Download - Александр Лямин и Антон Карпов - Ddos-атаки
DDoS-атаки
DDoS-активность по дням
1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек0
20
40
60
80
100
120
140
160
20132012
Факты и Цифры
Пациенты 2012* 3Q 2013* процент роста 12-13
Магические услуги 132.5 339.3 156%Правительство 36.4 36.0 -1%Интернет-магазины 28.7 30.8 7%Купоны 23.7 49.0 107%Недвижимость 23.5 50.5 115%СМИ 22.5 22.7 1%Биржи и Forex 22.1 117.5 431%Инфо-услуги 21.0 26.0 24%Платежные системы 20.9 41.0 97%Игры и развлечения 19.2 22.6 18%Сайты-визитки 11.8 16.0 36%Банки 11.3 14.7 30%Туристические фирмы 11.1 30.1 170%Страховые компании 2.8 25.0 798%Общий итог 24.8 33.3 34%
Гео-распределение ботнетов
0.00%
1.00%
2.00%
3.00%
4.00%
5.00%
6.00%
7.00%
8.00%
9.00%
10.00%
VN INIR RUKZ IDPH THDE MXEG PEUA TRPK USCN BRIL GETW IQDZ GBEC JPAR VECO SG
ЧТО ДЕЛАТЬ?• Не делайте глупостей
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• (Желательно) Подготовьтесь
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)
ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список
подверженных сетевых сервисов
ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список подверженных
сетевых сервисов• Примите меры по нейтрализации атаки• Проконтролируйте результативность фильтров
Завесим и замерим?
Замерим и завесим!• Восстановите контроль• Bitrate• Packetrate• Access.log• tcpdump -n –s0 –c1000000 –w attack.dump
Вы против 100$Вы Ваши опции
• nginx
Вы против 100$Вы Ваши опции
• nginx• ipset
Вы против 100$Вы Ваши опции
• nginx• ipset• mod_security for nginx
Вы против 100$Вы Ваши опции
• nginx• ipset• mod_security for nginx• http://habrahabr.ru
Вы против 1000$
Вы против 1000$
• Хостеры
Вы против 1000$
• Хостеры• Вендоры
Вы против 1000$
• Хостеры• Вендоры• Облачные сервисы
Облачные сервисыЗарубежные Отечественные
• Kaspersky KDP• Qrator
• Prolexic• CloudFlare• Incapsula• Akamai
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Безопасность DNS серверов• Управляемость DNS зоны
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Управляемость DNS зоны
Важные аспекты при подключении• Конфиденциальность IP адреса
приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Управляемость DNS зоны• Устойчивость DNS
Pro.Tip*rawpost:POSTROUTING ACCEPT [15:1548] A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT to source 10.10.40.3/32COMMIT# Completed on Mon May 20 04:47:30 2013# Generated by iptables save v1.4.16.3 on Mon May 20 04:47:30 2013*raw:PREROUTING ACCEPT [28:2128]:OUTPUT ACCEPT [18:2056] A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT to destination 10.1.0.1/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT to destination 10.1.0.2/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT to destination 10.1.0.3/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT to destination 10.1.0.4/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT to destination 10.1.0.5/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT to destination 10.1.0.6/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT to destination 10.1.0.7/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT to destination 10.1.0.8/32COMMIT
Pro.Tip
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 160
500
1000
1500
2000
2500
3000
RSS
kPPS
Мой сайт недоступен
Когда я пропаду из выдачи?
3-5 дней, в зависимости от популярности сайта
Как мне минимизировать риск исчезновения из выдачи?
Отдавать 503Вайтлистить роботов Яндекса по IP
- Reverse DNS lookup- Если знаете, что такое ASN...
Что будет с моей рекламной кампанией?
Поставьте МетрикуВключите мониторинг в Директе
Как мне поскорей вернуться?
http://help.yandex.ru/webmaster/indexing-options/sitemap.xml http://webmaster.yandex.ru/addurl.xml
• Не лежать больше 3-5 суток• Отдавать 503• Вайтлистить роботов Яндекса (по IP)• Поставить Метрику
• http://help.yandex.ru/webmaster/indexing-options/sitemap.xml • http://webmaster.yandex.ru/addurl.xml
DDoS – это не страшно
DDoS – это не страшно,если включить голову