Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DDoS Defense 101 (2015)
Search
Artyom "Töma" Gavrichenkov
September 24, 2015
Technology
46
0
Share
DDoS Defense 101 (2015)
Artyom "Töma" Gavrichenkov
September 24, 2015
More Decks by Artyom "Töma" Gavrichenkov
See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
59
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
370
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
200
DDoS tutorial (China ISC 360)
ximaera
0
260
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
130
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
50
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
230
DDoS Beasts and How to Fight Them
ximaera
0
78
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
66
Other Decks in Technology
See All in Technology
layerx-fde-practices
cipepser
6
2.7k
CloudFront VPCオリジンとVPC Latticeサービスの内部ALBをマルチアカウントで一元利用しよう
duelist2020jp
5
240
eBPF Can Do It! A 5-Minute Tour of 5 Real-World PHP Issues Solved with eBPF
egmc
0
220
論文紹介:Pixal3D (SIGGRAPH 2026)
tenten0727
0
740
管理アカウント単一運用からAWS Organizationsに移行するの大変で滅
hiramax
0
250
EdgeプロファイルでAWSアカウントを安全に使い分ける
jhashimoto
0
110
権限管理設計を完全に理解した
rsugi
2
210
TSKaigi 2026 - 10秒のビルドを1秒へ:tsdownが切り拓く2026年のTypeScriptライブラリ開発
teamlab
PRO
2
270
類似画像検索モデルの開発ノウハウ
lycorptech_jp
PRO
4
870
A Harness for Behaviour: how to get AI to generate code that does what we intend, or "TDD in the age of AI"
xpmatteo
0
430
なぜハノーバーメッセに行くべきなのか 〜初参加だから語れること〜
tanakaseiya
0
120
AI時代に求められる思考のパラダイムシフト
nrinetcom
PRO
1
150
Featured
See All Featured
Agile that works and the tools we love
rasmusluckow
331
21k
Building Applications with DynamoDB
mza
96
7k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Raft: Consensus for Rubyists
vanstee
141
7.4k
It's Worth the Effort
3n
188
29k
Marketing to machines
jonoalderson
1
5.3k
Design in an AI World
tapps
1
220
How GitHub (no longer) Works
holman
316
150k
The Cult of Friendly URLs
andyhume
79
6.9k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.3k
Testing 201, or: Great Expectations
jmmastey
46
8.2k
Transcript
DDoS Defence 101 Артём Гавриченков <
[email protected]
>
WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг.
WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг. • 2005:
модель STRIDE - Spoofing Identity - Tampering with Data - Repudiation - Information Disclosure - Denial of Service - Elevation of Privileges
WWW.QRATOR.NET [D]DoS
WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО
WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО •
DDoS – исчерпание ресурсов компьютерной системы
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Типы атак
WWW.QRATOR.NET Типы атак
WWW.QRATOR.NET Типы атак !
WWW.QRATOR.NET Типы атак • L2 • L3 • L4 •
L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amplification… • L3 • L4 • L7
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 • L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7 Деградация Web-приложения
WWW.QRATOR.NET Параметры атак • L2 Gbps • L3 Pps, …
• L4 Pps, … • L7 Rps/IPs
WWW.QRATOR.NET Противомеры • L2 Полоса! • L3 Аналитика • L4
Анализ поведения и эвристика • L7 Поведенческий, корреляционный анализ, мониторинг
WWW.QRATOR.NET Расследование? • Очень сложно • ОЧЕНЬ ДОРОГО • В
основном, благодаря ошибкам атакующих
WWW.QRATOR.NET Сетевая архитектура • «Земной» хостинг • «Облачный» хостинг
• CDN
WWW.QRATOR.NET Оценка рисков Probability/Impact Matrix Trivial Minor Moderate Significant Severe
Rare Unlikely Moderate Likely Very Likely Impact: Severe Probability: Moderate/Unlikely
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 L3 L4 L7
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High L3 Low
L4 High L7 High
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High Moderate L3
Low Low L4 High Low L7 High High
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High Moderate Moderate
L3 Low Low High L4 High Low Low L7 High High Low
WWW.QRATOR.NET Оценка рисков Хостинг L2 High L3 Low L4 High
L7 High • Что ни размещай, в т.ч. специализированное оборудование • У приложения должен быть запас производительности (2x) • INSTANT RELOCATION
WWW.QRATOR.NET Оценка рисков Облако L2 Moderate L3 Low L4 Low
L7 High • BGP Anycast! • 500 Гбит/с – не шутки • У приложения должен быть запас производительности (2x) • «DoS via billing»
WWW.QRATOR.NET Оценка рисков CDN L2 Moderate L3 High L4 Low
L7 Low • BGP Anycast • Защищённый DNS-сервер
WWW.QRATOR.NET Сетевая архитектура • Anycast-адрес – это вообще полезно!
• IPv4, кстати, заканчивается • IPv6 плохо внедряется • Anycast можно арендовать
WWW.QRATOR.NET Сетевая архитектура • Приложение, отвязанное от платформы •
Docker? • Документация
WWW.QRATOR.NET Сетевая архитектура Возможности для защиты от DDoS нужно предусматривать
заранее: • В протоколе • В архитектуре • В реализации
WWW.QRATOR.NET Сетевая архитектура Защита – это не продукт, а процесс
• Своевременное обновление • Реагирование на тенденции • Реагирование на инциденты
WWW.QRATOR.NET Дивный новый мир • IPv4 NAT – боль •
Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак
WWW.QRATOR.NET Дивный новый мир • IPv4 NAT – боль •
Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак
WWW.QRATOR.NET Спасибо за внимание! Artyom Gavrichenkov <
[email protected]
>
ximaera
cipepser
duelist2020jp
egmc
tenten0727
hiramax
jhashimoto
rsugi
teamlab
lycorptech_jp
xpmatteo
tanakaseiya
nrinetcom
rasmusluckow
mza
malarkey
chriscoyier
vanstee
3n
jonoalderson
tapps
holman
andyhume
irinanazarova
jmmastey
![DDoS Defence 101 Артём Гавриченков <[email protected]>](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_0.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_3.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_4.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО •](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_5.jpg){kind=link}
![WWW.QRATOR.NET Спасибо за внимание! Artyom Gavrichenkov <[email protected]>](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_40.jpg){kind=link}