Positive Hack Days. Савельев. Доступ запрещен

3,287 views

Published on

Отказ в обслуживании - оружие массового поражения? Стоит ли овчинка выделки? Сколько стоит защита от DDoS? Расследование DDoS. Теория и опыт.

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,287
On SlideShare
0
From Embeds
0
Number of Embeds
1,885
Actions
Shares
0
Downloads
59
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Positive Hack Days. Савельев. Доступ запрещен

  1. 1. | 26 May 2011<br />Доступ запрещен<br />PAGE 1 |<br />
  2. 2. ДОСТУП ЗАПРЕЩЕН<br />
  3. 3. Сегодня в программе <br />DDoS – реальность или миф?<br />Врага надо знать в лицо: погружение в DDoS<br />Пуля и броня – мы их или они нас<br />Когда атака – не атака?<br />На защитника надейся, а сам не плошай<br />Ищут пожарные, ищет милиция…<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 3 |<br />
  4. 4. DDoS – реальность или миф?<br />
  5. 5. Определение<br />| 26 May 2011<br />PAGE 5 |<br />Доступ запрещен<br />DoS-атака<br />Материал из Википедии — свободной энциклопедии<br />DoS-атака (от англ. DenialofService, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. <br />Если атака выполняется одновременно с большого числа компьютеров, говорят о <br />DDoS-атаке (от англ. DistributedDenialofService, распределённая атака типа «отказ в обслуживании»). <br />
  6. 6. Насколько это актуально<br />DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (WebHackingIncidentDatabase).<br />| 26 May 2011<br />PAGE 6 |<br />Доступ запрещен<br />
  7. 7. Насколько это актуально<br />По материалам отчета Arbor Networks<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 7 |<br />
  8. 8. Заголовки новостных лент<br />Хакеры атаковали сайты 40 министерств Южной Кореи<br />Хакеры организовали DDoS-атаку на сайт "Единой России"<br />LiveJournal подвергся массированной DDoS атаке<br />Хакеры устроили мощную DDoS-атаку на WordPress<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 8 |<br />| 26 May 2011<br />Мифы и реалии DDoS-угрозы<br />PAGE 8 |<br />
  9. 9. | 26 May 2011<br />Доступ запрещен<br />PAGE 9 |<br />
  10. 10. Распределение атак<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 10 |<br />
  11. 11. На что направлены атаки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 11 |<br />По материалам отчета Arbor Networks<br />
  12. 12. И при чем тут я??<br />Простой сервиса (продажи, показы рекламы), и, как результат, убыток<br />Вымогательство<br />Недовольство клиентов<br />Недовольство контрагентов<br />Срыв бизнес процессов (от почты до банкоматов)<br />Отвлечение от главного (хищения)<br />Прямой ущерб (торговые площадки)<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 12 |<br />
  13. 13. Пример воздействия на рынки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 13 |<br />Европа<br />Стоимость тура<br />Турция / Греция<br />Россия<br />
  14. 14. Тенденции<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 14 |<br />
  15. 15. Риторические вопросы<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 15 |<br />Почему это происходит?<br />Что теперь делать?<br />Как можно защитится?<br />
  16. 16. Подробнее об атаках<br />
  17. 17. Классическая схема организации атаки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 17 |<br />
  18. 18. На что направлены атаки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 18 |<br />Исчерпание полосы пропускания<br />Исчерпание мощностей коммутационного оборудования<br />Исчерпание вычислительных мощностей<br /><ul><li>Исчерпание мощностей операционной системы
  19. 19. Исчерпание мощностей приложения</li></ul>Комплексные атаки<br />Полоса пропускания<br />Вычислительные мощности<br />Приложение<br />ОС<br />
  20. 20. Почему это получается<br />| 26 May 2011<br />PAGE 19 |<br />Доступ запрещен<br />
  21. 21. Есть чего пугаться<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 20 |<br />По материалам отчета Arbor Networks<br />
