spblug. Борьба с ddos в хостинге - по обе стороны баррикад
TRANSCRIPT
![Page 1: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/1.jpg)
Борьба с DDoS в хостинге: по обе стороны баррикад.Netflow, Flowspec
Константин НоваковскийVscale, Selectel
SPb Linux User Group2017.02.22
![Page 2: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/2.jpg)
Почему нам больно
• 6 датацентров (6,5к м2)
• Аренда серверов / стоек / серверных помещений / волокон
• Виртуальное приватное облако
• Облачное хранилище / CDN
• Мониторинг
• Vscale
• Anycast DNS• новый “железный” проект в разработке
![Page 3: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/3.jpg)
Проблемы
• атаки на наших клиентов
• атаки на нашу инфраструктуру
• использование нашей инфраструктуры для атак
• взломали сервер клиента
• виртуалки для атак
![Page 4: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/4.jpg)
Коротко А вдруг
● на канал (volumetric)
● на протокол
● на оборудование
● на приложение
![Page 5: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/5.jpg)
Коротко А вдруг
● на канал (volumetric)
● на протокол
● на оборудование
● на приложение
● большой BPS
● большой PPS
● большой PPS
● небольшие числа BPS/PPS
![Page 6: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/6.jpg)
Отражение
1. Атакующий хост рассылает запросы от имени жертвы по всему интернету
2. Хосты в интернете отвечают жертве3. Жертва получает ОЧЕНЬ МНОГО неожиданных ответов
Размер ответа небольшой — как правило, равный размеру запроса.
ping -S <жертва> <host в интернете>
hping3 ...
![Page 7: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/7.jpg)
Усиление
Основной механизм - отражение, но
● посылка маленького по размеру запроса● генерация очень большого ответа - до 100 килобайт
• SNMP, DNS, NTP, SSDP, CS, Quake
• UDP - нет установки сессии перед запросом rfc768
![Page 8: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/8.jpg)
12 декабря 2015
![Page 9: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/9.jpg)
Флуд Атака на протокол
• PING-flood• SYN-flood• SSL-handshake• slow TCP• IP fragments
![Page 10: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/10.jpg)
Мониторинг
Минимум нагрузка на сетевых интерфейсахсерверов роутерах
Держать перед глазами
![Page 11: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/11.jpg)
Мониторинг
![Page 12: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/12.jpg)
Кто кого откуда куда
![Page 13: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/13.jpg)
• сенсор
• коллектор
• анализатор
![Page 14: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/14.jpg)
• сенсор
• коллектор
• анализатор
![Page 15: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/15.jpg)
• Обрабатываются не все пакеты
• Может создать излишнюю нагрузку на сенсор
• Значение семплинга зависит от:
• объемов трафика
• оборудования / сенсора
![Page 16: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/16.jpg)
Инструменты
• nfdump, nfsen
• flowtools
• elasticsearch
• nbox/ntopng
• ipfixcol
![Page 17: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/17.jpg)
Мониторим
![Page 18: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/18.jpg)
Мониторим
![Page 19: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/19.jpg)
Мониторим
![Page 20: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/20.jpg)
Отчёт клиенту
• Топ по портам назначения• Топ портам источников трафика• Автономные системы источников трафика• Топы адресов на основе топов портов
источников и назначения• Количество адресов в по топам портов
![Page 21: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/21.jpg)
Реакция и смягчение
• Работает поверх
• обрабатывается аппаратно на ах
• опасен своей мощью
• поддерживают далеко не все операторы
![Page 22: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/22.jpg)
Фильтры
![Page 23: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/23.jpg)
Фильтры
![Page 24: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/24.jpg)
Фильтры
![Page 25: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/25.jpg)
Реакция
![Page 26: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/26.jpg)
••••
![Page 27: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/27.jpg)
![Page 28: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/28.jpg)
Пример отчёта
Attack type: syn_flood
Initial attack power: 106961 packets per second
Peak attack power: 211654 packets per second
Attack direction: outgoing
Attack protocol: tcp
Total incoming traffic: 33 mbps
Total outgoing traffic: 674 mbps
Total incoming pps: 7290 packets per second
Total outgoing pps: 106961 packets per second
Total incoming flows: 0 flows per second
Total outgoing flows: 0 flows per second
Average incoming traffic: 33 mbps
Average outgoing traffic: 674 mbps
Average incoming pps: 7290 packets per second
Average outgoing pps: 106961 packets per second
Incoming tcp traffic: 0 mbps
Outgoing tcp traffic: 1869 mbps
Incoming tcp pps: 0 packets per second
Outgoing tcp pps: 262144 packets per second
Incoming syn tcp traffic: 0 mbps
Outgoing syn tcp traffic: 1869 mbps
Incoming syn tcp pps: 0 packets per second
Outgoing syn tcp pps: 262144 packets per second
![Page 29: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/29.jpg)
Пример отчёта
Attack type: syn_flood
Initial attack power: 106961 packets per second
Peak attack power: 211654 packets per second
Attack direction: outgoing
Attack protocol: tcp
Total incoming traffic: 33 mbps
Total outgoing traffic: 674 mbps
Total incoming pps: 7290 packets per second
Total outgoing pps: 106961 packets per second
Total incoming flows: 0 flows per second
Total outgoing flows: 0 flows per second
Average incoming traffic: 33 mbps
Average outgoing traffic: 674 mbps
Average incoming pps: 7290 packets per second
Average outgoing pps: 106961 packets per second
Incoming tcp traffic: 0 mbps
Outgoing tcp traffic: 1869 mbps
Incoming tcp pps: 0 packets per second
Outgoing tcp pps: 262144 packets per second
Incoming syn tcp traffic: 0 mbps
Outgoing syn tcp traffic: 1869 mbps
Incoming syn tcp pps: 0 packets per second
Outgoing syn tcp pps: 262144 packets per second
![Page 30: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/30.jpg)
— программный многоуровневый коммутаторОбеспечивает сеть виртуальным машинам
— протокол взаимодействия между сетевымиустройствами коммутаторами программно управляемойсети и централизованным контроллером
![Page 31: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/31.jpg)
Фильтруем трафик виртуалок
http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
![Page 32: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/32.jpg)
Фильтруем трафик виртуалок
http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
![Page 33: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/33.jpg)
Предотвращение атак из виртуалок
Мониторим превышение на порту виртуалок
Проверяем подозрительный трафик
• не попадает под известные случаи• ничего не делаем
• вредоносная активность• делаем небольшой дамп для дальнейшего разбора
инцидента• отключаем порт виртуалки от сети
![Page 34: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/34.jpg)
![Page 35: Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад](https://reader033.vdocuments.mx/reader033/viewer/2022052302/5a6564287f8b9a987f8b47e1/html5/thumbnails/35.jpg)
Вопросы
Обратная связь:twitter: clickfreakbitemail: kostya.keeper at gmail dot com