Your SlideShare is downloading. ×
0
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Positive Hack Days. Савельев. Доступ запрещен
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Positive Hack Days. Савельев. Доступ запрещен

2,913

Published on

Отказ в обслуживании - оружие массового поражения? Стоит ли овчинка выделки? Сколько стоит защита от DDoS? Расследование DDoS. Теория и опыт.

Отказ в обслуживании - оружие массового поражения? Стоит ли овчинка выделки? Сколько стоит защита от DDoS? Расследование DDoS. Теория и опыт.

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,913
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
56
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. | 26 May 2011
    Доступ запрещен
    PAGE 1 |
  • 2. ДОСТУП ЗАПРЕЩЕН
  • 3. Сегодня в программе
    DDoS – реальность или миф?
    Врага надо знать в лицо: погружение в DDoS
    Пуля и броня – мы их или они нас
    Когда атака – не атака?
    На защитника надейся, а сам не плошай
    Ищут пожарные, ищет милиция…
    | 26 May 2011
    Доступ запрещен
    PAGE 3 |
  • 4. DDoS – реальность или миф?
  • 5. Определение
    | 26 May 2011
    PAGE 5 |
    Доступ запрещен
    DoS-атака
    Материал из Википедии — свободной энциклопедии
    DoS-атака (от англ. DenialofService, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
    Если атака выполняется одновременно с большого числа компьютеров, говорят о
    DDoS-атаке (от англ. DistributedDenialofService, распределённая атака типа «отказ в обслуживании»).
  • 6. Насколько это актуально
    DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (WebHackingIncidentDatabase).
    | 26 May 2011
    PAGE 6 |
    Доступ запрещен
  • 7. Насколько это актуально
    По материалам отчета Arbor Networks
    | 26 May 2011
    Доступ запрещен
    PAGE 7 |
  • 8. Заголовки новостных лент
    Хакеры атаковали сайты 40 министерств Южной Кореи
    Хакеры организовали DDoS-атаку на сайт "Единой России"
    LiveJournal подвергся массированной DDoS атаке
    Хакеры устроили мощную DDoS-атаку на WordPress
    | 26 May 2011
    Доступ запрещен
    PAGE 8 |
    | 26 May 2011
    Мифы и реалии DDoS-угрозы
    PAGE 8 |
  • 9. | 26 May 2011
    Доступ запрещен
    PAGE 9 |
  • 10. Распределение атак
    | 26 May 2011
    Доступ запрещен
    PAGE 10 |
  • 11. На что направлены атаки
    | 26 May 2011
    Доступ запрещен
    PAGE 11 |
    По материалам отчета Arbor Networks
  • 12. И при чем тут я??
    Простой сервиса (продажи, показы рекламы), и, как результат, убыток
    Вымогательство
    Недовольство клиентов
    Недовольство контрагентов
    Срыв бизнес процессов (от почты до банкоматов)
    Отвлечение от главного (хищения)
    Прямой ущерб (торговые площадки)
    | 26 May 2011
    Доступ запрещен
    PAGE 12 |
  • 13. Пример воздействия на рынки
    | 26 May 2011
    Доступ запрещен
    PAGE 13 |
    Европа
    Стоимость тура
    Турция / Греция
    Россия
  • 14. Тенденции
    | 26 May 2011
    Доступ запрещен
    PAGE 14 |
  • 15. Риторические вопросы
    | 26 May 2011
    Доступ запрещен
    PAGE 15 |
    Почему это происходит?
    Что теперь делать?
    Как можно защитится?
