 10. ПОДГОТОВКА  СИСТЕМЫ 1.  Укрепить  сетевой  стек  (векторы  прерываний,  sysctl) • оптимизировать  количество  процессов  веб  сервера  (актуально  для   Apache):  должно  быть  соизмеримо  количеству  доступной  памяти • оптимизировать  приложение  баз  данных:  количество  доступных   соединений,  количество  потоков,  оптимальный  кеш • настроить  кеширование  динамики  и  статики:  обычно  apc,  memcached,   varnish,  nginx cache (желательно  разместить  в  ОЗУ) 2.  Закрыть  все  лишнее  (порты,  сервисы) 3.  Оптимизировать  затраты  системных  ресурсов   • использовать  свежее  ПО! • распределить  векторы  прерываний  сетевой  карты  между  ядрами  CPU • увеличить  лимиты  файловой  системы • увеличить  объем  памяти  для  сетевого  стека • увеличить  лимиты  таблиц  полуоткрытых  и  открытых  соединений • уменьшить  таймауты  conntrack
  • 11. БАЗОВЫЕ  МЕТОДЫ  БОРЬБЫ  С  АТАКОЙ 1.  Понять,  в  какой  ресурс  упирается  сервер   (htop,  atop,  vnstat,  netstat) 2.  Понять  сигнатуру  атаки: • tail  -­‐f  /var/log/nginx/access.log • tcpdump -­‐nn -­‐vv -­‐i eth0  -­‐с  100 3.  Настроить  фильтрацию  определенного  типа  атаки   (правила  iptables,  nginx,  и  т.д.) 4.  fail2ban 5.  Модуль  testcookie для  nginx
  • 12. БАЗОВЫЕ  МЕТОДЫ  БОРЬБЫ  С  АТАКОЙ: ПРИМЕРЫ  БЛОКИРУЮЩИХ  ПРАВИЛ • Блокировка  hping3 (размер  окна  TCP  512  по  умолчанию) iptables -t raw -A PREROUTING -d 10.10.10.10 -m u32 --u32 "30&0xFF=0x2 && 32&0xFFFF=0x0200" -j DROP • Лимит  для  SYN-­‐flood  c  1  IP iptables -t raw -A PREROUTING -i eth0 -d 10.10.10.10 -m u32 - -u32 "6&0xFF=0x6 && 30&0xFF=0x2" -m hashlimit --hashlimit- above 100/sec --hashlimit-mode srcip --hashlimit-name oneip – -hashlimit-htable-size 2097152 --hashlimit-srcmask 32 -j DROP • Блокировка в  nginx пустого  user-­‐agent или  user-­‐agent “PHP” if ($http_user_agent ~* ^($|PHP)){ return 444; }
  • 13. КОГДА  МОЖНО  ЗАЩИТИТЬСЯ  САМОСТОЯТЕЛЬНО? • Атака  меньше  полосы  сервера • Атака  легко  отличима от  легитимного  трафика •   Все  методы  не  универсальны,  требуют  постоянного   внимания
  • 14. ПРИМЕРЫ  РЕАЛЬНЫХ  АТАК:  L3 • Различные  комбинации  TCP-­‐ флуда • Атакующие  меняли  атаку,   пытаясь  найти  «дыру»  в   системе  защиты • Мощность  атаки  – до  12,7   Mpps
  • 15. ПРИМЕРЫ  РЕАЛЬНЫХ  АТАК:  HTTP • До  10,000  запросов  в  секунду • Ботнет из  мобильных  устройств   на  платформе  Android
  • 16. КОГДА  ВСЕ  ЛЕЖИТ… ИЛИ  КАК  ПРАВИЛЬНО  ПОДКЛЮЧИТЬ  ЗАЩИТУ Важные  моменты: • Какой  TTL  у  А-­‐записи  в  DNS? • Желательно  сменить  IP-­‐адрес,  а  лучше  -­‐ локацию • Если  нельзя  сменить  -­‐ заблокировать  лишний  трафик  (помним  про  TTL) • Отправка  почты  через  SMTP Частные  случаи: • Загрузка  файлов  на  сервер  не  через  фильтр • В  коде  есть  ссылки  на  прямой  IP • А-­‐запись  для  веба  сменили,  а  для  MX  (ftp,  etc.)  – нет