Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г. Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».

1. DDoS-атаки в 2011 году:
характер и тенденции
Signed-off-by: "Artyom Gavrichenkov" <ximaera@highloadlab.com>

2. #include <statistics.h>
int ATTACK_COUNT=1563
int SPOOF_ATTACKS_COUNT=275
int GBPS_ATTACKS_COUNT=23
// >=1 GBPS

3. #include <statistics.h>
int MAX_DURATION=486 // hours

6. #include <statistics.h>
int MAX_TRAFFIC=56 // Gbps

7. #include <statistics.h>
int MAX_BOTNET_COUNT=127486
// http://highloadlab.com

9. #include <distribution.h>
enum weekly {
MONDAY = 218,
TUESDAY = 244,
WEDNESDAY = 225,
THURSDAY = 245,
FRIDAY = 241,
SATURDAY = 201,
SUNDAY = 189
};

10. Понедельник
Вторник
Среда
Четверг
Пятница
Суббота
Воскресенье
0 50 100 150 200 250 300

11. В выходные техподдержка ISP
работает менее усердно

12. Основные проблемы (пока) не с ISP,
а с IXP

13. To: info@*^#$^*.net
«
Today we faced several Gbps of DoS
from your exchange (and at this time it
hasn't stopped yet).
It is ICMP traffic with spoofed source
addresses.
Our suggestion is that one of your
clients uses IPs from other ASes,
connected to *^#$^*-IX.
»

14. From: info@*^#$^*.net
«
*^#$^*-IX only operates the L2 exchange
fabric. We are not involved in routing issues
ourselves. Please ask your upstream(s) to
contact their relevant peers on the exchange in
order to investigate this.
One idea is that you could add a null route at
the border?
»

15. From: info@*^#$^*!net
1. Устанавливаем сервер на IX
2. Производим мультигигабитные атаки
3. …
4. PROFIT

16. #include <distribution.h>
enum yearly {
JANUARY = 437,
FEBRUARY = 392,
MARCH = 303,
APRIL = 87,
MAY = 22,
JUNE = 85,
JULY = 103,
AUGUST = 88,
SEPTEMBER = 46
};

17. Январь
Февраль
Март
Апрель
Май
Июнь
Июль
Август
Сентябрь
0 50 100 150 200 250 300 350 400 450 500

18. Ждем Нового года!

20. Самая продолжительная атака?
● Сайт туристической фирмы
● http://www.highloadlab.com
● Магазин магнитных игрушек
● http://www.habrahabr.ru
● Магазин кедровых бочек
● http://www.diary.ru

21. Самая продолжительная атака?
● Сайт туристической фирмы
● http://www.highloadlab.com
● Магазин магнитных игрушек
● http://www.habrahabr.ru
● Магазин кедровых бочек
● http://www.diary.ru

22. Наибольший суммарный трафик
атаки?
● Сайт туристической фирмы
● http://www.highloadlab.com
● Магазин магнитных игрушек
● http://www.habrahabr.ru
● Магазин кедровых бочек
● http://www.diary.ru

23. Наибольший суммарный трафик
атаки?
● Сайт туристической фирмы
● http://www.highloadlab.com
● Магазин магнитных игрушек
● http://www.habrahabr.ru
● Магазин кедровых бочек
● http://www.diary.ru

26. Среди узкоспециализированных компаний –
высокая конкуренция.
DDoS – это метод конкурентной борьбы.

27. Цели атакующих
● Деньги
● Политика
● Реклама
● Принципы
● + B1TC01N$

28. Реклама
http://habrahabr.ru
● Повторная атака спустя 30 минут после
опубликования статьи

29. http://www.nic.ly

30. Принципы
Социальный DDoS: http://citadel-film.ru/

31. B1TC01N$
BKDR_BTMINE.DDOS
«
Used to perform DDoS attacks and aids other
component malware in stealing Bitcoins from
targeted entities.
»

32. Тенденция
● Network level → Application Level
● Гигабиты – не метрика
● Метрики:
● Трафик
● Пакеты
● Запросы
● Объём ботнета
= Производимый эффект

33. Что нужно помнить
● Не все боты одинаково вредны
● http://en.wikipedia.org/wiki/User:RFC_bot
● http://www.opera.com/browser/turbo/
● Важна корреляция!
● Не все иностранцы одинаково вредны
● http://www.letoile.ru

34. Questions?