DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
2 likes2,982 views
Автор: Рамиль Хантимиров, CEO StormWall.pro Конференция: Barcamp 6 Krasnodar & South of Russia Где и когда: г. Краснодар, 11 апреля 2015 г. Отчет о мероприятии смотрите в нашем блоге https://stormwall.pro/blog
More Related Content
What's hot (20)
Similar to DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ (20)
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
- 1. DDOS-‐АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ Рамиль Хантимиров CEO StormWall
- 2. ЧЕМ МЫ ЗАНИМАЕМСЯ? ЗАЩИТА ОТ DDOS-АТАК ЗАЩИЩЕННЫЕ VDS ХОСТИНГ С DDOS-ЗАЩИТОЙ СЕРВЕРЫ С ЗАЩИТОЙ Быстро остановим любой паразитный трафик на пути к Вашему проекту Виртуальные машины на платформе VMware vSphere, позволяющие найти компромисс между стоимостью и производительностью Мощные серверы, настроенные индивидуально для снижения последствий DDoS-‐атак на Ваш Интернет-‐проект Устойчивая к DDoS-‐атакам и высоким нагрузкам платформа для размещения Вашего сайта
- 3. ЧТО ТАКОЕ DDOS-‐АТАКА? • DDoS-‐атака – распределенная атака на сайт (либо сервер), направленная на исчерпание его ресурсов, вследствие чего происходит отказ в обслуживании клиентов • Недоступность сайта/сервиса часто ведет к серьезным финансовым и репутационным потерям • Цена атаки начинается от $20/сутки, а потери могут измеряться огромными суммами
- 4. КТО ПОДВЕРЖЕН РИСКУ? САЙТЫ КОМПАНИЙ ИНТЕРНЕТ-‐МАГАЗИНЫ ADULT И ПРОЧЕЕ ИНТЕРНЕТ-‐СЕРВИСЫ ОНЛАЙН ИГРЫ ПОЛИТИЧЕСКИЕ САЙТЫ
- 5. КТО ПОДВЕРЖЕН РИСКУ? САЙТЫ КОМПАНИЙ ИНТЕРНЕТ-‐МАГАЗИНЫ ADULT И ПРОЧЕЕ ИНТЕРНЕТ-‐СЕРВИСЫ ОНЛАЙН ИГРЫ ПОЛИТИЧЕСКИЕ САЙТЫ
- 6. КТО ПОДВЕРЖЕН РИСКУ? САЙТЫ КОМПАНИЙ ИНТЕРНЕТ-‐МАГАЗИНЫ ADULT И ПРОЧЕЕ ИНТЕРНЕТ-‐СЕРВИСЫ ОНЛАЙН ИГРЫ ПОЛИТИЧЕСКИЕ САЙТЫ ВСЕ
- 7. КОМУ ЭТО ВЫГОДНО? Конкурентам Недобросовестные участники Вашей сферы бизнеса с удовольствием лишат Вас части клиентов и, соответственно, прибыли Мошенникам Мошенники часто организуют атаки на сайт с целью шантажа или обмана пользователей (отправка SMS, распространение вредоносного ПО и пр.) Недоброжелателям Нередко личная неприязнь становится причиной, по которой Ваш сайт может стать объектом атаки Хулиганам В настоящее время всё больше человек интересуются DDoS-‐атаками, и все хотят попробовать себя в этом деле. Поэтому многие начинающие злоумышленники осуществляют DDoS-‐атаки ради развлечения
- 8. ПАКЕТНЫЙ ФЛУД (L3-‐L5) HTTP-‐ФЛУД (L7) TCP-‐флуд SYN-‐флуд ACK-‐флуд TCP reflection и др. UDP-‐флуд DNS-‐амплификация NTP-‐амплификация SSDP-‐амплификация и др. Атака GET/POST запросами Атака медленными запросами (SlowLoris) Атака на SSL WordPress Pingback Переполнение сервера Log-‐файламиGRE-‐флуд КЛАССИФИКАЦИЯ DDOS-‐АТАК ICMP-‐флуд