  • 16. Подробнее об атаках
  • 17. Классическая схема организации атаки
    | 26 May 2011
    Доступ запрещен
    PAGE 17 |
  • 18. На что направлены атаки
    | 26 May 2011
    Доступ запрещен
    PAGE 18 |
    Исчерпание полосы пропускания
    Исчерпание мощностей коммутационного оборудования
    Исчерпание вычислительных мощностей
    • Исчерпание мощностей операционной системы
    • 19. Исчерпание мощностей приложения
    Комплексные атаки
    Полоса пропускания
    Вычислительные мощности
    Приложение
    ОС
  • 20. Почему это получается
    | 26 May 2011
    PAGE 19 |
    Доступ запрещен
  • 21. Есть чего пугаться
    | 26 May 2011
    Доступ запрещен
    PAGE 20 |
    По материалам отчета Arbor Networks
  • 22. Один из мифов про DDoS
    ЗАЧЕМ СТОЛЬКО, ЕСЛИ
    Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с
    Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с
    Приложение способно обработать всего 4 запроса в секунду
    | 26 May 2011
    Доступ запрещен
    PAGE 21 |
  • 23. Один из мифов про DDoS
    | 26 May 2011
    Доступ запрещен
    PAGE 22 |
    Средняя скорость – около 300 Мбит/с
  • 24. Эволюция
    2008
    2011
    | 26 May 2011
    Доступ запрещен
    PAGE 23 |
  • 25. Врага надо знать в лицо
  • 26. Откуда что пошло
    | 26 May 2011
    Доступ запрещен
    PAGE 25 |
  • 27. Монетизация
    | 26 May 2011
    Доступ запрещен
    PAGE 26 |
  • 28. Зачем это делается
    Материальный аспект
    | 26 May 2011
    Доступ запрещен
    PAGE 27 |
  • 29. Теневые бизнесы вокруг DDoS
    Продажа софта
    Заказные атаки
    «Загрузки» ПО
    Сдача сетей в аренду
    Вымогательство
    | 26 May 2011
    Доступ запрещен
    PAGE 28 |
  • 30. Что надо для DDoS Атаки?
    Нужен софт = нужен программист
  • 31. ВИДЫ СОФТА
    «Паблик»
    Это устаревшие версии
    Билдер и админка находятся в общем доступе
    Код не поддерживается
    Возможно детектирование
    «Закрытый»
    • Новый функционал (меньше ботов)
    • 32. Авторское сопровождение
    | 26 May 2011
    Доступ запрещен
    PAGE 30 |
  • 33. Реальные примеры
    | 20 апреля 2011
    Эффективное противодействие DDoS атакам
    PAGE 31 |
  • 34. Реальные примеры
    | 20 апреля 2011
    Эффективное противодействие DDoS атакам
    PAGE 32 |
  • 35. Реальные примеры
    | 20 апреля 2011
    Эффективное противодействие DDoS атакам
    PAGE 33 |
  • 36. Реальные примеры
    | 26 May 2011
    Доступ запрещен
    PAGE 34 |
  • 37. Реальные примеры
    | 26 May 2011
    Доступ запрещен
    PAGE 35 |
  • 38. Реальные примеры
    | 26 May 2011
    Доступ запрещен
    PAGE 36 |
  • 39. Компоненты софта
    | 26 May 2011
    Доступ запрещен
    PAGE 37 |
    Компоненты ботнета
    Панель администрирования
    Билдер
    Бот должен знать свой CC
    Бот должен знать период опроса (управляется в дальнейшем)
    Бот должен иметь идентификатор (исключает повторное заражение)
    Бот должен иметь метку(контроль загрузки)
  • 40. Что надо для DDoS Атаки?
    Нужнаадминка – нужен хостинг
    Нужен софт = нужен программист
  • 41. Схема организации управления ботнетом
    | 26 May 2011
    Доступ запрещен
    PAGE 39 |
  • 42. Покупка софта
    | 26 May 2011
    Доступ запрещен
    PAGE 40 |
  • 43. | 26 May 2011
    Доступ запрещен
    PAGE 41 |
  • 44. Пример комплексной атаки
    | 26 May 2011
    Доступ запрещен
    PAGE 42 |
    IP АДРЕСА
    ПАКЕТЫ
    ОБЪЕМ ДАННЫХ
  • 45. Пример комплексной атаки
    | 26 May 2011
    Доступ запрещен
    PAGE 43 |
  • 46. Что надо для DDoS Атаки?