  22. 22. Один из мифов про DDoS<br />ЗАЧЕМ СТОЛЬКО, ЕСЛИ<br />Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с<br />Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с<br />Приложение способно обработать всего 4 запроса в секунду<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 21 |<br />
  23. 23. Один из мифов про DDoS<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 22 |<br />Средняя скорость – около 300 Мбит/с<br />
  24. 24. Эволюция <br />2008<br />2011<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 23 |<br />
  25. 25. Врага надо знать в лицо<br />
  26. 26. Откуда что пошло<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 25 |<br />
  27. 27. Монетизация<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 26 |<br />
  28. 28. Зачем это делается<br />Материальный аспект<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 27 |<br />
  29. 29. Теневые бизнесы вокруг DDoS <br />Продажа софта<br />Заказные атаки<br />«Загрузки» ПО<br />Сдача сетей в аренду<br />Вымогательство<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 28 |<br />
  30. 30. Что надо для DDoS Атаки?<br />Нужен софт = нужен программист<br />
  31. 31. ВИДЫ СОФТА<br />«Паблик»<br />Это устаревшие версии<br />Билдер и админка находятся в общем доступе<br />Код не поддерживается<br />Возможно детектирование<br />«Закрытый»<br /><ul><li>Новый функционал (меньше ботов)
  32. 32. Авторское сопровождение</li></ul>| 26 May 2011<br />Доступ запрещен<br />PAGE 30 |<br />
  33. 33. Реальные примеры<br />| 20 апреля 2011<br />Эффективное противодействие DDoS атакам<br />PAGE 31 |<br />
  34. 34. Реальные примеры<br />| 20 апреля 2011<br />Эффективное противодействие DDoS атакам<br />PAGE 32 |<br />
  35. 35. Реальные примеры<br />| 20 апреля 2011<br />Эффективное противодействие DDoS атакам<br />PAGE 33 |<br />
  36. 36. Реальные примеры<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 34 |<br />
  37. 37. Реальные примеры<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 35 |<br />
  38. 38. Реальные примеры<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 36 |<br />
  39. 39. Компоненты софта<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 37 |<br />Компоненты ботнета<br />Панель администрирования<br />Билдер<br />Бот должен знать свой CC<br />Бот должен знать период опроса (управляется в дальнейшем)<br />Бот должен иметь идентификатор (исключает повторное заражение)<br />Бот должен иметь метку(контроль загрузки)<br />
  40. 40. Что надо для DDoS Атаки?<br />Нужнаадминка – нужен хостинг<br />Нужен софт = нужен программист<br />
  41. 41. Схема организации управления ботнетом<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 39 |<br />
  42. 42. Покупка софта<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 40 |<br />
  43. 43. | 26 May 2011<br />Доступ запрещен<br />PAGE 41 |<br />
  44. 44. Пример комплексной атаки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 42 |<br />IP АДРЕСА<br />ПАКЕТЫ<br />ОБЪЕМ ДАННЫХ<br />
  45. 45. Пример комплексной атаки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 43 |<br />
  46. 46. Что надо для DDoS Атаки?<br />Нужен софт = нужен программист<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 44 |<br />Нужнаадминка – нужен хостинг<br />Нужны боты = нужен специалист по заражению<br />
  47. 47. | 26 May 2011<br />Доступ запрещен<br />PAGE 45 |<br />
  48. 48. | 26 May 2011<br />Доступ запрещен<br />PAGE 46 |<br />
  49. 49. | 26 May 2011<br />Доступ запрещен<br />PAGE 47 |<br />
  50. 50. | 26 May 2011<br />Доступ запрещен<br />PAGE 48 |<br />
  51. 51. Откуда что берется <br />Кража паролей к различнымсайтам (доступ по FTP), нахождение иных уязвимостей<br />Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика<br />Завлечение пользователей на взломанные сайты<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 49 |<br />Пункты раздачи <br />вредоносного ПО<br />(само тело или руткит)<br />Взломанные <br />сервера<br />Распределение<br />Трафика<br />(например - географическое)<br />
