Your SlideShare is downloading. ×
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Alexander Lyamin - Anatomy and metrology of DoS/DDoS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Alexander Lyamin - Anatomy and metrology of DoS/DDoS

246

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
246
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Анатомия и метрология DoS/DDoS Alexander Lyamin <la@qrator.net>
  • 2. Почему? Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории: • Атаки на каналы связи • Атаки на конечные системы
  • 3. Почему? Типы DDoS-атак • Атаки 4-го уровня – – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного количества соединений, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.) • Атаки 7-го уровня – направлены на ресурс (сервис прикладного уровня)
  • 4. Почему? • TCP SYN Flood • TCP SYN-ACK Reflection Flood (DRDoS) • TCP Spoofed SYN Flood • TCP ACK Flood • TCP IP Fragmented Attack … sockstress забыли! • HTTP and HTTPS Flood Attacks • INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood • UDP Flood Attack • DNS Amplification Attacks
  • 5. Почему? “Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”
  • 6. Почему? “Ожидания оправдались в достаточной мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”
  • 7. Почему ?
  • 8. … нет (вежливых) слов.
  • 9. Gbps
  • 10. Mpps
  • 11. krps
  • 12. Botnet size
  • 13. Экзотичные метрики
  • 14. Проблема
  • 15. Как должно быть (6aR,9R)- N,N- diethyl- 7methyl- 4,6,6a,7,8,9hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide N-methyl-1-phenylpropan-2amino N.B. “Yeah! Sc1ence, beatch!”
  • 16. Решение
  • 17. Классификация
  • 18. Канальная емкость PURE. SIMPLE. CONSUMED. BANDWIDTH
  • 19. Канальная емкость
  • 20. Инфраструктура сети Fragmentation+Stateful+Routing = Control Plane
  • 21. Инфраструктура сети
  • 22. Инфраструктура сети Routing • (dynamic) Route loops • Prefix hijacking • Amplifiers http://radar.qrator.net
  • 23. Cетевой стек
  • 24. Сетевой стек Запросы Ответы
  • 25. Cетевой стек
  • 26. Cетевой стек
  • 27. Приложение L7 σημαντικός
  • 28. Приложение Запросы Ответы
  • 29. Приложение Ошибки Стоп-лист
  • 30. Сhangelog • DNS (и другие не-TCP протоколы) • TCP-протоколы для которых мы не являемся endpoint • Умные enterprise-заказчики • И большие сети с 100+ приложений • Говорящих на 10+ (custom) протоколах
  • 31. Как сделать мир статистику лучше?
  • 32. Помнить про эту картинку!
  • 33. Cтатистика 2.0
  • 34. Статистика 2.0
  • 35. Канальная емкость 2.0 • Чем именно занят канал? • Транспортные протоколы • Приложения
  • 36. Cетевая инфраструктура 2.0 • Сколько потоков? • Какова их динамика? • Какие из них наиболее активны?
  • 37. Сетевой стэк 2.0 TCP • Состояния соединений • Динамика состояний
  • 38. Приложение 2.0 Запросы • Статика • Динамика • Самые популярные URL
  • 39. Приложение 2.0 Ответы • Топ-5 ? • Топ-10 ? • Кластеризация ?
  • 40. Приложение 2.0 Ошибки 500,501,503,504 • Топ ? • Кластеризация ?
  • 41. Приложение 2.0 502 – диагностика пути ?
  • 42. Идеи закончились. … Вопросы остались.
  • 43. Приложение 2.0 А что делать с !HTTP ?
  • 44. Приложение 2.0 • А как ПРАВИЛЬНО провести сэмплинг поведения ботнета ?
  • 45. А что такое ботнет? a) Множество зараженных b) Общность кода c) Единый контроль
  • 46. C нашей точки зрения a) Множество адресов b) Сходная техника c) Общие цели
  • 47. C нашей точки зрения a) DomainID+время первой регистрации b) Пересечение по IP c) Используемые техники
  • 48. Более лучше
  • 49. Вместо заключения

×