SlideShare ist ein Scribd-Unternehmen logo

DDOS mitigation software solutions

Транслируем.бел
Транслируем.бел
1 von 30
Downloaden Sie, um offline zu lesen
DDOS MITIGATION SOFTWARE SOLUTIONS Организация программной защиты от DDoS-атак Олег Бойцев, mega-admin.com LVEE 2011
Сравнительная оценка стоимости IT-угроз
Что такое DDoS? DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании» — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.
Виды DDoS-атак SYN-флуд - при данном виде атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом сервере через некоторое время исчерпывается количество свободных сокетов и сервер перестаёт отвечать.  HTTP-флуд – в случае HTTP-флуда в рамках уже установленного TCP-соединения к серверу происходят множественные обращения, как простейшее GET /, так и более сложные наподобие GET /index.php? search=<gooooooooooogle>, приводящие, как правило, к исчерпанию системных ресурсов.  UDP-флуд - этот тип флуда предназначен прежде всего для затопления канала связи.  ICMP-флуд - то же, но с помощью ICMP-пакетов. Другие виды DDoS (Distributed Reflection Attack, DNS Amplification Attack, Smurf, Slowloris, JavaScript DDoS)
SYN-флуд 
HTTP-флуд
Прогрузка апачем процессора при сильном HTTP-флуде
UDP-флуд
UDP-флуд Counter-Strike сервера 21:57:03.185076 IP 134.159.131.65.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185080 IP 78.151.151.63.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185085 IP 184.36.201.120.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185089 IP 31.175.236.134.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185094 IP 16.101.63.130.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185098 IP 120.131.52.85.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185103 IP 78.32.120.249.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185107 IP 206.137.242.16.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185112 IP 78.32.251.75.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185121 IP 219.63.200.27.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185125 IP 145.130.51.134.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185130 IP 212.3.85.36.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185139 IP 31.174.164.168.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185229 IP 178.35.73.139.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185245 IP 33.194.145.131.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185261 IP 35.122.21.16.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185277 IP 201.61.212.20.27005 > 212.67.2.74.27016: UDP, length 1
Инструменты для проведения DDoS-атак Следующий материал приводится исключительно в образовательных целях
Панель управления Black Energy Botnet
Команды управления ботнетом
МОДЕЛЬ МНОГОУРОВНЕВОЙ ЗАЩИТЫ ОТ DDOS-АТАК Firewall Linux Скрипты NGINX Apache kernel Олег Бойцев, mega-admin.com LVEE 2011
IPTABLES Устанавливаем лимит на количество новых соединений с одного IP в единицу времени iptables -A INPUT -p tcp -m hashlimit --hashlimit-upto 1/sec -- hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-name HTTPD_DOS -m tcp --dport 80 -m state --state NEW -j ACCEPT Режем ботов с “неправильным” UserAgent iptables -I INPUT 1 -p tcp --dport 80 -m string --string "America Online Browser" --algo kmp -j DROP Олег Бойцев, mega-admin.com LVEE 2011
IPTABLES Режем входящий icmp iptables -I INPUT -p icmp -j DROP --icmp-type 8 Ограничиваем udp-флуд iptables -I INPUT -p udp --dport 53 -j DROP -m connlimit --connlimit-above 1 Олег Бойцев, mega-admin.com LVEE 2011
TCP OPENING Олег Бойцев, mega-admin.com LVEE 2011
TCP CLOSING Олег Бойцев, mega-admin.com LVEE 2011
LINUX KERNEL net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 net.ipv4.tcp_fin_timeout = 7 net.ipv4.netfilter.ip_conntrack_max = 65536 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30 *Подробно см. приложение Олег Бойцев, mega-admin.com LVEE 2011
БАН-СКРИПТ #!/bin/sh counter=1 reqno=0 for i in `netstat -nap|grep 'SYN_RECV'|awk '{print $5}'|cut -d ':' -f 1| sort|uniq -c|sort -gr|head` do if [ `expr $counter % 2` -ne 0 ] then reqno=$i else if [ $reqno -gt 4 ] then route add $i reject fi fi counter=`expr $counter + 1` done Олег Бойцев, mega-admin.com LVEE 2011