  52. 52. Сколько ботов покупать<br />30 ботов загружают форум средней посещаемости<br />300 ботов - средний сайт<br />1000 ботов - крупный сайт<br />5000 кластер с сайтом, даже при использовании анти ддос, блокировки и прочих приблуд. <br />15-20 тысяч ботов, теоретически могут уложить "вконтакте.ру"<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 50 |<br />Типовая сеть для заказного DDoS - 2000 – 3000 ботов<br />«Профи» - 20 000 – 30 000 ботов<br />
  53. 53. Арифметика загрузки<br />Процент отклика: 12 %<br />Процент ботов на связи: 15% <br />Для 1000 постоянно активных ботов – необходимо <br />55 000 реальных загрузок<br />Надо купить – 500 000 загрузок<br />На хорошем потоке – до 100 000 уникальных IP в день<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 51 |<br />
  54. 54. После покупки загрузки<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 52 |<br />Первый сеанс связи<br />Доложиться о процессе заражения (прислать метку)<br />Доложиться о своем окружении<br />Получить идентификатор (в дальнейшем – основа управления)<br />
  55. 55. Протокол общения<br />Первые боты общались по HTTP<br />HTTP/1.1 200 OK<br />Date: DAY, DD MMM YYYY HH:MM:SS GMT<br />Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 PHP/5.2.3<br />mod_ssl/2.0.59 OpenSSL/0.9.7e-p1<br />X-Powered-By: PHP/5.2.3<br />Content-Length: 80<br />Connection: close<br />Content-Type: text/html<br />MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3dhaXQjMTAjeENSMl8yN<br />Все последующие – используют шифрование<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 53 |<br />
  56. 56. | 26 May 2011<br />Доступ запрещен<br />PAGE 54 |<br />
  57. 57. | 26 May 2011<br />Доступ запрещен<br />PAGE 55 |<br />
  58. 58. Что надо для DDoS Атаки?<br />Осталось найти заказчика<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 56 |<br />Нужнаадминка – нужен хостинг<br />Нужны боты = нужен специалист по заражению<br />
  59. 59. | 26 May 2011<br />Доступ запрещен<br />PAGE 57 |<br />
  60. 60. Диалог по заказу<br />Алиса: Ку<br />Алиса: нужен дос<br />Алиса: прием<br />ВОВ: да<br />ВОВ: покажите сайт<br />Алиса: ---------.ru<br />ВОВ: на какой срок?<br />Алиса: 12 часов<br />Алиса: если все ровно продлим<br />ВОВ: ещё на 12?))<br />Алиса: посмотрим<br />Алиса: не хочу попусту болтать<br />Алиса: все меняется, обещания дорогого стоят<br />ВОВ: 50$ за 12 часов<br />Алиса: тест?<br />ВОВ: цена норм?<br />Алиса: почему нет, если качественно исполняешь<br />ВОВ: видишь тест?<br />Алиса: когда стартовал?<br />ВОВ: сейчас<br />Алиса: 16-20?<br />Алиса: тест минут 15?<br />ВОВ: 10 думаю хватит<br />Алиса: ну ок смотрим<br /> <br />| 26 May 2011<br />Доступ запрещен<br />PAGE 58 |<br />
  61. 61. Диалог по заказу<br />ВОВ: da<br />ВОВ: ddosnyhen ? <br />ВОВ: ssulkynasaitdai<br />ВОВ: skagucenuzasutki<br />Алиса: ------.ru<br />ВОВ: sek<br />ВОВ: skagu<br />ВОВ: vutyt >? yatestsdelayposmotrite<br />Алиса: atakanuznautrom<br />Алиса: v 11-00<br />ВОВ: proverte <br />ВОВ: sait sei4as<br />ВОВ: etotest <br />ВОВ: 4tobu vuposmotreli<br />ВОВ: proverili?<br />ВОВ: yge prosnuls9 sait<br />ВОВ: skolkovuplotitezasutkiataki ? WMZ<br />Алиса: egonesmoglipolozitsegodna<br />ВОВ: nuyasmog<br />Алиса: davaikoshelokinachinaiatakuv 11-00<br />ВОВ: wacplotish?<br />Алиса: da<br />Алиса: 50%<br />Алиса: 50% poslenachalaatakiv 11-00<br />ВОВ: skolkoplotitbydewvsutki<br />ВОВ: nu na4nem v 11 <br />Алиса: timneskazi<br />ВОВ: 150 wmzzasutki<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 59 |<br />
  62. 62. Как выглядит тест<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 60 |<br />
  63. 63. Ботнет – это навсегда?<br />Проблемы сохранения сети<br />Регулярное перекриптование бота<br />Abuse-устойчивость хостингаСС<br />Возобновление сети<br />В день атаки ботнет может терять до 25% своих членов<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 61 |<br />
