Download - Lyamin hl2014
![Page 2: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/2.jpg)
UDP-пакеты салом не пахнут
![Page 3: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/3.jpg)
Главный слайд №12014 2013
Нейтрализовано атак: 5 909↓ 6 732↑
Среднее атак в день: 21↑ 18↑
Макс. в день: 93↓ 151↑
Средний ботнет: 2 066↑ 1 540↓
Макс. ботнет: 420 489↑ 281 060↑
Сред. время, часы: 8↓ 9↓
Макс. время, дни: 91↑ 23↓
Spoofed атак: 56,69%↓ 58,45%↑
Атак более 1Gbps: 6,04%↑ 2,58%↓
Атак более 10Gbps: 2,62%↑ 0,70%↓
Атак более 100Gbps: 1,29%↑ 0,10%↑
![Page 4: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/4.jpg)
Главный слайд №12014 2013
Нейтрализовано атак: 5 909↓ 6 732↑
Среднее атак в день: 21↑ 18↑
Макс. в день: 93↓ 151↑
Средний ботнет: 2 066↑ 1 540↓
Макс. ботнет: 420 489↑ 281 060↑
Сред. время, часы: 8↓ 9↓
Макс. время, дни: 91↑ 23↓
Spoofed атак: 3350↓ 3935↑
Атак более 1Gbps: 357↑ 174↓
Атак более 10Gbps: 155↑ 47↓
Атак более 100Gbps: 76↑ 7↑
![Page 5: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/5.jpg)
Распределение по дням
0
20
40
60
80
100
120
140
160
01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12
2014
2013
![Page 6: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/6.jpg)
Почти год назад
![Page 7: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/7.jpg)
Почти год назад
![Page 8: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/8.jpg)
Почти год назад
![Page 9: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/9.jpg)
Коэфф. Амплификации: DNS
0
20000
40000
60000
80000
100000
120000
140000
160000
13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60
![Page 10: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/10.jpg)
Коэфф. Амплификации: NTP
0
2000
4000
6000
8000
10000
12000
14000
35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355
![Page 11: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/11.jpg)
Коэфф. Амплификации: Chargen
0
50
100
150
200
250
300
350
400
12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255
![Page 12: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/12.jpg)
Коэфф. Амплификации: SNMP
0
50000
100000
150000
200000
250000
300000
30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80
![Page 13: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/13.jpg)
Коэфф. Амплификации: SSDP
0
50000
100000
150000
200000
250000
300000
350000
400000
60
63
66
69
72
75
78
81
84
87
90
93
96
99
102
105
108
111
114
117
120
123
126
128
131
134
137
140
143
146
149
152
155
158
161
164
167
170
173
176
179
![Page 14: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/14.jpg)
Пять проблем, одна семья
User Datagram Protocol
• DNS ( x35 )
• NTP ( x1300 )
• SSDP ( x150 )
• SNMP ( x50 )
• Chargen ( x200 )
![Page 15: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/15.jpg)
Динамика DNS
0
50000000
100000000
150000000
200000000
250000000
![Page 16: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/16.jpg)
Динамика NTP
0
5000000
10000000
15000000
20000000
25000000
30000000
35000000
![Page 17: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/17.jpg)
Динамика амплификаторов
0
200000000
400000000
600000000
800000000
1E+09
1.2E+09
1.4E+09
1.6E+09
1.8E+09
Chargen
NTP
DNS
SNMP
SSDP
Total
![Page 18: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/18.jpg)
SSDP
![Page 19: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/19.jpg)
SSDP Победила топология
![Page 20: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/20.jpg)
Топологии - они везде
![Page 21: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/21.jpg)
Топологии – могут вас убить
![Page 22: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/22.jpg)
Топологии – это важно
![Page 23: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/23.jpg)
Топологии – это важно
![Page 24: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/24.jpg)
Очень-очень важно!
![Page 25: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/25.jpg)
Важно: конфиденциальность
[13:21:17] melanor9 hll: парни! гасите
все IP сразу, а не по одному
[13:21:29] Person1: там их гора
[27/03/14] melanor9 hll: очевидно же что
вас уже "Пописали”
![Page 26: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/26.jpg)
Еще важно: оперативность
[14:18:07] Person2: в общем новости из
каравана: отключены все ip всех
фронтов кроме хабра
[14:18:26] Person2: хабр вроде ожил
[14:18:38] Person2: сейчас поднимаем
фронты на новых ip
![Page 27: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/27.jpg)
Еще важно: DNS
Сколько времени займет изменение root
servers ?
![Page 28: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/28.jpg)
Еще важно
ЗДРАВЫЙ СМЫСЛ
![Page 29: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/29.jpg)
Еще важно
Память
и
Внимательность
![Page 30: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/30.jpg)
Еще важно
![Page 31: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/31.jpg)
</whine>
Ok, что дальше?
![Page 32: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/32.jpg)
Назад в будущееР а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 33: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/33.jpg)
Здесь живут AmplificationsР а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 34: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/34.jpg)
Здесь живут ботнетыР а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 35: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/35.jpg)
+ трафик-генераторыР а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 36: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/36.jpg)
Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
![Page 37: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/37.jpg)
Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
![Page 38: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/38.jpg)
Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
+ Shellshock
![Page 39: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/39.jpg)
Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
+ Shellshock
+ Habrahabr
![Page 40: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/40.jpg)
![Page 41: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/41.jpg)
А здесь живут ДраконыР а з м е р
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 42: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/42.jpg)
Пример
inetnum: 188.44.56.0 - 188.44.63.255
netname: dorm
descr: Lomonosov Moscow State University
descr: Hostel network, GZ-B,V
country: RU
admin-c: MSU-RIPE
tech-c: MSU-RIPE
status: ASSIGNED PA
mnt-by: MSU-MNT
![Page 43: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/43.jpg)
Пример: НОРМАtraceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.
![Page 44: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/44.jpg)
Пример: АНОМАЛИЯtraceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-
46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-
48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
[dd]
… дальше было много транс-атлантики.
![Page 45: Lyamin hl2014](https://reader034.vdocuments.pub/reader034/viewer/2022052508/559816bd1a28ab621d8b4749/html5/thumbnails/45.jpg)
Всем удачного Halloween