lyamin yandex webmaster2013

DDoS-атаки

DDoS-активность по дням

1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек0

20

40

60

80

100

120

140

160

20132012

Факты и Цифры

Пациенты 2012* 3Q 2013* процент роста 12-13

Магические услуги 132.5 339.3 156%Правительство 36.4 36.0 -1%Интернет-магазины 28.7 30.8 7%Купоны 23.7 49.0 107%Недвижимость 23.5 50.5 115%СМИ 22.5 22.7 1%Биржи и Forex 22.1 117.5 431%Инфо-услуги 21.0 26.0 24%Платежные системы 20.9 41.0 97%Игры и развлечения 19.2 22.6 18%Сайты-визитки 11.8 16.0 36%Банки 11.3 14.7 30%Туристические фирмы 11.1 30.1 170%Страховые компании 2.8 25.0 798%Общий итог 24.8 33.3 34%

Гео-распределение ботнетов

0.00%

1.00%

2.00%

3.00%

4.00%

5.00%

6.00%

7.00%

8.00%

9.00%

10.00%

VN INIR RUKZ IDPH THDE MXEG PEUA TRPK USCN BRIL GETW IQDZ GBEC JPAR VECO SG

ЧТО ДЕЛАТЬ?• Не делайте глупостей

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• (Желательно) Подготовьтесь

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)

ЧТО ДЕЛАТЬ?• Не делайте глупостей• Не паникуйте• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список

подверженных сетевых сервисов

ЧТО ДЕЛАТЬ?• Не паникуйте• Не делайте глупостей• Подготовьтесь• Имейте запас производительности (2x)• Оцените характеристики атаки и список подверженных

сетевых сервисов• Примите меры по нейтрализации атаки• Проконтролируйте результативность фильтров

Завесим и замерим?

Замерим и завесим!• Восстановите контроль• Bitrate• Packetrate• Access.log• tcpdump -n –s0 –c1000000 –w attack.dump

Вы против 100$Вы Ваши опции

• nginx

Вы против 100$Вы Ваши опции

• nginx• ipset

Вы против 100$Вы Ваши опции

• nginx• ipset• mod_security for nginx

Вы против 100$Вы Ваши опции

• nginx• ipset• mod_security for nginx• http://habrahabr.ru

Вы против 1000$

Вы против 1000$

• Хостеры

Вы против 1000$

• Хостеры• Вендоры

Вы против 1000$

• Хостеры• Вендоры• Облачные сервисы

Облачные сервисыЗарубежные Отечественные

• Kaspersky KDP• Qrator

• Prolexic• CloudFlare• Incapsula• Akamai

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Безопасность DNS серверов• Управляемость DNS зоны

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Управляемость DNS зоны

Важные аспекты при подключении• Конфиденциальность IP адреса

приложения• Безусловная фильтрация сторонних IP• Whitelisting облачного сервиса• Управляемость DNS зоны• Устойчивость DNS

Pro.Tip*rawpost:POSTROUTING ACCEPT [15:1548] A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT to source 10.10.40.3/32COMMIT# Completed on Mon May 20 04:47:30 2013# Generated by iptables save v1.4.16.3 on Mon May 20 04:47:30 2013*raw:PREROUTING ACCEPT [28:2128]:OUTPUT ACCEPT [18:2056] A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT to destination 10.1.0.1/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT to destination 10.1.0.2/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT to destination 10.1.0.3/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT to destination 10.1.0.4/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT to destination 10.1.0.5/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT to destination 10.1.0.6/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT to destination 10.1.0.7/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT to destination 10.1.0.8/32COMMIT

Pro.Tip

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 160

500

1000

1500

2000

2500

3000

RSS

kPPS

Мой сайт недоступен

Когда я пропаду из выдачи?

3-5 дней, в зависимости от популярности сайта

Как мне минимизировать риск исчезновения из выдачи?

Отдавать 503Вайтлистить роботов Яндекса по IP

- Reverse DNS lookup- Если знаете, что такое ASN...

Что будет с моей рекламной кампанией?

Поставьте МетрикуВключите мониторинг в Директе

Как мне поскорей вернуться?

http://help.yandex.ru/webmaster/indexing-options/sitemap.xml http://webmaster.yandex.ru/addurl.xml

• Не лежать больше 3-5 суток• Отдавать 503• Вайтлистить роботов Яндекса (по IP)• Поставить Метрику

• http://help.yandex.ru/webmaster/indexing-options/sitemap.xml • http://webmaster.yandex.ru/addurl.xml

DDoS – это не страшно

DDoS – это не страшно,если включить голову