NGINX Общий тюнинг # Увеличиваем максимальное количество используемых файлов worker_rlimit_nofile 80000; events { # Увеличиваем максимальное количество возможных соединений worker_connections 65536; } http { # Отключаем таймаут на закрытие keep-alive соединений keepalive_timeout 0; # Не отдаем версию nginx в заголовке ответа server_tokens off; # Сбрасываем полузакрытое соединение reset_timedout_connection on; Олег Бойцев, mega-admin.com LVEE 2011
NGINX Задаем лимит на количество одновременных соединений с одного IP-адреса: http { include /usr/local/etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; server_tokens off; log_format IP '$remote_addr'; reset_timedout_connection on; limit_zone one $binary_remote_addr 10m; … location / { limit_conn one 3; … Олег Бойцев, mega-admin.com LVEE 2011
APACHE Общий тюнинг # Уменьшаем таймауты на обработку соединений Timeout 9 (default value is 300!) KeepAliveTimeout 9 (default value is 15) Олег Бойцев, mega-admin.com LVEE 2011
APACHE Cтавим mod_evasive - Apache модуль для организации защиты от DDoS-атак: cd /usr/local/src/ wget http://www.zdziarski.com/blog/wp- content/uploads/2010/02/mod_evasive_1.10.1.tar.gz tar -xzvf mod_evasive_1.10.1.tar.gz cd mod_evasive/ apxs2 -c -i -a mod_evasive20.c cd /etc/apache2/mods-available/ nano evasive20.load LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so nano evasive20.conf a2enmod apachectl configtest && /etc/init.d/apache2 restart Олег Бойцев, mega-admin.com LVEE 2011
APACHE Рабочий пример конфигурации mod-evasive: <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 100 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 5 DOSWhiteList 8.8.8.8 </IfModule> Олег Бойцев, mega-admin.com LVEE 2011
APACHE Параметры mod_evasive DOSHashTableSize is the size of the hash table that is created for the IP addresses monitored. DOSPageCount is the number of pages allowed to be loaded for the DOSPageInterval setting. In our case, 2 pages per 1 second before the IP gets flagged. DOSSiteCount is the number of objects (ie: images, style sheets, javascripts, SSI, etc) allowed to be accessed in the DOSSiteInterval second. In our case, 50 objects per 1 second. DOSPageInterval is the number of seconds the intervals are set for DOSPageCount DOSSiteInterval is the number of seconds the intervals are set for DOSSiteCount DOSBlockingPeriod is the number of seconds the IP address will recieve the Error 403 (Forbidden) page when they have been flagged. Олег Бойцев, mega-admin.com LVEE 2011
Спасибо за внимание! Олег Бойцев, mega-admin.com LVEE 2011
ЛИТЕРАТУРА http://www.xakep.ru/post/16071/default.asp http://forum.antichat.ru/showthread.php?t=10918 http://ha.ckers.org/blog/20090617/slowloris-http-dos/ http://www.xakep.ru/post/49752/default.asp?print=true http://sysoev.ru/nginx/docs/http/ngx_http_limit_zone_module.html http://httpd.apache.org/docs/2.3/misc/security_tips.html http://www.watchguard.com/infocenter/editorial/41649.asp
Приложение Список полезных команд #Общее количество соединений cat /proc/net/ip_conntrack | wc –l #Количество SYN_RECV сокетов netstat -an | grep SYN_RECV | wc –l #С каких IP сколько запросов: netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more #Количество апаче-процессов в системе ps wax | grep apache | wc -l LVEE 2011
Приложение AntiDDoS kernel tuning with sysctl* net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_fin_timeout = 7 net.ipv4.netfilter.ip_conntrack_max = 65536 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30 net.core.rmem_max = 996777216 net.core.wmem_max = 996777216 net.ipv4.tcp_rmem = 4096 87380 4194304 net.ipv4.tcp_mem= 786432 1048576 996777216 net.ipv4.tcp_wmem = 4096 87380 4194304 net.ipv4.tcp_max_orphans = 2255360 net.core.netdev_max_backlog = 10000 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 494967295 kernel.shmall = 268435456 net.core.somaxconn= 16096 net.ipv4.tcp_sack = 0 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_window_scaling = 0 *Приведенные параметры могут быть изменены целесообразно силе DDoS LVEE 2011
DDOS mitigation software solutions

