beyond the botnet

Beyond the botnet.

Александр Лямин<la@highloadlab.com>

Qrator: 2012

2012 2011• Нейтрализовано атак: 2628↑ (1972)• Среднее атак в день:9.18↑ (6.16)• Макс. в день: 73↑ (32)• Средний ботнет: 2070↑ (1886)• Макс. размер ботнета: 148563↓ (239911)• Макс. длительность: 83d↓ (253d)• Средняя доступность: 99.71%

По дням недели.

Пн Вт Ср Чт Пт Сб Вс0%

2%

4%

6%

8%

10%

12%

14%

16%

18%

По дням.

01/01/1

2

08/01/1

2

15/01/1

2

22/01/1

2

29/01/1

2

05/02/1

2

12/02/1

2

19/02/1

2

26/02/1

2

04/03/1

2

11/03/1

2

18/03/1

2

25/03/1

2

01/04/1

2

08/04/1

2

15/04/1

2

22/04/1

2

29/04/1

2

06/05/1

2

13/05/1

2

20/05/1

2

27/05/1

2

03/06/1

2

10/06/1

2

17/06/1

2

24/06/1

2

01/07/1

2

08/07/1

2

15/07/1

2

22/07/1

2

29/07/1

2

05/08/1

2

12/08/1

2

19/08/1

2

26/08/1

2

02/09/1

2

09/09/1

2

16/09/1

2

23/09/1

2

30/09/1

2

07/10/1

2

14/10/1

2

21/10/1

20

10

20

30

40

50

60

70

80

По месяцам.

Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь0.00%

2.00%

4.00%

6.00%

8.00%

10.00%

12.00%

14.00%

16.00%

18.00%

20.00%

Где живут ботнеты.(геопривязка)

10.00000%

2.00000%

4.00000%

6.00000%

8.00000%

10.00000%

12.00000%

RUDEUSUACNKZGB??FRMDCANLILAZTRLVJPBYKRCZ

Скоростные атаки.

>=1Gbps 2.21%↓

(58↑)

<1Gbps 97.79%

>=10Gbps 28

Типы атак.

Spoofed 45.32%↑

Full connect 54.68%↓

Типы атак Q1 2012

Spoofed29.67%

Full connect70.33%

Типы атак 2011.

Spoofed 14.96%

Full connect 85.04%

И снова о скоростях.

PPS

Защищающаяся сторона.

• Доступные L7 контр-меры

VS• Настроенный сервер – 600kpps• Спец.конфигурация и настройки - 1Mpps

Нападение.

• Конкуренция за ботнет.• Эффективные L7 контрмеры.

VS• Доступный инструментарий (i.e. netmap)• Опорные сети, хостинги и IX пропускающие

spoofed flood.

Специфика ботнетов.

• Посредственная связность.• Ограниченность ресурсов.• Ограниченность возможностей.

Old and busted.

Сетевая топология.

• Протоколы маршрутизации.• Проколы маршрутизации ;)• Индуцируемые проколы маршрутизации.

TCP стэк.

• Состояния.• Таймауты.• (Неспецифицированные) переходы.

Helping hand – IPV6

IPV6

• Размеры структур данных.• Плотность адресации.

Что еще интересного?

• BGP Flowspec* enabled networks (радуемся**)• Google’s TFO (выдыхаем)• DNS/DNSSEC – void (медитируем)• RPKI – все так-же обсуждается (молимся)• IPV6 – будет много «приключений»• Обновили мировой рекорд:268Gbps/32Mpps

* RFC-5575** Не все и не всегда.

Вопросы?