  64. 64. И так сколько же это все стоит<br />Ну давай считать:<br />софт – от 600 у.е. разово<br />Загрузки – 2000 у.е. разово<br />Нагон ботов – от 100 у.е. в день по необходимости <br />Перекриптование ботов – раз в 2-3 дня – 20$ - 200$ в месяц<br />Атака – от $100 - 150в сутки<br />Окупаемость – от 30 атак<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 62 |<br />
  65. 65. Что умеет бот<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 63 |<br />Выполнить команду на атаку<br />Модифицировать параметры атаки<br />Изменить частоту опроса СС<br />Изменить СС<br />Загрузить обновление/модуль<br />Удалить себя с компьютера жертвы<br />Упраление модулями:<br />Красть пароли и т.п.<br />
  66. 66. Врага надо знать в лицо<br />ОБЗОР СОФТА<br />
  67. 67. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 65 |<br />Семейство Black Energy 2007 год<br />Archive: BlackEnergy DDoS Bot.zip<br />Length Date Time Name<br />-------- ---- ---- ----<br />0 09-30-07 07:58 BlackEnergy DDoS Bot/<br />0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/<br />78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe<br />19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll<br />15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe<br />36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe<br />896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql<br />30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt<br />0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/<br />1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php<br />1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html<br />319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php<br />5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php<br />492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php<br />987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php<br />807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css<br />29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe<br />-------- -------<br />191489 17 files<br />
  68. 68. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 66 |<br />Семейство Black Energy 2007 год<br />Archive: BlackEnergy DDoS Bot.zip<br />Length Date Time Name<br />-------- ---- ---- ----<br />0 09-30-07 07:58 BlackEnergy DDoS Bot/<br />0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/<br />78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe<br />19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll<br />15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe<br />36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe<br />896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql<br />30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt<br />0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/<br />1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php<br />1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html<br />319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php<br />5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php<br />492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php<br />987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php<br />807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css<br />29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe<br />-------- -------<br />191489 17 files<br />
  69. 69. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 67 |<br />Семейство Black Energy 2007 год<br />Семейство Black Energy 22008год<br />Шифрованный обмен данными, <br />модульная структура (в т.ч. Плагин эмуляции браузера)<br />
  70. 70. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 68 |<br />Семейство Black Energy 2007 год<br />Семейство Black Energy 22008год<br />RussKill 2009 год<br />многопоточность<br />
  71. 71. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 69 |<br />Семейство Black Energy 2007 год<br />Семейство Black Energy 22008год<br />RussKill 2009 год<br />DirtJumper - новое название последующих версий RussKill 2010 год<br />Появляются возможности атак методом POST<br />
