Александр Лямин и Антон Карпов - Ddos-атаки
•Download as PPTX, PDF•
2 likes•2,345 views
В докладе пойдет речь о DDoS — самом грубом оружии недобросовестной конкуренции, которое, к сожалению, применяется всё чаще. В докладе будет рассказано: что делать и куда бежать, если ваш интернет-магазин «ддосят», есть ли смысл обращаться к хостеру или придется отбиваться самому, как Яндекс реагирует на недоступность сайта и как восстановиться после атаки.
Recommended
Recommended
More Related Content
Similar to Александр Лямин и Антон Карпов - Ddos-атаки
Similar to Александр Лямин и Антон Карпов - Ddos-атаки (20)
More from Yandex
More from Yandex (20)
Александр Лямин и Антон Карпов - Ddos-атаки
- 1. DDoS-атаки
- 3. DDoS-активность по дням 160 140 120 100 80 2013 2012 60 40 20 0 1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек
- 5. Пациенты 2012* Магические услуги Правительство Интернет-магазины Купоны Недвижимость СМИ Биржи и Forex Инфо-услуги Платежные системы Игры и развлечения Сайты-визитки Банки Туристические фирмы Страховые компании Общий итог 132.5 36.4 28.7 23.7 23.5 22.5 22.1 21.0 20.9 19.2 11.8 11.3 11.1 2.8 24.8 3Q 2013* процент роста 12-13 339.3 36.0 30.8 49.0 50.5 22.7 117.5 26.0 41.0 22.6 16.0 14.7 30.1 25.0 33.3 156% -1% 7% 107% 115% 1% 431% 24% 97% 18% 36% 30% 170% 798% 34%
- 8. ЧТО ДЕЛАТЬ? • Не делайте глупостей
- 9. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте
- 10. ЧТО ДЕЛАТЬ? • Не делайте глупостей • Не паникуйте • (Желательно) Подготовьтесь
- 11. ЧТО ДЕЛАТЬ? • • • • Не делайте глупостей Не паникуйте Подготовьтесь Имейте запас производительности (2x)
- 12. ЧТО ДЕЛАТЬ? • • • • • Не делайте глупостей Не паникуйте Подготовьтесь Имейте запас производительности (2x) Оцените характеристики атаки и список подверженных сетевых сервисов
- 13. ЧТО ДЕЛАТЬ? • • • • • Не паникуйте Не делайте глупостей Подготовьтесь Имейте запас производительности (2x) Оцените характеристики атаки и список подверженных сетевых сервисов • Примите меры по нейтрализации атаки • Проконтролируйте результативность фильтров
- 15. Замерим и завесим! • • • • • Восстановите контроль Bitrate Packetrate Access.log tcpdump -n –s0 –c1000000 –w attack.dump
- 16. Вы против 100$ Вы Ваши опции • nginx
- 17. Вы против 100$ Вы Ваши опции • nginx • ipset
- 18. Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx
- 19. Вы против 100$ Вы Ваши опции • nginx • ipset • mod_security for nginx • http://habrahabr.ru
- 20. Вы против 1000$
- 21. Вы против 1000$ • Хостеры
- 22. Вы против 1000$ • Хостеры • Вендоры
- 23. Вы против 1000$ • Хостеры • Вендоры • Облачные сервисы
- 24. Облачные сервисы Зарубежные • Prolexic • CloudFlare • Incapsula • Akamai Отечественные • Kaspersky KDP • Qrator
- 25. Важные аспекты при подключении • Конфиденциальность IP адреса приложения
- 26. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP
- 27. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса
- 28. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Безопасность DNS серверов • Управляемость DNS зоны
- 29. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны
- 30. Важные аспекты при подключении • Конфиденциальность IP адреса приложения • Безусловная фильтрация сторонних IP • Whitelisting облачного сервиса • Управляемость DNS зоны • Устойчивость DNS
