Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
13. To: info@*^#$^*.net
«
Today we faced several Gbps of DoS
from your exchange (and at this time it
hasn't stopped yet).
It is ICMP traffic with spoofed source
addresses.
Our suggestion is that one of your
clients uses IPs from other ASes,
connected to *^#$^*-IX.
»
14. From: info@*^#$^*.net
«
*^#$^*-IX only operates the L2 exchange
fabric. We are not involved in routing issues
ourselves. Please ask your upstream(s) to
contact their relevant peers on the exchange in
order to investigate this.
One idea is that you could add a null route at
the border?
»
16. #include <distribution.h>
enum yearly {
JANUARY = 437,
FEBRUARY = 392,
MARCH = 303,
APRIL = 87,
MAY = 22,
JUNE = 85,
JULY = 103,
AUGUST = 88,
SEPTEMBER = 46
};
17. Январь
Февраль
Март
Апрель
Май
Июнь
Июль
Август
Сентябрь
0 50 100 150 200 250 300 350 400 450 500
32. Тенденция
● Network level → Application Level
● Гигабиты – не метрика
● Метрики:
● Трафик
● Пакеты
● Запросы
● Объём ботнета
= Производимый эффект
33. Что нужно помнить
● Не все боты одинаково вредны
● http://en.wikipedia.org/wiki/User:RFC_bot
● http://www.opera.com/browser/turbo/
● Важна корреляция!
● Не все иностранцы одинаково вредны
● http://www.letoile.ru