  72. 72. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 70 |<br />Семейство Black Energy 2007 год<br />Семейство Black Energy 22008год<br />RussKill 2009 год<br />DirtJumper - новое название последующих версий RussKill 2010 год<br />DDoS-Engeneer2010год<br />G-bot,G-BotakaPiranha 2010 год<br />Optimaон же Darkness, G-Bot, изначально – 2008 год<br />
  73. 73. Какой же есть софт<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 71 |<br />
  74. 74. | 26 May 2011<br />Доступ запрещен<br />PAGE 72 |<br />
  75. 75. Какие атаки генерируют боты?<br />SYN-Flood - множество BOT-ов направляют на атакуемый узел большое количество запросов на установление соединений. При этом на атакуемом сервере через короткое время исчерпывается количество возможных соединений и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – т.е. в прекращении взаимодействия в процессе установления соединения, или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию.<br />UDP-Flood- затопление канала жертвы большим количеством «больших» UDP- пакетов. UDP протокол более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер перестаёт отвечать. <br />| 26 May 2011<br />Доступ запрещен<br />PAGE 73 |<br />
  76. 76. Какие атаки генерируют боты?<br />ICMP Flood или PingFlood– затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом, атакуемая система должна ответить на каждый такой запрос/пакет, тем самым с одной стороны создаётся большое количество ответных пакетов, которые снижают производительность (пропускную способность) канала, а с другой стороны загружаются ресурсы сервера.<br />HTTP flood- Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами.<br />Downloadingflood- позволяет забить канал жертвы трафиком.Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема. <br />POST/GETflood– вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Например, это могу быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых и т.п. запросов, что вызывает нагрузку на сервер приложений и базы данных.<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 74 |<br />
  77. 77. Какие атаки генерируют боты?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 75 |<br />Slowloris– Исчерпание лимита HTTP или TCP соединений за счет открытия и удержания сессии на границе таймаутов за счет очень низкой активности в рамках соединения<br />Подвержены<br />Apache 1.x <br />Apache 2.x <br />dhttpd<br />GoAheadWebServer<br />Устойчивы<br />IIS6.0 <br />IIS7.0 <br />lighttpd<br />Squid <br />nginx<br />Cherokee<br />Netscaler<br />Cisco CSS<br />
  78. 78. slowloris<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 76 |<br />
  79. 79. Какие атаки генерируют боты?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 77 |<br />Lowrate, ddoslimit– Исчерпание лимита соединений за счет открытия небольшого числа соединений с большого количества ботов.<br />Более 1 500 000 IP в блок-листах<br />Бот выходит на связь 1 раз в 2 часа при постоянном потоке в 2000 адресов в минуту<br />
  80. 80. О подготовке к атаке<br />Исследование ресурса<br />Исследование возможностей защиты<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 78 |<br />
  81. 81. Еще о неприятных тенденциях<br />| 26 May 2011<br />DDoS-атаки как средство кибертерроризма<br />PAGE 79 |<br />
  82. 82. Мы их или они нас?<br />
  83. 83. По деньгам – они… защита стоит на порядок дороже<br />Правда- за нами!<br />Защита - заставляет DDoS–еров возвращать деньги<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 81 |<br />
  84. 84. Недостатки типовых методов защиты<br />Межсетевые экраны<br />Не спасают от атаки на исчерпание полосы пропускания канала.  <br />Маршрутизация в «черные дыры»<br />Только помогают хакеру достичь своей цели. <br />Системы IDS|IPS <br />Не спасают от атаки на исчерпание полосы пропускания канала.  <br />бессильны против 99% DDoS атак, которые не используют уязвимости. <br />Оптимизация настроек ресурсов<br />Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса».<br />Многократное резервирование<br />Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту.<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 82 |<br />