    Нужен софт = нужен программист
    | 26 May 2011
    Доступ запрещен
    PAGE 44 |
    Нужнаадминка – нужен хостинг
    Нужны боты = нужен специалист по заражению
  • 47. | 26 May 2011
    Доступ запрещен
    PAGE 45 |
  • 48. | 26 May 2011
    Доступ запрещен
    PAGE 46 |
  • 49. | 26 May 2011
    Доступ запрещен
    PAGE 47 |
  • 50. | 26 May 2011
    Доступ запрещен
    PAGE 48 |
  • 51. Откуда что берется
    Кража паролей к различнымсайтам (доступ по FTP), нахождение иных уязвимостей
    Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика
    Завлечение пользователей на взломанные сайты
    | 26 May 2011
    Доступ запрещен
    PAGE 49 |
    Пункты раздачи
    вредоносного ПО
    (само тело или руткит)
    Взломанные
    сервера
    Распределение
    Трафика
    (например - географическое)
  • 52. Сколько ботов покупать
    30 ботов загружают форум средней посещаемости
    300 ботов - средний сайт
    1000 ботов - крупный сайт
    5000 кластер с сайтом, даже при использовании анти ддос, блокировки и прочих приблуд.
    15-20 тысяч ботов, теоретически могут уложить "вконтакте.ру"
    | 26 May 2011
    Доступ запрещен
    PAGE 50 |
    Типовая сеть для заказного DDoS - 2000 – 3000 ботов
    «Профи» - 20 000 – 30 000 ботов
  • 53. Арифметика загрузки
    Процент отклика: 12 %
    Процент ботов на связи: 15%
    Для 1000 постоянно активных ботов – необходимо
    55 000 реальных загрузок
    Надо купить – 500 000 загрузок
    На хорошем потоке – до 100 000 уникальных IP в день
    | 26 May 2011
    Доступ запрещен
    PAGE 51 |
  • 54. После покупки загрузки
    | 26 May 2011
    Доступ запрещен
    PAGE 52 |
    Первый сеанс связи
    Доложиться о процессе заражения (прислать метку)
    Доложиться о своем окружении
    Получить идентификатор (в дальнейшем – основа управления)
  • 55. Протокол общения
    Первые боты общались по HTTP
    HTTP/1.1 200 OK
    Date: DAY, DD MMM YYYY HH:MM:SS GMT
    Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 PHP/5.2.3
    mod_ssl/2.0.59 OpenSSL/0.9.7e-p1
    X-Powered-By: PHP/5.2.3
    Content-Length: 80
    Connection: close
    Content-Type: text/html
    MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3dhaXQjMTAjeENSMl8yN
    Все последующие – используют шифрование
    | 26 May 2011
    Доступ запрещен
    PAGE 53 |
  • 56. | 26 May 2011
    Доступ запрещен
    PAGE 54 |
  • 57. | 26 May 2011
    Доступ запрещен
    PAGE 55 |
  • 58. Что надо для DDoS Атаки?
    Осталось найти заказчика
    | 26 May 2011
    Доступ запрещен
    PAGE 56 |
    Нужнаадминка – нужен хостинг
    Нужны боты = нужен специалист по заражению
  • 59. | 26 May 2011
    Доступ запрещен
    PAGE 57 |
  • 60. Диалог по заказу
    Алиса: Ку
    Алиса: нужен дос
    Алиса: прием
    ВОВ: да
    ВОВ: покажите сайт
    Алиса: ---------.ru
    ВОВ: на какой срок?
    Алиса: 12 часов
    Алиса: если все ровно продлим
    ВОВ: ещё на 12?))
    Алиса: посмотрим
    Алиса: не хочу попусту болтать
    Алиса: все меняется, обещания дорогого стоят
    ВОВ: 50$ за 12 часов
    Алиса: тест?
    ВОВ: цена норм?
    Алиса: почему нет, если качественно исполняешь
    ВОВ: видишь тест?
    Алиса: когда стартовал?
    ВОВ: сейчас
    Алиса: 16-20?
    Алиса: тест минут 15?
    ВОВ: 10 думаю хватит
    Алиса: ну ок смотрим
     
    | 26 May 2011
    Доступ запрещен
    PAGE 58 |
  • 61. Диалог по заказу
    ВОВ: da
    ВОВ: ddosnyhen ? 