- 9. На сервере • канал, знания Программно • канал, сервер(ы) для фильтрации, знания Аппаратно • канал, оборудование (от 1,000,000р), знания (от 100,000р) Нет знаний и понимания процесса защиты Нет времени на поиски самостоятельного решения Нет необходимых каналов и оборудования Сервис критичен, а круглосуточной поддержки нет СПОСОБЫ ЗАЩИТЫ ОТ DDOS-‐АТАКИ САМОСТОЯТЕЛЬНО НЕ САМОСТОЯТЕЛЬНО
- 10. ПОДГОТОВКА СИСТЕМЫ 1. Укрепить сетевой стек (векторы прерываний, sysctl) • оптимизировать количество процессов веб сервера (актуально для Apache): должно быть соизмеримо количеству доступной памяти • оптимизировать приложение баз данных: количество доступных соединений, количество потоков, оптимальный кеш • настроить кеширование динамики и статики: обычно apc, memcached, varnish, nginx cache (желательно разместить в ОЗУ) 2. Закрыть все лишнее (порты, сервисы) 3. Оптимизировать затраты системных ресурсов • использовать свежее ПО! • распределить векторы прерываний сетевой карты между ядрами CPU • увеличить лимиты файловой системы • увеличить объем памяти для сетевого стека • увеличить лимиты таблиц полуоткрытых и открытых соединений • уменьшить таймауты conntrack
- 11. БАЗОВЫЕ МЕТОДЫ БОРЬБЫ С АТАКОЙ 1. Понять, в какой ресурс упирается сервер (htop, atop, vnstat, netstat) 2. Понять сигнатуру атаки: • tail -‐f /var/log/nginx/access.log • tcpdump -‐nn -‐vv -‐i eth0 -‐с 100 3. Настроить фильтрацию определенного типа атаки (правила iptables, nginx, и т.д.) 4. fail2ban 5. Модуль testcookie для nginx
- 12. БАЗОВЫЕ МЕТОДЫ БОРЬБЫ С АТАКОЙ: ПРИМЕРЫ БЛОКИРУЮЩИХ ПРАВИЛ • Блокировка hping3 (размер окна TCP 512 по умолчанию) iptables -t raw -A PREROUTING -d 10.10.10.10 -m u32 --u32 "30&0xFF=0x2 && 32&0xFFFF=0x0200" -j DROP • Лимит для SYN-‐flood c 1 IP iptables -t raw -A PREROUTING -i eth0 -d 10.10.10.10 -m u32 - -u32 "6&0xFF=0x6 && 30&0xFF=0x2" -m hashlimit --hashlimit- above 100/sec --hashlimit-mode srcip --hashlimit-name oneip – -hashlimit-htable-size 2097152 --hashlimit-srcmask 32 -j DROP • Блокировка в nginx пустого user-‐agent или user-‐agent “PHP” if ($http_user_agent ~* ^($|PHP)){ return 444; }
- 13. КОГДА МОЖНО ЗАЩИТИТЬСЯ САМОСТОЯТЕЛЬНО? • Атака меньше полосы сервера • Атака легко отличима от легитимного трафика • Все методы не универсальны, требуют постоянного внимания
- 14. ПРИМЕРЫ РЕАЛЬНЫХ АТАК: L3 • Различные комбинации TCP-‐ флуда • Атакующие меняли атаку, пытаясь найти «дыру» в системе защиты • Мощность атаки – до 12,7 Mpps
- 15. ПРИМЕРЫ РЕАЛЬНЫХ АТАК: HTTP • До 10,000 запросов в секунду • Ботнет из мобильных устройств на платформе Android
- 16. КОГДА ВСЕ ЛЕЖИТ… ИЛИ КАК ПРАВИЛЬНО ПОДКЛЮЧИТЬ ЗАЩИТУ Важные моменты: • Какой TTL у А-‐записи в DNS? • Желательно сменить IP-‐адрес, а лучше -‐ локацию • Если нельзя сменить -‐ заблокировать лишний трафик (помним про TTL) • Отправка почты через SMTP Частные случаи: • Загрузка файлов на сервер не через фильтр • В коде есть ссылки на прямой IP • А-‐запись для веба сменили, а для MX (ftp, etc.) – нет
- 17. ОСТАЛИСЬ ВОПРОСЫ? Mail: ramil@stormwall.pro Skype: ramilkh Web: https://stormwall.pro