Empfohlen

Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Управление большим количеством физических серверов, Александр Берсенев, Инст...
Управление большим количеством физических серверов, Александр Берсенев, Инст... Управление большим количеством физических серверов, Александр Берсенев, Инст...
Управление большим количеством физических серверов, Александр Берсенев, Инст...it-people
 
Net2
Net2Net2
Net2Konstantin Piyavking
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасностьYandex
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Алексей Лапаев - Протоколы межкомпонентного взаимодействия
Алексей Лапаев - Протоколы межкомпонентного взаимодействияАлексей Лапаев - Протоколы межкомпонентного взаимодействия
Алексей Лапаев - Протоколы межкомпонентного взаимодействияYandex
 
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Lenvendo
 
Повышаем отказоустойчивость без дорогих решений
Повышаем отказоустойчивость без дорогих решенийПовышаем отказоустойчивость без дорогих решений
Повышаем отказоустойчивость без дорогих решенийLenvendo
 

Empfohlen

Get inside stage2 new
Get inside stage2 newGet inside stage2 new
Get inside stage2 newInfoTeCS
 
Управление большим количеством физических серверов, Александр Берсенев, Инст...
Управление большим количеством физических серверов, Александр Берсенев, Инст... Управление большим количеством физических серверов, Александр Берсенев, Инст...
Управление большим количеством физических серверов, Александр Берсенев, Инст...it-people
 
Net2
Net2Net2
Net2Konstantin Piyavking
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасностьYandex
 
Вячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSВячеслав Бирюков - HTTP и HTTPS
Вячеслав Бирюков - HTTP и HTTPSYandex
 
Алексей Лапаев - Протоколы межкомпонентного взаимодействия
Алексей Лапаев - Протоколы межкомпонентного взаимодействияАлексей Лапаев - Протоколы межкомпонентного взаимодействия
Алексей Лапаев - Протоколы межкомпонентного взаимодействияYandex
 
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...
Конференция Highload++ 2014, "Отказоустойчивый микрокластер своими руками", "...Lenvendo
 
Повышаем отказоустойчивость без дорогих решений
Повышаем отказоустойчивость без дорогих решенийПовышаем отказоустойчивость без дорогих решений
Повышаем отказоустойчивость без дорогих решенийLenvendo
 
Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017S-Terra CSP
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
Yandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоYandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоAvitoTech
 
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Ontico
 
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...rit2011
 
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (..."Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...AvitoTech
 
Резервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условияхРезервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условияхSveta Smirnova
 
WWW
WWWWWW
WWWЕвгений Евсеев
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Антон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасностиАнтон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасностиYandex
 
Installcd Kyivbsd09
Installcd Kyivbsd09Installcd Kyivbsd09
Installcd Kyivbsd09Den Krizhanovskiy
 
The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/defcon_kz
 
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)Ontico
 
Сокеты
СокетыСокеты
Сокетыlectureswww lectureswww
 
Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Fwdays
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
Nginx Igor Sysoev
Nginx Igor SysoevNginx Igor Sysoev
Nginx Igor SysoevMedia Gorod
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
 
Права на мобильный контент в РБ
Права на мобильный контент в РБПрава на мобильный контент в РБ
Права на мобильный контент в РБТранслируем.бел
 
Streamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективыStreamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективыТранслируем.бел
 

Weitere ähnliche Inhalte

Was ist angesagt?

Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стекDmitry Samsonov
 
Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017S-Terra CSP
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковYandex
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стекDmitry Samsonov
 
Yandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоYandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоAvitoTech
 
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Ontico
 
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...rit2011
 
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (..."Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...AvitoTech
 
Резервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условияхРезервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условияхSveta Smirnova
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколыRoman Brovko
 
Антон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасностиАнтон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасностиYandex
 
The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/defcon_kz
 
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)Ontico
 
Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Fwdays
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
Nginx Igor Sysoev
Nginx Igor SysoevNginx Igor Sysoev
Nginx Igor SysoevMedia Gorod
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
 

Was ist angesagt? (20)

Технополис: Сетевой стек
Технополис: Сетевой стекТехнополис: Сетевой стек
Технополис: Сетевой стек
 
Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017
 
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр ВолковОпенсорс-инструменты на страже безопасности бэкенда — Петр Волков
Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков
 
20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек20201021 Технополис: Сетевой стек
20201021 Технополис: Сетевой стек
 
Yandex Tank - Арсений Фомченко
Yandex Tank - Арсений ФомченкоYandex Tank - Арсений Фомченко
Yandex Tank - Арсений Фомченко
 
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)Что нового в nginx? / Максим Дунин (Nginx, Inc.)
Что нового в nginx? / Максим Дунин (Nginx, Inc.)
 