    ВОВ: ssulkynasaitdai
    ВОВ: skagucenuzasutki
    Алиса: ------.ru
    ВОВ: sek
    ВОВ: skagu
    ВОВ: vutyt >? yatestsdelayposmotrite
    Алиса: atakanuznautrom
    Алиса: v 11-00
    ВОВ: proverte 
    ВОВ: sait sei4as
    ВОВ: etotest 
    ВОВ: 4tobu vuposmotreli
    ВОВ: proverili?
    ВОВ: yge prosnuls9 sait
    ВОВ: skolkovuplotitezasutkiataki ? WMZ
    Алиса: egonesmoglipolozitsegodna
    ВОВ: nuyasmog
    Алиса: davaikoshelokinachinaiatakuv 11-00
    ВОВ: wacplotish?
    Алиса: da
    Алиса: 50%
    Алиса: 50% poslenachalaatakiv 11-00
    ВОВ: skolkoplotitbydewvsutki
    ВОВ: nu na4nem v 11 
    Алиса: timneskazi
    ВОВ: 150 wmzzasutki
    | 26 May 2011
    Доступ запрещен
    PAGE 59 |
  • 62. Как выглядит тест
    | 26 May 2011
    Доступ запрещен
    PAGE 60 |
  • 63. Ботнет – это навсегда?
    Проблемы сохранения сети
    Регулярное перекриптование бота
    Abuse-устойчивость хостингаСС
    Возобновление сети
    В день атаки ботнет может терять до 25% своих членов
    | 26 May 2011
    Доступ запрещен
    PAGE 61 |
  • 64. И так сколько же это все стоит
    Ну давай считать:
    софт – от 600 у.е. разово
    Загрузки – 2000 у.е. разово
    Нагон ботов – от 100 у.е. в день по необходимости
    Перекриптование ботов – раз в 2-3 дня – 20$ - 200$ в месяц
    Атака – от $100 - 150в сутки
    Окупаемость – от 30 атак
    | 26 May 2011
    Доступ запрещен
    PAGE 62 |
  • 65. Что умеет бот
    | 26 May 2011
    Доступ запрещен
    PAGE 63 |
    Выполнить команду на атаку
    Модифицировать параметры атаки
    Изменить частоту опроса СС
    Изменить СС
    Загрузить обновление/модуль
    Удалить себя с компьютера жертвы
    Упраление модулями:
    Красть пароли и т.п.
  • 66. Врага надо знать в лицо
    ОБЗОР СОФТА
  • 67. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 65 |
    Семейство Black Energy 2007 год
    Archive: BlackEnergy DDoS Bot.zip
    Length Date Time Name
    -------- ---- ---- ----
    0 09-30-07 07:58 BlackEnergy DDoS Bot/
    0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/
    78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe
    19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll
    15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe
    36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe
    896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql
    30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt
    0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/
    1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php
    1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html
    319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php
    5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php
    492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php
    987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php
    807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css
    29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe
    -------- -------
    191489 17 files
  • 68. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 66 |
    Семейство Black Energy 2007 год
    Archive: BlackEnergy DDoS Bot.zip
    Length Date Time Name
    -------- ---- ---- ----
    0 09-30-07 07:58 BlackEnergy DDoS Bot/
    0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/
    78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe
    19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll
    15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe
    36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe
    896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql
    30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt
    0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/
    1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php
    1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html
    319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php
    5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php
    492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php
    987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php
    807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css
    29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe
    -------- -------
    191489 17 files
  • 69. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 67 |
    Семейство Black Energy 2007 год
    Семейство Black Energy 22008год
    Шифрованный обмен данными,
    модульная структура (в т.ч. Плагин эмуляции браузера)
  • 70. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 68 |
    Семейство Black Energy 2007 год
    Семейство Black Energy 22008год
    RussKill 2009 год
    многопоточность
  • 71. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 69 |
    Семейство Black Energy 2007 год
    Семейство Black Energy 22008год
    RussKill 2009 год
    DirtJumper - новое название последующих версий RussKill 2010 год
    Появляются возможности атак методом POST
  • 72. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 70 |
    Семейство Black Energy 2007 год
    Семейство Black Energy 22008год
    RussKill 2009 год
    DirtJumper - новое название последующих версий RussKill 2010 год
    DDoS-Engeneer2010год
    G-bot,G-BotakaPiranha 2010 год
    Optimaон же Darkness, G-Bot, изначально – 2008 год
  • 73. Какой же есть софт
    | 26 May 2011
    Доступ запрещен
    PAGE 71 |
  • 74. | 26 May 2011
    Доступ запрещен
    PAGE 72 |
  • 75. Какие атаки генерируют боты?