  85. 85. Общая концепция противодействия<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 83 |<br />Информированности о угрозе, включающая<br />Информированность о типичных схемах и целях использования того или иного инструментария<br />информированность специалистов по безопасности о самой возможности что-то противопоставить злоумышленнику;<br />информированности о порядке действий в случае тех или иных инцидентов.<br />Технические средства защиты<br />Правовое противодействие злоумышленникам<br />
  86. 86. Варианты аппаратной защиты<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 84 |<br />
  87. 87. Варианты сервисной защиты<br />| 26 May 2011<br />PAGE 85 |<br />ё<br />Без атаки<br />Во время <br />атаки<br />
  88. 88. Критерии фильтрации <br />| 26 May 2011<br />Мифы и реалии DDoS-угрозы<br />PAGE 86 |<br />Статистические<br />Основа – вычисленные параметры поведения типового пользователя<br />Статические <br />Черные/белые списки фильтрации<br />Поведенческие<br />Основа – умение работать в соответствии со спецификацией протокола<br />Сигнатурные<br />Индивидуальные особенности Ботнета<br />Особенности генерируемых сетевых пакетов<br />
  89. 89. Что беспокоит владельцев ресурсов?<br />Как переключать ресурс на систему защиты? <br />А у меня шифрованный трафик!<br />Что еще надо, помимо изменения анонсов?<br />Сколько время занимает переключение?<br />А если атакуют по IP?<br />Задержка какая будет?<br />Насколько оперативно возможно помочь?<br />Можно ли заддосить защитника?<br />Это что же, защитник увидит весь мой трафик?<br />Как протестировать систему защиты?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 87 |<br />
  90. 90. Что беспокоит владельцев ресурсов?<br />Как переключать ресурс на систему защиты? <br />А у меня шифрованный трафик!<br />Что еще надо, помимо изменения анонсов?<br />Использование возможностей протокола DNS <br />Использование возможностей протокола BGP<br />Внутренние протоколы маршрутизации<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 88 |<br />
  91. 91. Что беспокоит владельцев ресурсов?<br />Сколько время занимает переключение?<br />Использование возможностей протокола DNS - 20-30 минут<br />Использование возможностей протокола BGP - 2-3 минуты<br />Внутренние протоколы маршрутизации - почти мгновенно<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 89 |<br />
  92. 92. Что беспокоит владельцев ресурсов?<br />А если атакуют по IP?<br />Закрываем весь трафик, кроме тоннелей…<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 90 |<br />
  93. 93. Что беспокоит владельцев ресурсов?<br />Задержка какая будет?<br />Вот информация под атакой<br />Результат ВремяответаCкорость<br />отдачи, КБ/сек<br />Полученные результаты: 81Ok 1 Ошибка(ок) Average:0.91 sec4.55<br />Полученныерезультаты: 81 Ok Average:1.42 sec23.77<br />(вторая строчка соответствует замеру в пик атаки)<br />А вот статистика, когда атаки нет<br />РезультатВремяответаCкорость<br />отдачи, КБ/сек<br />Полученные результаты: 80Ok 1 Ошибка(ок) Average:0.80 sec42.67  <br />| 26 May 2011<br />Доступ запрещен<br />PAGE 91 |<br />
  94. 94. Что беспокоит владельцев ресурсов?<br />Задержка какая будет?<br /> Ресурс без атаки, трафик идет через систему Kaspersky DDoS Prevention<br />17:09:06 Полученные результаты: 58Ok Average: 0.75 sec 45.91<br />17:15:32 Полученные результаты: 65Ok Average: 0.78 sec43.91<br />Ресурс без атаки, трафик идет напрямую на ресурс<br />17:38:23 Полученные результаты: 62 Ok Average: 1.17 sec 29.42<br />17:43:25 Полученные результаты: 62 Ok Average: 0.77 sec 44.40<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 92 |<br />
  95. 95. Что беспокоит владельцев ресурсов?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 93 |<br />
  96. 96. Что беспокоит владельцев ресурсов?<br />Насколько оперативно возможно помочь?<br />Можно ли заддосить защитника?<br />Это что же, защитник увидит весь мой трафик?<br />Как протестировать систему защиты?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 94 |<br />
