ТЕНДЕНЦИИРАЗВИТИЯDDOS-АТАК:КЧЕМУНУЖНОБЫТЬГОТОВЫМ

РамильХантимировCEOStormWall

#backendmeetup 24.04.2016

Noads

ЗДЕСЬНЕТСТАТИСТИКИ

0

100

200

300

400

500

600

2012 2013 2014 2015

Пиковыйобъематаки,Gbps(поданнымArbor)

ТЕНДЕНЦИИ

Было:• Мощный, нопримитивныйфлуд• SpoofedSYN/ACK-flood• TCPreflection(SYN+ACK, RST)• UDP amplification

Стало:• Сингатурыпакетовнеотличимыотнастоящих

• Fullconnect+ spoofingи другиехитростиАтакующиеуправляютисходящимтрафиком

ПАКЕТНЫЙФЛУД HTTP-ФЛУД

Было:• Многоатакфильтруетсяпосигнатуре

• 95%атакфильтруютсяпроверкойcookie/JavaScript

• WordPressPingback

Стало:• Ботысfullbrowserstack• Атакующиерасширениядлябраузераподвидомполезных

• Ботнетыизмобильныхустройств

ЧТОДЕЛАТЬ? (1/3)

1.Подготовитьсякбыстромуподключениюзащиты- СрокжизниDNS-записей- Внешниерезервныекопии

2.ОптимизироватьОСподвысокуюнагрузку- Использоватьсвежийсофт- Увеличитьлимитыфайловойсистемы- Увеличитьобъемпамятидлясетевогостека- Увеличитьлимитытаблицполуоткрытыхиоткрытыхсоединений

- Уменьшитьтаймаутыconntrack- Оптимизацияпрерыванийсетевойкарты

ЧТОДЕЛАТЬ? (2/3)

3.Оптимизироватьвеб-серверподвысокуюнагрузку

- Оптимизироватьколичествопроцессоввебсервера(актуальнодляApache):должнобытьсоизмеримоколичествудоступнойпамяти

- Оптимизироватьприложениебазданных:количестводоступныхсоединений,количествопотоков,оптимальныйкеш

- Настроитькешированиединамикиистатики:обычноapc,memcached,varnish,nginx cache (желательноразместитьвОЗУ)

ЧТОДЕЛАТЬ? (3/3)

3.МинимизироватьвозможностиВамнапакостить- Закрытьлишниепорты- Отключитьненужныесервисы

4.Знатьбазовыесредстваобороны- анализлоговсистемыивеб-сервера (dmesg,tail–f/var/log/nginx/access.log)

- iptables/ipset (особенномодулиconnlimit,hashlimit,recent,statistic)

- fail2ban- лимитывеб-сервера- модулиGeoIP,testcookieдляnginxhttps://habrahabr.ru/post/139931/

- SYNPROXYhttp://red.ht/1NXLaVm

ПРИМЕРЫБЛОКИРОВКИАТАКИПОСИГНАТУРЕ

• Блокировкаhping3 (размерокнаTCP512поумолчанию)iptables -t raw -A PREROUTING -d 10.10.10.10 -m u32 --u32 "30&0xFF=0x2 && 32&0xFFFF=0x0200" -j DROP

• ЛимитдляSYN-floodc1IPiptables -t raw -A PREROUTING -i eth0 -d 10.10.10.10 –-syn -m hashlimit --hashlimit-above 100/sec --hashlimit-mode srcip --hashlimit-name oneip –-hashlimit-htable-size 2097152 --hashlimit-srcmask 32 -j DROP

• Блокировка вnginx пустогоuser-agent илиuser-agent “PHP”if ($http_user_agent ~* ^($|PHP)){

return 444;}

ОСТАЛИСЬВОПРОСЫ?

Mail:ramil@stormwall.pro

Skype:ramilkh

Web:https://stormwall.pro