Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoS Defense 101 (2015)

Artyom "Töma" Gavrichenkov
September 24, 2015
Technology
0
41

DDoS Defense 101 (2015)

Artyom "Töma" Gavrichenkov

September 24, 2015
Tweet

More Decks by Artyom "Töma" Gavrichenkov

See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
53
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
340
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
190
DDoS tutorial (China ISC 360)
ximaera
0
210
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
110
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
32
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
170
DDoS Beasts and How to Fight Them
ximaera
0
48
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
45

Other Decks in Technology

See All in Technology
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
370
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
600
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
130
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
110
アジャイルチームがらしさを発揮するための目標づくり / Making the goal and enabling the team
kakehashi
3
150
SSMRunbook作成の勘所_20241120
koichiotomo
3
160
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
3.2k
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110

Featured

See All Featured
How to train your dragon (web standard)
notwaldorf
88
5.7k
Typedesign – Prime Four
hannesfritz
40
2.4k
Gamification - CAS2011
davidbonilla
80
5k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Designing for Performance
lara
604
68k
Documentation Writing (for coders)
carmenintech
65
4.4k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
What's in a price? How to price your products and services
michaelherold
243
12k
How to Ace a Technical Interview
jacobian
276
23k

Transcript

  1. DDoS Defence 101 Артём Гавриченков <[email protected]>

  2. WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг.

  3. WWW.QRATOR.NET История • Первые атаки – 1999-2000 гг. • 2005:

    модель STRIDE - Spoofing Identity - Tampering with Data - Repudiation - Information Disclosure - Denial of Service - Elevation of Privileges

  4. WWW.QRATOR.NET [D]DoS

  5. WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО

  6. WWW.QRATOR.NET [D]DoS • DoS – эксплуатация уязвимостей в ПО •

    DDoS – исчерпание ресурсов компьютерной системы

  7. WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •

    Вымогательство • Конкуренция

  8. WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •

    Вымогательство • Конкуренция

  9. WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •

    Вымогательство • Конкуренция

  10. WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •

    Вымогательство • Конкуренция

  11. WWW.QRATOR.NET Цели • Ограничение доступа к информации • Месть •

    Вымогательство • Конкуренция

  12. WWW.QRATOR.NET Типы  атак

  13. WWW.QRATOR.NET Типы  атак

  14. WWW.QRATOR.NET Типы  атак !

  15. WWW.QRATOR.NET Типы  атак • L2 • L3 • L4 •

    L7

  16. WWW.QRATOR.NET Типы  атак • L2 «Забивание» канала: ICMP Flood, *

    Amplification… • L3 • L4 • L7

  17. WWW.QRATOR.NET Типы  атак • L2 Amplification: • L3 • L4

    • L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!

  18. WWW.QRATOR.NET Типы  атак • L2 Amplification: • L3 • L4

    • L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!

  19. WWW.QRATOR.NET Типы  атак • L2 Amplification: • L3 • L4

    • L7 • NTP • DNS • SNMP • SSDP • CHARGEN • RIPv1 • Bittorrent!

  20. WWW.QRATOR.NET Типы  атак • L2 «Забивание» канала: ICMP Flood, *

    Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 • L7

  21. WWW.QRATOR.NET Типы  атак • L2 «Забивание» канала: ICMP Flood, *

    Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7

  22. WWW.QRATOR.NET Типы  атак • L2 «Забивание» канала: ICMP Flood, *

    Amp… • L3 Нарушение функционирования сетевой инфраструктуры • L4 Эксплуатация слабых мест TCP-драйвера • L7 Деградация Web-приложения

  23. WWW.QRATOR.NET Параметры  атак • L2 Gbps • L3 Pps, …

    • L4 Pps, … • L7 Rps/IPs

  24. WWW.QRATOR.NET Противомеры • L2 Полоса! • L3 Аналитика • L4

    Анализ поведения и эвристика • L7 Поведенческий, корреляционный анализ, мониторинг

  25. WWW.QRATOR.NET Расследование? • Очень сложно • ОЧЕНЬ ДОРОГО • В

    основном, благодаря ошибкам атакующих

  26. WWW.QRATOR.NET Сетевая  архитектура   • «Земной» хостинг • «Облачный» хостинг

    • CDN

  27. WWW.QRATOR.NET Оценка  рисков Probability/Impact Matrix Trivial Minor Moderate Significant Severe

    Rare Unlikely Moderate Likely Very Likely Impact: Severe Probability: Moderate/Unlikely

  28. WWW.QRATOR.NET Оценка  рисков Хостинг Облако CDN L2 L3 L4 L7

  29. WWW.QRATOR.NET Оценка  рисков Хостинг Облако CDN L2 High L3 Low

    L4 High L7 High

  30. WWW.QRATOR.NET Оценка  рисков Хостинг Облако CDN L2 High Moderate L3

    Low Low L4 High Low L7 High High

  31. WWW.QRATOR.NET Оценка  рисков Хостинг Облако CDN L2 High Moderate Moderate

    L3 Low Low High L4 High Low Low L7 High High Low

  32. WWW.QRATOR.NET Оценка  рисков Хостинг L2 High L3 Low L4 High

    L7 High • Что ни размещай, в т.ч. специализированное оборудование • У приложения должен быть запас производительности (2x) • INSTANT RELOCATION

  33. WWW.QRATOR.NET Оценка  рисков Облако L2 Moderate L3 Low L4 Low

    L7 High • BGP Anycast! • 500 Гбит/с – не шутки • У приложения должен быть запас производительности (2x) • «DoS via billing»

  34. WWW.QRATOR.NET Оценка  рисков CDN L2 Moderate L3 High L4 Low

    L7 Low • BGP Anycast • Защищённый DNS-сервер

  35. WWW.QRATOR.NET Сетевая  архитектура   • Anycast-адрес – это вообще полезно!

    • IPv4, кстати, заканчивается • IPv6 плохо внедряется • Anycast можно арендовать

  36. WWW.QRATOR.NET Сетевая  архитектура   • Приложение, отвязанное от платформы •

    Docker? • Документация

  37. WWW.QRATOR.NET Сетевая  архитектура Возможности для защиты от DDoS нужно предусматривать

    заранее: • В протоколе • В архитектуре • В реализации

  38. WWW.QRATOR.NET Сетевая  архитектура Защита – это не продукт, а процесс

    • Своевременное обновление • Реагирование на тенденции • Реагирование на инциденты

  39. WWW.QRATOR.NET Дивный  новый  мир • IPv4 NAT – боль •

    Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак

  40. WWW.QRATOR.NET Дивный  новый  мир • IPv4 NAT – боль •

    Приходится блокировать NAT pool’ы целиком • Размер пространства IPv6 – БОЛЬ • Придётся банить подсетями, иначе никак

  41. WWW.QRATOR.NET Спасибо за внимание! Artyom Gavrichenkov <[email protected]>