  97. 97. Еще немного<br />ГЕО-фильтрация…<br />Мониторинг…<br />Проблема совмещенной защиты – можно ли попробовать сразу 2 решения?<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 95 |<br />
  98. 98. Работа с заблуждениями<br />
  99. 99. Для провайдеров DDoS тоже проблема<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 97 |<br />
  100. 100. Для провайдеров DDoS тоже проблема<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 98 |<br />
  101. 101. Люди делятся…<br />Были под атакой<br />Ждут атаки<br />Сомневаются или не верят<br />| 26 May 2011<br />Kaspersky DDoS Prevention<br />PAGE 99 |<br />
  102. 102. Виды заблуждений<br />Пораженческие<br /> Эти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасности<br />Чрезмерно оптимистичные<br /> Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности<br />| 26 May 2011<br />Kaspersky DDoS Prevention<br />PAGE 100 |<br />
  103. 103. Пораженческие<br />От DDOS невозможно защититься<br /> В общем же случае, речь идет о противостоянии людей и техники, а людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту. <br />Все равно мне забьют канал…<br />| 26 May 2011<br />Kaspersky DDoS Prevention<br />PAGE 101 |<br />
  104. 104. Оптимистичные<br />Я читал о том, как можно настроить сервер, чтобы он устоял<br /> Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса». <br /> Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер<br /> Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна.<br /> Я арендовал достаточный канал<br /> Это поможет, но лишь отчасти. Например, теперь, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений.<br />| 26 May 2011<br />Kaspersky DDoS Prevention<br />PAGE 102 |<br />
  105. 105. Когда атака – не атака<br />
  106. 106. Хабраэффект<br />Пример удачно стартовавшей рекламной компании<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 104 |<br />
  107. 107. Сам себезлобный DDoS-ер <br />Ошибки в клиент серверной архитектуре или неверные оценки требуемых мощностей часто приводят к тому, что клиенты становятся оружием, похлеще бот сетей.<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 105 |<br />
  108. 108. DDoS или не DDoS<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 106 |<br />
  109. 109. На защитника надейся, а сам не плошай<br />
  110. 110. Еще из мифов : защита – плевое дело<br />Противодействие возможно??? – ДА!!!<br />Защита от DDoS - плод совместных усилий Жертвы и Защитника<br />Волшебной пилюли не существует<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 108 |<br />
  111. 111. Типовые проблемы в процессе защиты<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 109 |<br /><ul><li>Готовность – залог успеха
  112. 112. Пароли от панелей управления DNS
  113. 113. Наличие админов, способных управлять настройками оборудования и приложений
  114. 114. Работать надо вместе, спать не придется
  115. 115. Невозможно защитить «пустоту»</li></li></ul><li>Типовые проблемы в процессе защиты<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 110 |<br /><ul><li>Невозможно защитить «дыру»</li></ul>Microsoft Security Bulletin MS09-048 - Critical<br />Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)<br />Published: September 08, 2009 | Updated: September 10, 2009<br /><ul><li>Ресурсы требуют оптимизации</li></li></ul><li>Ищут пожарные, ищет милиция…<br />
  116. 116. Кто меня DDoS-ил???<br />Хотите привлечь этих …. к ответственности?<br />Необходимо задокументироватьатаку!!! Списки ботов, география ботов, тип атаки и как можно больше другой информации.<br />Нужны компьютеры, которые реально атакуют систему!!!<br />Их необходимо искать во время атаки!!!<br />Обращайтесь как можно раньше!!!<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 112 |<br />
  117. 117. ВСТРЕЧАЙТЕ DDOS НА ПОДГОТОВЛЕННЫХ ПОЗИЦИЯХ !!!<br />| 26 May 2011<br />Доступ запрещен<br />PAGE 113 |<br />
  118. 118. Савельев Михаил <br />Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA <br />

×