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
сотни серверов, десятки компонент. автоматизация раскладки и конфигурирования...
 
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (..."Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
"Отказоустойчивый standby PostgreSQL (HAProxy + PgBouncer)" Виктор Ягофаров (...
 
Резервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условияхРезервное копирование MySQL в экстремальных условиях
Резервное копирование MySQL в экстремальных условиях
 
WWW
WWWWWW
WWW
 
05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы05 - Web-технологии. Сетевые протоколы
05 - Web-технологии. Сетевые протоколы
 
Антон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасностиАнтон Карпов - Обзорная лекция по безопасности
Антон Карпов - Обзорная лекция по безопасности
 
Installcd Kyivbsd09
Installcd Kyivbsd09Installcd Kyivbsd09
Installcd Kyivbsd09
 
The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/The Atomic bomb for kiddies /exploring NSA exploits/
The Atomic bomb for kiddies /exploring NSA exploits/
 
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
Оптимизации поисковой выдачи Яндекса / Иван Хватов, Сергей Ляджин (Яндекс)
 
Сокеты
СокетыСокеты
Сокеты
 
Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...Dmitry Menshikov "Release after the year of development: fierce debug to the ...
Dmitry Menshikov "Release after the year of development: fierce debug to the ...
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
Nginx Igor Sysoev
Nginx Igor SysoevNginx Igor Sysoev
Nginx Igor Sysoev
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)
 

Andere mochten auch

Права на мобильный контент в РБ
Права на мобильный контент в РБПрава на мобильный контент в РБ
Права на мобильный контент в РБТранслируем.бел
 
Streamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективыStreamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективыТранслируем.бел
 
Docentencongres Geschiedenis 2014
Docentencongres Geschiedenis 2014Docentencongres Geschiedenis 2014
Docentencongres Geschiedenis 2014Remco Bron
 
Blogging To Create A More Engaged Workforce
Blogging To Create A More Engaged WorkforceBlogging To Create A More Engaged Workforce
Blogging To Create A More Engaged WorkforceRichard Hare
 
NewMediaBrains Social Media Rollercoaster
NewMediaBrains Social Media RollercoasterNewMediaBrains Social Media Rollercoaster
NewMediaBrains Social Media RollercoasterRemco Bron
 
MongoDB dla administratora
MongoDB dla administratora MongoDB dla administratora
MongoDB dla administratora 3camp
 
Heyah zbierz sie z nami na zwierzaki
Heyah zbierz sie z nami na zwierzakiHeyah zbierz sie z nami na zwierzaki
Heyah zbierz sie z nami na zwierzaki3camp
 

Andere mochten auch (8)

Права на мобильный контент в РБ
Права на мобильный контент в РБПрава на мобильный контент в РБ
Права на мобильный контент в РБ
 
Streamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективыStreamline: мобильный маркетинг в РБ. Проблемы и перспективы
Streamline: мобильный маркетинг в РБ. Проблемы и перспективы
 
Fork? merge!
Fork? merge!Fork? merge!
Fork? merge!
 
Docentencongres Geschiedenis 2014
Docentencongres Geschiedenis 2014Docentencongres Geschiedenis 2014
Docentencongres Geschiedenis 2014
 
Blogging To Create A More Engaged Workforce
Blogging To Create A More Engaged WorkforceBlogging To Create A More Engaged Workforce
Blogging To Create A More Engaged Workforce
 
NewMediaBrains Social Media Rollercoaster
NewMediaBrains Social Media RollercoasterNewMediaBrains Social Media Rollercoaster
NewMediaBrains Social Media Rollercoaster
 
MongoDB dla administratora
MongoDB dla administratora MongoDB dla administratora
MongoDB dla administratora
 
Heyah zbierz sie z nami na zwierzaki
Heyah zbierz sie z nami na zwierzakiHeyah zbierz sie z nami na zwierzaki
Heyah zbierz sie z nami na zwierzaki
 

Ähnlich wie DDOS mitigation software solutions

Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиCisco Russia
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеbeched
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийsnowytoxa
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализацияYandex
 
Процесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciПроцесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciАлександр Сигачев
 
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...ZFConf Conference
 
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Ontico
 
Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)Alexey Kachayev
 
Ddоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминDdоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминHighLoad Lab.
 
DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюHLL
 
Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Ontico
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1rit2011
 
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
 
DDоS практическое руководство к выживанию (Александр Лямин)
DDоS практическое руководство к выживанию (Александр Лямин)DDоS практическое руководство к выживанию (Александр Лямин)
DDоS практическое руководство к выживанию (Александр Лямин)Ontico
 
Эффективное программирование на NodeJS
Эффективное программирование на NodeJSЭффективное программирование на NodeJS
Эффективное программирование на NodeJSYura Bogdanov
 
HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3Ivan Agarkov
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusПрограммируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusCisco Russia
 

Ähnlich wie DDOS mitigation software solutions (20)

Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязиОсновные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
 
Пост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновениеПост-эксплуатация веб-приложений в тестах на проникновение
Пост-эксплуатация веб-приложений в тестах на проникновение
 
еще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложенийеще один недостаток современных клиент серверных приложений
еще один недостаток современных клиент серверных приложений
 
Другая виртуализация
Другая виртуализацияДругая виртуализация
Другая виртуализация
 
176023
176023176023
176023
 
Процесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ciПроцесс разработки и тестирования с Docker + gitlab ci
Процесс разработки и тестирования с Docker + gitlab ci
 
Docker 1.9
Docker 1.9Docker 1.9
Docker 1.9
 
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...
ZFConf 2011: Воюем за ресурсы: Повышение производительности Zend Framework пр...
 
D do s survival guide
D do s survival guideD do s survival guide
D do s survival guide
 
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)Движение по хрупкому дну / Сергей Караткевич (servers.ru)
Движение по хрупкому дну / Сергей Караткевич (servers.ru)
 
Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)Воюем за ресурсы (ZFConf2011)
Воюем за ресурсы (ZFConf2011)
 
Ddоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.ЛяминDdоs практическое руководство к выживанию А.Лямин
Ddоs практическое руководство к выживанию А.Лямин
 
DDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживаниюDDoS: Практическое руководство к выживанию
DDoS: Практическое руководство к выживанию
 
Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)Компиляция скриптов PHP (Алексей Романенко)
Компиляция скриптов PHP (Алексей Романенко)
 
мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1мои модули и патчи для Nginx. максим дунин. зал 1
мои модули и патчи для Nginx. максим дунин. зал 1
 
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)
 
DDоS практическое руководство к выживанию (Александр Лямин)
DDоS практическое руководство к выживанию (Александр Лямин)DDоS практическое руководство к выживанию (Александр Лямин)
DDоS практическое руководство к выживанию (Александр Лямин)
 
Эффективное программирование на NodeJS
Эффективное программирование на NodeJSЭффективное программирование на NodeJS
Эффективное программирование на NodeJS
 
HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3HighLoad++ 2019: iptables + consul = :3
HighLoad++ 2019: iptables + consul = :3
 
Программируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco NexusПрограммируемость коммутаторов для ЦОД Cisco Nexus
Программируемость коммутаторов для ЦОД Cisco Nexus
 

Mehr von Транслируем.бел

Руководство по видео, трансляциям и премьерам (Youtube 2020)
Руководство по видео, трансляциям и премьерам (Youtube 2020)Руководство по видео, трансляциям и премьерам (Youtube 2020)
Руководство по видео, трансляциям и премьерам (Youtube 2020)Транслируем.бел
 
Корпоративный новый год онлайн
Корпоративный новый год онлайнКорпоративный новый год онлайн
Корпоративный новый год онлайнТранслируем.бел
 
Руководство для малого и среднего бизнеса по использованию цифровых решений
Руководство для малого и среднего бизнеса по использованию цифровых решенийРуководство для малого и среднего бизнеса по использованию цифровых решений
Руководство для малого и среднего бизнеса по использованию цифровых решенийТранслируем.бел
 
Онлайн-трансляции в соцсетях
Онлайн-трансляции в соцсетяхОнлайн-трансляции в соцсетях
Онлайн-трансляции в соцсетяхТранслируем.бел
 
Как организовать трансляцию в Facebook
Как организовать трансляцию в FacebookКак организовать трансляцию в Facebook
Как организовать трансляцию в FacebookТранслируем.бел
 
