Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DDoS Defense 101 (2015)
Search
Artyom "Töma" Gavrichenkov
September 24, 2015
Technology
0
44
DDoS Defense 101 (2015)
Artyom "Töma" Gavrichenkov
September 24, 2015
Tweet
Share
More Decks by Artyom "Töma" Gavrichenkov
See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
57
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
350
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
190
DDoS tutorial (China ISC 360)
ximaera
0
250
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
120
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
42
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
220
DDoS Beasts and How to Fight Them
ximaera
0
62
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
53
Other Decks in Technology
See All in Technology
Adminaで実現するISMS/SOC2運用の効率化 〜 アカウント管理編 〜
shonansurvivors
4
450
BI ツールはもういらない?Amazon RedShift & MCP Server で試みる新しいデータ分析アプローチ
cdataj
0
170
LLMアプリの地上戦開発計画と運用実践 / 2025.10.15 GPU UNITE 2025
smiyawaki0820
1
590
能登半島地震で見えた災害対応の課題と組織変革の重要性
ditccsugii
0
1k
AWS Control Tower に学ぶ! IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower
y___u
1
200
大規模サーバーレスAPIの堅牢性・信頼性設計 〜AWSのベストプラクティスから始まる現実的制約との向き合い方〜
maimyyym
10
4.9k
Data Hubグループ 紹介資料
sansan33
PRO
0
2.2k
新規事業におけるGORM+SQLx併用アーキテクチャ
hacomono
PRO
0
320
プレーリーカードを活用しよう❗❗デジタル名刺交換からはじまるイベント会場交流のススメ
tsukaman
0
170
物体検出モデルでシイタケの収穫時期を自動判定してみた。 #devio2025
lamaglama39
0
210
Claude Codeを駆使した初めてのiOSアプリ開発 ~ゼロから3週間でグローバルハッカソンで入賞するまで~
oikon48
10
4.7k
防災デジタル分野での官民共創の取り組み (2)DIT/CCとD-CERTについて
ditccsugii
0
310
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
526
40k
Music & Morning Musume
bryan
46
6.8k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3k
Building an army of robots
kneath
306
46k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
35
6.1k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
140
34k
Designing for humans not robots
tammielis
254
26k
Build your cross-platform service in a week with App Engine
jlugia
232
18k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.2k
Speed Design
sergeychernyshev
32
1.2k
Visualization
eitanlees
149
16k
Documentation Writing (for coders)
carmenintech
75
5.1k
Transcript
DDoS Defence 101 Артём Гавриченков <
[email protected]
>
WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг.
WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг. • 2005:
модель STRIDE - Spoofing Identity - Tampering with Data - Repudiation - Information Disclosure - Denial of Service - Elevation of Privileges
WWW.QRATOR.NET [D]DoS
WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО
WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО •
DDoS – исчерпание ресурсов компьютерной системы
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •
Вымогательство • Конкуренция
WWW.QRATOR.NET Типы атак
WWW.QRATOR.NET Типы атак
WWW.QRATOR.NET Типы атак !
WWW.QRATOR.NET Типы атак • L2 • L3 • L4 •
L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amplification… • L3 • L4 • L7
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 Amplification: • L3 • L4
• L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 • L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7
WWW.QRATOR.NET Типы атак • L2 «Забивание» канала: ICMP Flood, *
Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7 Деградация Web-приложения
WWW.QRATOR.NET Параметры атак • L2 Gbps • L3 Pps, …
• L4 Pps, … • L7 Rps/IPs
WWW.QRATOR.NET Противомеры • L2 Полоса! • L3 Аналитика • L4
Анализ поведения и эвристика • L7 Поведенческий, корреляционный анализ, мониторинг
WWW.QRATOR.NET Расследование? • Очень сложно • ОЧЕНЬ ДОРОГО • В
основном, благодаря ошибкам атакующих
WWW.QRATOR.NET Сетевая архитектура • «Земной» хостинг • «Облачный» хостинг
• CDN
WWW.QRATOR.NET Оценка рисков Probability/Impact Matrix Trivial Minor Moderate Significant Severe
Rare Unlikely Moderate Likely Very Likely Impact: Severe Probability: Moderate/Unlikely
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 L3 L4 L7
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High L3 Low
L4 High L7 High
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High Moderate L3
Low Low L4 High Low L7 High High
WWW.QRATOR.NET Оценка рисков Хостинг Облако CDN L2 High Moderate Moderate
L3 Low Low High L4 High Low Low L7 High High Low
WWW.QRATOR.NET Оценка рисков Хостинг L2 High L3 Low L4 High
L7 High • Что ни размещай, в т.ч. специализированное оборудование • У приложения должен быть запас производительности (2x) • INSTANT RELOCATION
WWW.QRATOR.NET Оценка рисков Облако L2 Moderate L3 Low L4 Low
L7 High • BGP Anycast! • 500 Гбит/с – не шутки • У приложения должен быть запас производительности (2x) • «DoS via billing»
WWW.QRATOR.NET Оценка рисков CDN L2 Moderate L3 High L4 Low
L7 Low • BGP Anycast • Защищённый DNS-сервер
WWW.QRATOR.NET Сетевая архитектура • Anycast-адрес – это вообще полезно!
• IPv4, кстати, заканчивается • IPv6 плохо внедряется • Anycast можно арендовать
WWW.QRATOR.NET Сетевая архитектура • Приложение, отвязанное от платформы •
Docker? • Документация
WWW.QRATOR.NET Сетевая архитектура Возможности для защиты от DDoS нужно предусматривать
заранее: • В протоколе • В архитектуре • В реализации
WWW.QRATOR.NET Сетевая архитектура Защита – это не продукт, а процесс
• Своевременное обновление • Реагирование на тенденции • Реагирование на инциденты
WWW.QRATOR.NET Дивный новый мир • IPv4 NAT – боль •
Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак
WWW.QRATOR.NET Дивный новый мир • IPv4 NAT – боль •
Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак
WWW.QRATOR.NET Спасибо за внимание! Artyom Gavrichenkov <
[email protected]
>
ximaera
shonansurvivors
cdataj
smiyawaki0820
ditccsugii
y___u
maimyyym
sansan33
hacomono
tsukaman
.jpg){kind=avatar}
lamaglama39
oikon48
maltzj
bryan
tammyeverts
kneath
kevinliebholz
eileencodes
tammielis
jlugia
zakiyama
sergeychernyshev
eitanlees
carmenintech
![DDoS Defence 101 Артём Гавриченков <[email protected]>](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_0.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_3.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_4.jpg){kind=link}
![WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО •](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_5.jpg){kind=link}
![WWW.QRATOR.NET Спасибо за внимание! Artyom Gavrichenkov <[email protected]>](https://files.speakerdeck.com/presentations/8d0c1a6587dd41c98cebef55b306af4c/slide_40.jpg){kind=link}