lyamin press2015
Post on 20-Jul-2015
52 Views
Preview:
TRANSCRIPT
DDoS – кто
следующий ?
Alexander Lyamin
<la@qrator.net>
Факты и цифры
WWW.QRATOR.NET
2014 2013
Нейтрализовано атак: 9 519↑ 6 732↑
Среднее атак в день: 28↑ 18↑
Макс. в день: 135↓ 151↑
Средний ботнет: 1 962↑ 1 540↓
Макс. ботнет: 420 489↑ 281 060↑
Сред. время, часы: 7↓ 9↓
Макс. время, дни: 122↑ 23↓
Spoofed атак: 62,12%↑ 58,45%↑
Атак более 1Gbps: 5,47%↑ 2,58%↓
Атак более 10Gbps: 2,72%↑ 0,70%↓
Атак более 100Gbps: 1,32%↑ 0,10%↑
2014 в гигабитах* — феноменально!
WWW.QRATOR.NET
*усреднено на интервале 24 часа
100+ Gbps в абсолюте
WWW.QRATOR.NET
2014 2013
Нейтрализовано атак: 9 519↑ 6 732↑
Среднее атак в день: 28↑ 18↑
Макс. в день: 135↓ 151↑
Средний ботнет: 1 962↑ 1 540↓
Макс. ботнет: 420 489↑ 281 060↑
Сред. время, часы: 7↓ 9↓
Макс. время, дни: 122↑ 23↓
Spoofed атак: 5 913↑ 3935↑
Атак более 1Gbps: 521↑ 174↓
Атак более 10Gbps: 259↑ 47↓
Атак более 100Gbps: 126↑ 7↑
Пять проблем, одна семья
User Datagram Protocol
• DNS
• NTP
• SSDP
• SNMP
• Chargen
WWW.QRATOR.NET
Замерим
А как в меняется интегральная сумма амплификаторов «проблемных»
протоколов в IPv4 адресном пространстве?
WWW.QRATOR.NET
Замерим – сумма множителей
WWW.QRATOR.NET
0.00E+00
2.00E+08
4.00E+08
6.00E+08
8.00E+08
1.00E+09
1.20E+09
1.40E+09
1.60E+09
1.80E+09
2014-06-01 2014-07-01 2014-08-01 2014-09-01 2014-10-01 2014-11-01 2014-12-01 2015-01-01 2015-02-01
Chargen
NTP
DNS
SNMP
SSDP
Total
Амплификаторы — дело закрыто?
WWW.QRATOR.NET
Что дальше?
WWW.QRATOR.NET
Р а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Здесь живут Amplification
WWW.QRATOR.NET
Р а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Здесь живут ботнеты
WWW.QRATOR.NET
Р а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
А здесь живут драконы…
WWW.QRATOR.NET
Р а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Примеры
WWW.QRATOR.NET
Крупнейший оператор Европы. Несколько часов даунтайма для сотен тысяч пользователей в Стокгольме.
“DDoS of unprecedented scale stops Sweeden working”
-- Zdnet
Один крупнейших провайдеров услуг Managed DNS поддерживающий миллионы доменных имен.
“The volume of the attack was approximately 25gb/s sustained traffic across our networks, with around 50 million packets per second. In this case, the traffic was sufficient enough to overwhelm the 4 DDoS devices we had placed in our data centers after a previous attack.”
-- DNS Simple
А здесь живут драконы…
WWW.QRATOR.NET
• SNMP
• TELNET
• SSH
• NETCONF
• Протоколы маршрутизации
Пример
WWW.QRATOR.NET
inetnum: 188.44.56.0 - 188.44.63.255
netname: dorm
descr: Lomonosov Moscow State University
descr: Hostel network, GZ-B,V
country: RU
admin-c: MSU-RIPE
tech-c: MSU-RIPE
status: ASSIGNED PA
mnt-by: MSU-MNT
source: RIPE # Filtered
Пример: норма
WWW.QRATOR.NET
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.
Пример: аномалия
WWW.QRATOR.NET
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
8 * * *
9 * * *
[dd]
… дальше было много транс-атлантики.
Решение для будущих вызовов
WWW.QRATOR.NET
2014 – в двух столбцах
Уязвимости
• Heartbleed
• Shellshock
• GHOST
Инструментарий
• Intel DPDK
• PF_RING/DNA
• Netmap
WWW.QRATOR.NET
2015?
WWW.QRATOR.NET
• Злоумышленники получили контроль над большим
количеством хорошо присоединенного оборудования.
• Потенциал для DDoS-атак: 100 миллионов пакетов в
секунду – легко.
Тут к ботнетам подселили
трафик-генераторы
WWW.QRATOR.NET
Р а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Чему же мы научились?
WWW.QRATOR.NET
Спасибо за
внимание.
top related