Download - Lyamin zn2013
![Page 2: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/2.jpg)
Почему?
Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории:• Атаки на каналы связи• Атаки на конечные системы
![Page 3: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/3.jpg)
Почему?Типы DDoS-атак • Атаки 4-го уровня
– – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного
количества соединений, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.)
• Атаки 7-го уровня– направлены на ресурс (сервис прикладного уровня)
![Page 4: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/4.jpg)
Почему?
• TCP SYN Flood
• TCP SYN-ACK Reflection Flood (DRDoS)
• TCP Spoofed SYN Flood
• TCP ACK Flood
• TCP IP Fragmented Attack
… sockstress забыли!
• HTTP and HTTPS Flood Attacks
• INTELLIGENT HTTP and HTTPS Attacks
• ICMP Echo Request Flood
• UDP Flood Attack
• DNS Amplification Attacks
![Page 5: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/5.jpg)
Почему?
“Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”
![Page 6: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/6.jpg)
Почему?
“Ожидания оправдались в достаточной мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”
![Page 7: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/7.jpg)
Почему ?
![Page 8: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/8.jpg)
… нет (вежливых) слов.
![Page 9: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/9.jpg)
Gbps
![Page 10: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/10.jpg)
Mpps
![Page 11: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/11.jpg)
krps
![Page 12: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/12.jpg)
Botnet size
![Page 13: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/13.jpg)
Экзотичные метрики
![Page 14: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/14.jpg)
Проблема
![Page 15: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/15.jpg)
Как должно быть
(6aR,9R)- N,N- diethyl- 7-methyl- 4,6,6a,7,8,9-hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide
N-methyl-1-phenylpropan-2-amino
N.B.
“Yeah! Sc1ence, beatch!”
![Page 16: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/16.jpg)
Решение
![Page 17: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/17.jpg)
Классификация
![Page 18: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/18.jpg)
Канальная емкость
PURE. SIMPLE. CONSUMED.
BANDWIDTH
![Page 19: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/19.jpg)
Канальная емкость
![Page 20: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/20.jpg)
Инфраструктура сети
Fragmentation+Stateful+Routing = Control Plane
![Page 21: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/21.jpg)
Инфраструктура сети
![Page 22: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/22.jpg)
Инфраструктура сетиRouting
• (dynamic) Route loops
• Prefix hijacking
• Amplifiers
http://radar.qrator.net
![Page 23: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/23.jpg)
Cетевой стек
![Page 24: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/24.jpg)
Сетевой стекЗапросы Ответы
![Page 25: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/25.jpg)
Cетевой стек
![Page 26: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/26.jpg)
Cетевой стек
![Page 27: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/27.jpg)
Приложение
L7 σημαντικός
![Page 28: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/28.jpg)
ПриложениеЗапросы Ответы
![Page 29: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/29.jpg)
ПриложениеОшибки Стоп-лист
![Page 30: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/30.jpg)
Сhangelog
• DNS (и другие не-TCP протоколы)
• TCP-протоколы для которых мы не являемся endpoint
• Умные enterprise-заказчики
• И большие сети с 100+ приложений
• Говорящих на 10+ (custom) протоколах
![Page 31: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/31.jpg)
Как сделать мир статистику лучше?
![Page 32: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/32.jpg)
Помнить про эту картинку!
![Page 33: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/33.jpg)
Cтатистика 2.0
![Page 34: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/34.jpg)
Статистика 2.0
![Page 35: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/35.jpg)
Канальная емкость 2.0
• Чем именно занят канал?
• Транспортные протоколы
• Приложения
![Page 36: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/36.jpg)
Cетевая инфраструктура 2.0
• Сколько потоков?
• Какова их динамика?
• Какие из них наиболее активны?
![Page 37: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/37.jpg)
Сетевой стэк 2.0TCP
• Состояния соединений
• Динамика состояний
![Page 38: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/38.jpg)
Приложение 2.0Запросы
• Статика
• Динамика
• Самые популярные URL
![Page 39: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/39.jpg)
Приложение 2.0Ответы
• Топ-5 ?
• Топ-10 ?
• Кластеризация ?
![Page 40: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/40.jpg)
Приложение 2.0Ошибки 500,501,503,504
• Топ ?
• Кластеризация ?
![Page 41: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/41.jpg)
Приложение 2.0502 – диагностика пути ?
![Page 42: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/42.jpg)
Идеи закончились.
… Вопросы остались.
![Page 43: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/43.jpg)
Приложение 2.0
А что делать с !HTTP
?
![Page 44: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/44.jpg)
Приложение 2.0
• А как ПРАВИЛЬНОпровести сэмплингповедения ботнета ?
![Page 45: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/45.jpg)
А что такое ботнет?
a) Множество зараженных
b) Общность кода
c) Единый контроль
![Page 46: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/46.jpg)
C нашей точки зрения
a) Множество адресов
b) Сходная техника
c) Общие цели
![Page 47: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/47.jpg)
C нашей точки зрения
a) DomainID+время первой регистрации
b) Пересечение по IP
c) Используемые техники
![Page 48: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/48.jpg)
Более лучше
![Page 49: Lyamin zn2013](https://reader030.vdocuments.pub/reader030/viewer/2022020207/55982cce1a28aba7088b45aa/html5/thumbnails/49.jpg)
Вместо заключения