lyamin beyond the botnet
TRANSCRIPT
Qrator: 2012
2012 2011
• Нейтрализовано атак: 2628↑ (1972)
• Среднее атак в день: 9.18↑ (6.16)
• Макс. в день: 73↑ (32)
• Средний ботнет: 2070↑ (1886)
• Макс. размер ботнета: 148563↓ (239911)
• Макс. длительность: 83d↓ (253d)
• Средняя доступность:99.71%
По дням недели.
0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
Пн Вт Ср Чт Пт Сб Вс
По дням.
0
10
20
30
40
50
60
70
80
01.01.12 01.02.12 01.03.12 01.04.12 01.05.12 01.06.12 01.07.12 01.08.12 01.09.12 01.10.12
По месяцам.
0,00%
2,00%
4,00%
6,00%
8,00%
10,00%
12,00%
14,00%
16,00%
18,00%
20,00%
Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь
Где живут ботнеты. (геопривязка)
0,00000%
2,00000%
4,00000%
6,00000%
8,00000%
10,00000%
12,00000%
1
RU
DE
US
UA
CN
KZ
GB
??
FR
MD
CA
NL
IL
AZ
TR
LV
JP
Скоростные атаки.
>=1Gbps 2.21%↓ (58↑)
<1Gbps 97.79%
>=10Gbps 28
Типы атак.
Spoofed 45.32%↑
Full connect 54.68%↓
Типы атак Q1 2012
Spoofed 29.67%
Full connect 70.33%
Типы атак 2011.
Spoofed 14.96%
Full connect 85.04%
И снова о скоростях.
PPS
Защищающаяся сторона.
• Доступные L7 контр-меры
VS • Настроенный сервер – 600kpps
• Спец.конфигурация и настройки - 1Mpps
Нападение.
• Конкуренция за ботнет.
• Эффективные L7 контрмеры.
VS • Доступный инструментарий (i.e. netmap)
• Опорные сети, хостинги и IX пропускающие spoofed flood.
Специфика ботнетов.
• Посредственная связность.
• Ограниченность ресурсов.
• Ограниченность возможностей.
Old and busted.
Сетевая топология.
• Протоколы маршрутизации.
• Проколы маршрутизации ;)
• Индуцируемые проколы маршрутизации.
TCP стэк.
• Состояния.
• Таймауты.
• (Неспецифицированные) переходы.
Helping hand – IPV6
IPV6
• Размеры структур данных.
• Плотность адресации.
Что еще интересного?
• BGP Flowspec* enabled networks (радуемся**)
• Google’s TFO (выдыхаем)
• DNS/DNSSEC – void (медитируем)
• RPKI – все так-же обсуждается (молимся)
• IPV6 – будет много «приключений»
• Обновили мировой рекорд:268Gbps/32Mpps
* RFC-5575
** Не все и не всегда.
Вопросы?