Что сделать, чтобы сто раз все не переделывать
Что сделать, чтобы сто раз все не переделыватьЧто сделать, чтобы сто раз все не переделывать
Что сделать, чтобы сто раз все не переделыватьТранслируем.бел
 
Когда сказать нет. Арсений Кравченко
Когда сказать нет. Арсений КравченкоКогда сказать нет. Арсений Кравченко
Когда сказать нет. Арсений КравченкоТранслируем.бел
 
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособие
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособиеSMM учебник. Как продвигать банк в социальных сетях. Наглядное пособие
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособиеТранслируем.бел
 
методы монетизации интернет проектов
методы монетизации интернет проектовметоды монетизации интернет проектов
методы монетизации интернет проектовТранслируем.бел
 

Mehr von Транслируем.бел (20)

Медицинские трансляции
Медицинские трансляцииМедицинские трансляции
Медицинские трансляции
 
Vinteo
VinteoVinteo
Vinteo
 
Руководство по видео, трансляциям и премьерам (Youtube 2020)
Руководство по видео, трансляциям и премьерам (Youtube 2020)Руководство по видео, трансляциям и премьерам (Youtube 2020)
Руководство по видео, трансляциям и премьерам (Youtube 2020)
 
Корпоративный новый год онлайн
Корпоративный новый год онлайнКорпоративный новый год онлайн
Корпоративный новый год онлайн
 
Unofficial guide to vmix by streamgeeks
Unofficial guide to vmix by streamgeeksUnofficial guide to vmix by streamgeeks
Unofficial guide to vmix by streamgeeks
 
Руководство для малого и среднего бизнеса по использованию цифровых решений
Руководство для малого и среднего бизнеса по использованию цифровых решенийРуководство для малого и среднего бизнеса по использованию цифровых решений
Руководство для малого и среднего бизнеса по использованию цифровых решений
 
Sennheiser ew100 g2
Sennheiser ew100 g2Sennheiser ew100 g2
Sennheiser ew100 g2
 
Sony mcs 8m
Sony mcs 8mSony mcs 8m
Sony mcs 8m
 
Сравнение поколений Y и Z
Сравнение поколений Y и ZСравнение поколений Y и Z
Сравнение поколений Y и Z
 
Онлайн-трансляции в соцсетях
Онлайн-трансляции в соцсетяхОнлайн-трансляции в соцсетях
Онлайн-трансляции в соцсетях
 
Как организовать трансляцию в Facebook
Как организовать трансляцию в FacebookКак организовать трансляцию в Facebook
Как организовать трансляцию в Facebook
 
The ultimate guide to facebook live for your event
The ultimate guide to facebook live for your eventThe ultimate guide to facebook live for your event
The ultimate guide to facebook live for your event
 
Guide to facebook live
Guide to facebook liveGuide to facebook live
Guide to facebook live
 
Comdi player
Comdi playerComdi player
Comdi player
 
Что сделать, чтобы сто раз все не переделывать
Что сделать, чтобы сто раз все не переделыватьЧто сделать, чтобы сто раз все не переделывать
Что сделать, чтобы сто раз все не переделывать
 
Когда сказать нет. Арсений Кравченко
Когда сказать нет. Арсений КравченкоКогда сказать нет. Арсений Кравченко
Когда сказать нет. Арсений Кравченко
 
Marketing Essentials for Startup Teams
Marketing Essentials for Startup TeamsMarketing Essentials for Startup Teams
Marketing Essentials for Startup Teams
 
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособие
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособиеSMM учебник. Как продвигать банк в социальных сетях. Наглядное пособие
SMM учебник. Как продвигать банк в социальных сетях. Наглядное пособие
 
методы монетизации интернет проектов
методы монетизации интернет проектовметоды монетизации интернет проектов
методы монетизации интернет проектов
 
Belarus internet users discovery
Belarus internet users discoveryBelarus internet users discovery
Belarus internet users discovery
 

