Upload
it61
View
166
Download
5
Embed Size (px)
Citation preview
ТЕНДЕНЦИИРАЗВИТИЯDDOS-АТАК:КЧЕМУНУЖНОБЫТЬГОТОВЫМ
РамильХантимировCEOStormWall
#backendmeetup 24.04.2016
Noads
ЗДЕСЬНЕТСТАТИСТИКИ
0
100
200
300
400
500
600
2012 2013 2014 2015
Пиковыйобъематаки,Gbps(поданнымArbor)
ТЕНДЕНЦИИ
Было:• Мощный, нопримитивныйфлуд• SpoofedSYN/ACK-flood• TCPreflection(SYN+ACK, RST)• UDP amplification
Стало:• Сингатурыпакетовнеотличимыотнастоящих
• Fullconnect+ spoofingи другиехитростиАтакующиеуправляютисходящимтрафиком
ПАКЕТНЫЙФЛУД HTTP-ФЛУД
Было:• Многоатакфильтруетсяпосигнатуре
• 95%атакфильтруютсяпроверкойcookie/JavaScript
• WordPressPingback
Стало:• Ботысfullbrowserstack• Атакующиерасширениядлябраузераподвидомполезных
• Ботнетыизмобильныхустройств
ЧТОДЕЛАТЬ? (1/3)
1.Подготовитьсякбыстромуподключениюзащиты- СрокжизниDNS-записей- Внешниерезервныекопии
2.ОптимизироватьОСподвысокуюнагрузку- Использоватьсвежийсофт- Увеличитьлимитыфайловойсистемы- Увеличитьобъемпамятидлясетевогостека- Увеличитьлимитытаблицполуоткрытыхиоткрытыхсоединений
- Уменьшитьтаймаутыconntrack- Оптимизацияпрерыванийсетевойкарты
ЧТОДЕЛАТЬ? (2/3)
3.Оптимизироватьвеб-серверподвысокуюнагрузку
- Оптимизироватьколичествопроцессоввебсервера(актуальнодляApache):должнобытьсоизмеримоколичествудоступнойпамяти
- Оптимизироватьприложениебазданных:количестводоступныхсоединений,количествопотоков,оптимальныйкеш
- Настроитькешированиединамикиистатики:обычноapc,memcached,varnish,nginx cache (желательноразместитьвОЗУ)
ЧТОДЕЛАТЬ? (3/3)
3.МинимизироватьвозможностиВамнапакостить- Закрытьлишниепорты- Отключитьненужныесервисы
4.Знатьбазовыесредстваобороны- анализлоговсистемыивеб-сервера (dmesg,tail–f/var/log/nginx/access.log)
- iptables/ipset (особенномодулиconnlimit,hashlimit,recent,statistic)
- fail2ban- лимитывеб-сервера- модулиGeoIP,testcookieдляnginxhttps://habrahabr.ru/post/139931/
- SYNPROXYhttp://red.ht/1NXLaVm
ПРИМЕРЫБЛОКИРОВКИАТАКИПОСИГНАТУРЕ
• Блокировкаhping3 (размерокнаTCP512поумолчанию)iptables -t raw -A PREROUTING -d 10.10.10.10 -m u32 --u32 "30&0xFF=0x2 && 32&0xFFFF=0x0200" -j DROP
• ЛимитдляSYN-floodc1IPiptables -t raw -A PREROUTING -i eth0 -d 10.10.10.10 –-syn -m hashlimit --hashlimit-above 100/sec --hashlimit-mode srcip --hashlimit-name oneip –-hashlimit-htable-size 2097152 --hashlimit-srcmask 32 -j DROP
• Блокировка вnginx пустогоuser-agent илиuser-agent “PHP”if ($http_user_agent ~* ^($|PHP)){
return 444;}