- 31. Pro.Tip *rawpost :POSTROUTING ACCEPT [15:1548] -A POSTROUTING -s 10.1.0.0/24 -o eth8 -j RAWSNAT --to-source 10.10.40.3/32 COMMIT # Completed on Mon May 20 04:47:30 2013 # Generated by iptables-save v1.4.16.3 on Mon May 20 04:47:30 2013 *raw :PREROUTING ACCEPT [28:2128] :OUTPUT ACCEPT [18:2056] -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 0 -j RAWDNAT --to-destination 10.1.0.1/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 1 -j RAWDNAT --to-destination 10.1.0.2/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 2 -j RAWDNAT --to-destination 10.1.0.3/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 3 -j RAWDNAT --to-destination 10.1.0.4/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 4 -j RAWDNAT --to-destination 10.1.0.5/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 5 -j RAWDNAT --to-destination 10.1.0.6/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 6 -j RAWDNAT --to-destination 10.1.0.7/32 -A PREROUTING -d 10.10.40.3/32 -m cpu --cpu 7 -j RAWDNAT --to-destination 10.1.0.8/32 COMMIT
- 34. Когда я пропаду из выдачи? 3-5 дней, в зависимости от популярности сайта
- 35. Как мне минимизировать риск исчезновения из выдачи? Отдавать 503 Вайтлистить роботов Яндекса по IP - Reverse DNS lookup - Если знаете, что такое ASN...
- 36. Что будет с моей рекламной кампанией? Поставьте Метрику Включите мониторинг в Директе
- 37. Как мне поскорей вернуться? http://help.yandex.ru/webmaster/indexingoptions/sitemap.xml http://webmaster.yandex.ru/addurl.xml
- 38. Не лежать больше 3-5 суток Отдавать 503 Вайтлистить роботов Яндекса (по IP) Поставить Метрику http://help.yandex.ru/webmaster/indexingoptions/sitemap.xml http://webmaster.yandex.ru/addurl.xml
- 39. DDoS – это не страшно
- 40. DDoS – это не страшно, если включить голову
Editor's Notes
- Сезонно и полностью следует циклу бизнес активности (обычно)
- Обратите внимание на средний размер ботнета
- Первых три пункта касаются всехи всегда. Так вчера это был заказчик из Вьетнама (головная боль)Не делайте глупостей при проектировании системы: картинки из базы пережимаемые на лету, сценарии считающиеся по 10+ секунд, состояния привязанные к TCP-сессии. Вам это не нужно.Поэтому при превентивных подключениях мы стараемся проводить нагрузочное тестирование – выявить слабые места и пороги производительности.Не держите DNS на этой-же локальной инфраструктуре.Дайте вашему техническому персоналу 1-2 часа времени для разработки краткосрочного и долгосрочного плана.В случае если вы работаете с роботизированным инструментарием – добавьтеизвестных вам роботов в белые списки.Включите поддержку TCP keepaliveчтобы уменьшить возможные задержки при работе с фильтром.
- Проконтролируйте результативность работы фильтров: pageviews/обьем и состав черного списка.
- Первые два пункта очевидно придется спросить у хостера/оператора. Кстати не удивляйтесь если хостер просто положит ваш /32 в Null.Невозможно что-то делать с неуправляемой системой. У вас конечно-же есть out-of-band IPMI/IPKVM на ваши «фронты»?Access.logимеет cмысл но ограниченно, запросы там оказываются только тогда когда они завершились. Убедитесь что это действительно атака.ПОЭТОМУ tcpdumpПакетов БУДЕТ много, поэтому ограничьте количество пакетов. Нам нужны все данные, поэтому не надо ограничивать размер пакета в дампе.Кстати, достаточно часто бывают интересные случаи с LowRateатаками при которых в frontend log пусто, но все тормозит.С такой ситуацией, например столкнулся Александр Коротков читавший вчера о индексах postgres. Не ленитесь, присылайте нам в коллекцию ссылки на такие дампы. По мере возможностей мы попытаемся помочь.РЕШИТЕ: есть-ли у вас в распоряжении достаточно пропускной полосы и вычислительных ресурсов чтобы противостоять самостоятельно или вам понадобиться помощь.Не паникуйте. Действуйте.