    SYN-Flood - множество BOT-ов направляют на атакуемый узел большое количество запросов на установление соединений. При этом на атакуемом сервере через короткое время исчерпывается количество возможных соединений и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – т.е. в прекращении взаимодействия в процессе установления соединения, или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию.
    UDP-Flood- затопление канала жертвы большим количеством «больших» UDP- пакетов. UDP протокол более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер перестаёт отвечать.
    | 26 May 2011
    Доступ запрещен
    PAGE 73 |
  • 76. Какие атаки генерируют боты?
    ICMP Flood или PingFlood– затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом, атакуемая система должна ответить на каждый такой запрос/пакет, тем самым с одной стороны создаётся большое количество ответных пакетов, которые снижают производительность (пропускную способность) канала, а с другой стороны загружаются ресурсы сервера.
    HTTP flood- Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами.
    Downloadingflood- позволяет забить канал жертвы трафиком.Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема.
    POST/GETflood– вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Например, это могу быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых и т.п. запросов, что вызывает нагрузку на сервер приложений и базы данных.
    | 26 May 2011
    Доступ запрещен
    PAGE 74 |
  • 77. Какие атаки генерируют боты?
    | 26 May 2011
    Доступ запрещен
    PAGE 75 |
    Slowloris– Исчерпание лимита HTTP или TCP соединений за счет открытия и удержания сессии на границе таймаутов за счет очень низкой активности в рамках соединения
    Подвержены
    Apache 1.x
    Apache 2.x
    dhttpd
    GoAheadWebServer
    Устойчивы
    IIS6.0
    IIS7.0
    lighttpd
    Squid
    nginx
    Cherokee
    Netscaler
    Cisco CSS
  • 78. slowloris
    | 26 May 2011
    Доступ запрещен
    PAGE 76 |
  • 79. Какие атаки генерируют боты?
    | 26 May 2011
    Доступ запрещен
    PAGE 77 |
    Lowrate, ddoslimit– Исчерпание лимита соединений за счет открытия небольшого числа соединений с большого количества ботов.
    Более 1 500 000 IP в блок-листах
    Бот выходит на связь 1 раз в 2 часа при постоянном потоке в 2000 адресов в минуту
  • 80. О подготовке к атаке
    Исследование ресурса
    Исследование возможностей защиты
    | 26 May 2011
    Доступ запрещен
    PAGE 78 |
  • 81. Еще о неприятных тенденциях
    | 26 May 2011
    DDoS-атаки как средство кибертерроризма
    PAGE 79 |
  • 82. Мы их или они нас?
  • 83. По деньгам – они… защита стоит на порядок дороже
    Правда- за нами!
    Защита - заставляет DDoS–еров возвращать деньги
    | 26 May 2011
    Доступ запрещен
    PAGE 81 |
  • 84. Недостатки типовых методов защиты
    Межсетевые экраны
    Не спасают от атаки на исчерпание полосы пропускания канала.  
    Маршрутизация в «черные дыры»
    Только помогают хакеру достичь своей цели.
    Системы IDS|IPS
    Не спасают от атаки на исчерпание полосы пропускания канала.  
    бессильны против 99% DDoS атак, которые не используют уязвимости.
    Оптимизация настроек ресурсов
    Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса».
    Многократное резервирование
    Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту.
    | 26 May 2011
    Доступ запрещен
    PAGE 82 |
  • 85. Общая концепция противодействия
    | 26 May 2011
    Доступ запрещен
    PAGE 83 |
    Информированности о угрозе, включающая
    Информированность о типичных схемах и целях использования того или иного инструментария
    информированность специалистов по безопасности о самой возможности что-то противопоставить злоумышленнику;
    информированности о порядке действий в случае тех или иных инцидентов.