DDOS mitigation software solutions

  • 1. DDOS MITIGATION SOFTWARE SOLUTIONS Организация программной защиты от DDoS-атак Олег Бойцев, mega-admin.com LVEE 2011
  • 3. Что такое DDoS? DDoS-атака (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании» — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.
  • 4. Виды DDoS-атак SYN-флуд - при данном виде атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом сервере через некоторое время исчерпывается количество свободных сокетов и сервер перестаёт отвечать.  HTTP-флуд – в случае HTTP-флуда в рамках уже установленного TCP-соединения к серверу происходят множественные обращения, как простейшее GET /, так и более сложные наподобие GET /index.php? search=<gooooooooooogle>, приводящие, как правило, к исчерпанию системных ресурсов.  UDP-флуд - этот тип флуда предназначен прежде всего для затопления канала связи.  ICMP-флуд - то же, но с помощью ICMP-пакетов. Другие виды DDoS (Distributed Reflection Attack, DNS Amplification Attack, Smurf, Slowloris, JavaScript DDoS)
  • 7. Прогрузка апачем процессора при сильном HTTP-флуде
  • 9. UDP-флуд Counter-Strike сервера 21:57:03.185076 IP 134.159.131.65.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185080 IP 78.151.151.63.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185085 IP 184.36.201.120.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185089 IP 31.175.236.134.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185094 IP 16.101.63.130.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185098 IP 120.131.52.85.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185103 IP 78.32.120.249.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185107 IP 206.137.242.16.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185112 IP 78.32.251.75.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185121 IP 219.63.200.27.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185125 IP 145.130.51.134.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185130 IP 212.3.85.36.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185139 IP 31.174.164.168.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185229 IP 178.35.73.139.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185245 IP 33.194.145.131.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185261 IP 35.122.21.16.27005 > 212.67.2.74.27016: UDP, length 1 21:57:03.185277 IP 201.61.212.20.27005 > 212.67.2.74.27016: UDP, length 1
  • 10. Инструменты для проведения DDoS-атак Следующий материал приводится исключительно в образовательных целях
  • 13. МОДЕЛЬ МНОГОУРОВНЕВОЙ ЗАЩИТЫ ОТ DDOS-АТАК Firewall Linux Скрипты NGINX Apache kernel Олег Бойцев, mega-admin.com LVEE 2011
  • 14. IPTABLES Устанавливаем лимит на количество новых соединений с одного IP в единицу времени iptables -A INPUT -p tcp -m hashlimit --hashlimit-upto 1/sec -- hashlimit-burst 3 --hashlimit-mode srcip --hashlimit-name HTTPD_DOS -m tcp --dport 80 -m state --state NEW -j ACCEPT Режем ботов с “неправильным” UserAgent iptables -I INPUT 1 -p tcp --dport 80 -m string --string "America Online Browser" --algo kmp -j DROP Олег Бойцев, mega-admin.com LVEE 2011
  • 15. IPTABLES Режем входящий icmp iptables -I INPUT -p icmp -j DROP --icmp-type 8 Ограничиваем udp-флуд iptables -I INPUT -p udp --dport 53 -j DROP -m connlimit --connlimit-above 1 Олег Бойцев, mega-admin.com LVEE 2011
  • 16. TCP OPENING Олег Бойцев, mega-admin.com LVEE 2011
  • 17. TCP CLOSING Олег Бойцев, mega-admin.com LVEE 2011
  • 18. LINUX KERNEL net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 net.ipv4.tcp_fin_timeout = 7 net.ipv4.netfilter.ip_conntrack_max = 65536 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30 *Подробно см. приложение Олег Бойцев, mega-admin.com LVEE 2011
  • 19. БАН-СКРИПТ #!/bin/sh counter=1 reqno=0 for i in `netstat -nap|grep 'SYN_RECV'|awk '{print $5}'|cut -d ':' -f 1| sort|uniq -c|sort -gr|head` do if [ `expr $counter % 2` -ne 0 ] then reqno=$i else if [ $reqno -gt 4 ] then route add $i reject fi fi counter=`expr $counter + 1` done Олег Бойцев, mega-admin.com LVEE 2011