    Технические средства защиты
    Правовое противодействие злоумышленникам
  • 86. Варианты аппаратной защиты
    | 26 May 2011
    Доступ запрещен
    PAGE 84 |
  • 87. Варианты сервисной защиты
    | 26 May 2011
    PAGE 85 |
    ё
    Без атаки
    Во время
    атаки
  • 88. Критерии фильтрации
    | 26 May 2011
    Мифы и реалии DDoS-угрозы
    PAGE 86 |
    Статистические
    Основа – вычисленные параметры поведения типового пользователя
    Статические
    Черные/белые списки фильтрации
    Поведенческие
    Основа – умение работать в соответствии со спецификацией протокола
    Сигнатурные
    Индивидуальные особенности Ботнета
    Особенности генерируемых сетевых пакетов
  • 89. Что беспокоит владельцев ресурсов?
    Как переключать ресурс на систему защиты?
    А у меня шифрованный трафик!
    Что еще надо, помимо изменения анонсов?
    Сколько время занимает переключение?
    А если атакуют по IP?
    Задержка какая будет?
    Насколько оперативно возможно помочь?
    Можно ли заддосить защитника?
    Это что же, защитник увидит весь мой трафик?
    Как протестировать систему защиты?
    | 26 May 2011
    Доступ запрещен
    PAGE 87 |
  • 90. Что беспокоит владельцев ресурсов?
    Как переключать ресурс на систему защиты?
    А у меня шифрованный трафик!
    Что еще надо, помимо изменения анонсов?
    Использование возможностей протокола DNS
    Использование возможностей протокола BGP
    Внутренние протоколы маршрутизации
    | 26 May 2011
    Доступ запрещен
    PAGE 88 |
  • 91. Что беспокоит владельцев ресурсов?
    Сколько время занимает переключение?
    Использование возможностей протокола DNS - 20-30 минут
    Использование возможностей протокола BGP - 2-3 минуты
    Внутренние протоколы маршрутизации - почти мгновенно
    | 26 May 2011
    Доступ запрещен
    PAGE 89 |
  • 92. Что беспокоит владельцев ресурсов?
    А если атакуют по IP?
    Закрываем весь трафик, кроме тоннелей…
    | 26 May 2011
    Доступ запрещен
    PAGE 90 |
  • 93. Что беспокоит владельцев ресурсов?
    Задержка какая будет?
    Вот информация под атакой
    Результат ВремяответаCкорость
    отдачи, КБ/сек
    Полученные результаты: 81Ok 1 Ошибка(ок) Average:0.91 sec4.55
    Полученныерезультаты: 81 Ok Average:1.42 sec23.77
    (вторая строчка соответствует замеру в пик атаки)
    А вот статистика, когда атаки нет
    РезультатВремяответаCкорость
    отдачи, КБ/сек
    Полученные результаты: 80Ok 1 Ошибка(ок) Average:0.80 sec42.67  
    | 26 May 2011
    Доступ запрещен
    PAGE 91 |
  • 94. Что беспокоит владельцев ресурсов?
    Задержка какая будет?
     Ресурс без атаки, трафик идет через систему Kaspersky DDoS Prevention
    17:09:06 Полученные результаты: 58Ok Average: 0.75 sec 45.91
    17:15:32 Полученные результаты: 65Ok Average: 0.78 sec43.91
    Ресурс без атаки, трафик идет напрямую на ресурс
    17:38:23 Полученные результаты: 62 Ok Average: 1.17 sec 29.42
    17:43:25 Полученные результаты: 62 Ok Average: 0.77 sec 44.40
    | 26 May 2011
    Доступ запрещен
    PAGE 92 |
  • 95. Что беспокоит владельцев ресурсов?
    | 26 May 2011
    Доступ запрещен
    PAGE 93 |
  • 96. Что беспокоит владельцев ресурсов?
    Насколько оперативно возможно помочь?
    Можно ли заддосить защитника?
    Это что же, защитник увидит весь мой трафик?
    Как протестировать систему защиты?
    | 26 May 2011
    Доступ запрещен
    PAGE 94 |
  • 97. Еще немного
    ГЕО-фильтрация…
    Мониторинг…
    Проблема совмещенной защиты – можно ли попробовать сразу 2 решения?
    | 26 May 2011
    Доступ запрещен
    PAGE 95 |
  • 98. Работа с заблуждениями
  • 99. Для провайдеров DDoS тоже проблема
    | 26 May 2011
    Доступ запрещен
    PAGE 97 |
  • 100. Для провайдеров DDoS тоже проблема
    | 26 May 2011
    Доступ запрещен
    PAGE 98 |
  • 101. Люди делятся…
    Были под атакой
    Ждут атаки
    Сомневаются или не верят
    | 26 May 2011
    Kaspersky DDoS Prevention
    PAGE 99 |
  • 102. Виды заблуждений
    Пораженческие
    Эти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасности
    Чрезмерно оптимистичные
    Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности
    | 26 May 2011
    Kaspersky DDoS Prevention
    PAGE 100 |
  • 103. Пораженческие
    От DDOS невозможно защититься
    В общем же случае, речь идет о противостоянии людей и техники, а людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту.
    Все равно мне забьют канал…
    | 26 May 2011
    Kaspersky DDoS Prevention
    PAGE 101 |
  • 104. Оптимистичные
    Я читал о том, как можно настроить сервер, чтобы он устоял
    Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса».
     Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер
    Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна.
     Я арендовал достаточный канал
    Это поможет, но лишь отчасти. Например, теперь, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений.
    | 26 May 2011
    Kaspersky DDoS Prevention
    PAGE 102 |
  • 105. Когда атака – не атака
  • 106. Хабраэффект
    Пример удачно стартовавшей рекламной компании
    | 26 May 2011
    Доступ запрещен
    PAGE 104 |
  • 107. Сам себезлобный DDoS-ер
    Ошибки в клиент серверной архитектуре или неверные оценки требуемых мощностей часто приводят к тому, что клиенты становятся оружием, похлеще бот сетей.
    | 26 May 2011
    Доступ запрещен
    PAGE 105 |
  • 108. DDoS или не DDoS
    | 26 May 2011
    Доступ запрещен
    PAGE 106 |
  • 109. На защитника надейся, а сам не плошай
  • 110. Еще из мифов : защита – плевое дело
    Противодействие возможно??? – ДА!!!
    Защита от DDoS - плод совместных усилий Жертвы и Защитника
    Волшебной пилюли не существует
    | 26 May 2011
    Доступ запрещен
    PAGE 108 |
  • 111. Типовые проблемы в процессе защиты
    | 26 May 2011
    Доступ запрещен
    PAGE 109 |
    • Готовность – залог успеха
    • 112. Пароли от панелей управления DNS
    • 113. Наличие админов, способных управлять настройками оборудования и приложений
    • 114. Работать надо вместе, спать не придется
    • 115. Невозможно защитить «пустоту»
  • Типовые проблемы в процессе защиты
    | 26 May 2011
    Доступ запрещен
    PAGE 110 |
    • Невозможно защитить «дыру»
    Microsoft Security Bulletin MS09-048 - Critical
    Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
    Published: September 08, 2009 | Updated: September 10, 2009
    • Ресурсы требуют оптимизации
  • Ищут пожарные, ищет милиция…
  • 116. Кто меня DDoS-ил???
    Хотите привлечь этих …. к ответственности?
    Необходимо задокументироватьатаку!!! Списки ботов, география ботов, тип атаки и как можно больше другой информации.
    Нужны компьютеры, которые реально атакуют систему!!!
    Их необходимо искать во время атаки!!!
    Обращайтесь как можно раньше!!!
    | 26 May 2011
    Доступ запрещен
    PAGE 112 |
  • 117. ВСТРЕЧАЙТЕ DDOS НА ПОДГОТОВЛЕННЫХ ПОЗИЦИЯХ !!!
    | 26 May 2011
    Доступ запрещен
    PAGE 113 |
  • 118. Савельев Михаил
    Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA

×