  • 20. NGINX Общий тюнинг # Увеличиваем максимальное количество используемых файлов worker_rlimit_nofile 80000; events { # Увеличиваем максимальное количество возможных соединений worker_connections 65536; } http { # Отключаем таймаут на закрытие keep-alive соединений keepalive_timeout 0; # Не отдаем версию nginx в заголовке ответа server_tokens off; # Сбрасываем полузакрытое соединение reset_timedout_connection on; Олег Бойцев, mega-admin.com LVEE 2011
  • 21. NGINX Задаем лимит на количество одновременных соединений с одного IP-адреса: http { include /usr/local/etc/nginx/mime.types; default_type application/octet-stream; access_log /var/log/nginx/access.log; server_tokens off; log_format IP '$remote_addr'; reset_timedout_connection on; limit_zone one $binary_remote_addr 10m; … location / { limit_conn one 3; … Олег Бойцев, mega-admin.com LVEE 2011
  • 22. APACHE Общий тюнинг # Уменьшаем таймауты на обработку соединений Timeout 9 (default value is 300!) KeepAliveTimeout 9 (default value is 15) Олег Бойцев, mega-admin.com LVEE 2011
  • 23. APACHE Cтавим mod_evasive - Apache модуль для организации защиты от DDoS-атак: cd /usr/local/src/ wget http://www.zdziarski.com/blog/wp- content/uploads/2010/02/mod_evasive_1.10.1.tar.gz tar -xzvf mod_evasive_1.10.1.tar.gz cd mod_evasive/ apxs2 -c -i -a mod_evasive20.c cd /etc/apache2/mods-available/ nano evasive20.load LoadModule evasive20_module /usr/lib/apache2/modules/mod_evasive20.so nano evasive20.conf a2enmod apachectl configtest && /etc/init.d/apache2 restart Олег Бойцев, mega-admin.com LVEE 2011
  • 24. APACHE Рабочий пример конфигурации mod-evasive: <IfModule mod_evasive20.c> DOSHashTableSize 3097 DOSPageCount 2 DOSSiteCount 100 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 5 DOSWhiteList 8.8.8.8 </IfModule> Олег Бойцев, mega-admin.com LVEE 2011
  • 25. APACHE Параметры mod_evasive DOSHashTableSize is the size of the hash table that is created for the IP addresses monitored. DOSPageCount is the number of pages allowed to be loaded for the DOSPageInterval setting. In our case, 2 pages per 1 second before the IP gets flagged. DOSSiteCount is the number of objects (ie: images, style sheets, javascripts, SSI, etc) allowed to be accessed in the DOSSiteInterval second. In our case, 50 objects per 1 second. DOSPageInterval is the number of seconds the intervals are set for DOSPageCount DOSSiteInterval is the number of seconds the intervals are set for DOSSiteCount DOSBlockingPeriod is the number of seconds the IP address will recieve the Error 403 (Forbidden) page when they have been flagged. Олег Бойцев, mega-admin.com LVEE 2011
  • 26. Спасибо за внимание! Олег Бойцев, mega-admin.com LVEE 2011
  • 27. ЛИТЕРАТУРА http://www.xakep.ru/post/16071/default.asp http://forum.antichat.ru/showthread.php?t=10918 http://ha.ckers.org/blog/20090617/slowloris-http-dos/ http://www.xakep.ru/post/49752/default.asp?print=true http://sysoev.ru/nginx/docs/http/ngx_http_limit_zone_module.html http://httpd.apache.org/docs/2.3/misc/security_tips.html http://www.watchguard.com/infocenter/editorial/41649.asp
  • 28. Приложение Список полезных команд #Общее количество соединений cat /proc/net/ip_conntrack | wc –l #Количество SYN_RECV сокетов netstat -an | grep SYN_RECV | wc –l #С каких IP сколько запросов: netstat -ntu | awk '{print $5}'| cut -d: -f1 | sort | uniq -c | sort -nr | more #Количество апаче-процессов в системе ps wax | grep apache | wc -l LVEE 2011
  • 29. Приложение AntiDDoS kernel tuning with sysctl* net.ipv4.tcp_keepalive_time = 60 net.ipv4.tcp_keepalive_intvl = 10 net.ipv4.tcp_keepalive_probes = 5 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_fin_timeout = 7 net.ipv4.netfilter.ip_conntrack_max = 65536 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30 net.core.rmem_max = 996777216 net.core.wmem_max = 996777216 net.ipv4.tcp_rmem = 4096 87380 4194304 net.ipv4.tcp_mem= 786432 1048576 996777216 net.ipv4.tcp_wmem = 4096 87380 4194304 net.ipv4.tcp_max_orphans = 2255360 net.core.netdev_max_backlog = 10000 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 494967295 kernel.shmall = 268435456 net.core.somaxconn= 16096 net.ipv4.tcp_sack = 0 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_window_scaling = 0 *Приведенные параметры могут быть изменены целесообразно силе DDoS LVEE 2011