Alexander Lyamin - Anatomy and metrology of DoS/DDoS

566 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
566
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Alexander Lyamin - Anatomy and metrology of DoS/DDoS

  1. 1. Анатомия и метрология DoS/DDoS Alexander Lyamin <la@qrator.net>
  2. 2. Почему? Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории: • Атаки на каналы связи • Атаки на конечные системы
  3. 3. Почему? Типы DDoS-атак • Атаки 4-го уровня – – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного количества соединений, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.) • Атаки 7-го уровня – направлены на ресурс (сервис прикладного уровня)
  4. 4. Почему? • TCP SYN Flood • TCP SYN-ACK Reflection Flood (DRDoS) • TCP Spoofed SYN Flood • TCP ACK Flood • TCP IP Fragmented Attack … sockstress забыли! • HTTP and HTTPS Flood Attacks • INTELLIGENT HTTP and HTTPS Attacks • ICMP Echo Request Flood • UDP Flood Attack • DNS Amplification Attacks
  5. 5. Почему? “Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”
  6. 6. Почему? “Ожидания оправдались в достаточной мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”
  7. 7. Почему ?
  8. 8. … нет (вежливых) слов.
  9. 9. Gbps
  10. 10. Mpps
  11. 11. krps
  12. 12. Botnet size
  13. 13. Экзотичные метрики
  14. 14. Проблема
  15. 15. Как должно быть (6aR,9R)- N,N- diethyl- 7methyl- 4,6,6a,7,8,9hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide N-methyl-1-phenylpropan-2amino N.B. “Yeah! Sc1ence, beatch!”
  16. 16. Решение
  17. 17. Классификация
  18. 18. Канальная емкость PURE. SIMPLE. CONSUMED. BANDWIDTH
  19. 19. Канальная емкость
  20. 20. Инфраструктура сети Fragmentation+Stateful+Routing = Control Plane
  21. 21. Инфраструктура сети
  22. 22. Инфраструктура сети Routing • (dynamic) Route loops • Prefix hijacking • Amplifiers http://radar.qrator.net
  23. 23. Cетевой стек
  24. 24. Сетевой стек Запросы Ответы
  25. 25. Cетевой стек
  26. 26. Cетевой стек
  27. 27. Приложение L7 σημαντικός
  28. 28. Приложение Запросы Ответы
  29. 29. Приложение Ошибки Стоп-лист
  30. 30. Сhangelog • DNS (и другие не-TCP протоколы) • TCP-протоколы для которых мы не являемся endpoint • Умные enterprise-заказчики • И большие сети с 100+ приложений • Говорящих на 10+ (custom) протоколах
  31. 31. Как сделать мир статистику лучше?
  32. 32. Помнить про эту картинку!
  33. 33. Cтатистика 2.0
  34. 34. Статистика 2.0
  35. 35. Канальная емкость 2.0 • Чем именно занят канал? • Транспортные протоколы • Приложения
  36. 36. Cетевая инфраструктура 2.0 • Сколько потоков? • Какова их динамика? • Какие из них наиболее активны?
  37. 37. Сетевой стэк 2.0 TCP • Состояния соединений • Динамика состояний
  38. 38. Приложение 2.0 Запросы • Статика • Динамика • Самые популярные URL
  39. 39. Приложение 2.0 Ответы • Топ-5 ? • Топ-10 ? • Кластеризация ?
  40. 40. Приложение 2.0 Ошибки 500,501,503,504 • Топ ? • Кластеризация ?
  41. 41. Приложение 2.0 502 – диагностика пути ?
  42. 42. Идеи закончились. … Вопросы остались.
  43. 43. Приложение 2.0 А что делать с !HTTP ?
  44. 44. Приложение 2.0 • А как ПРАВИЛЬНО провести сэмплинг поведения ботнета ?
  45. 45. А что такое ботнет? a) Множество зараженных b) Общность кода c) Единый контроль
  46. 46. C нашей точки зрения a) Множество адресов b) Сходная техника c) Общие цели
  47. 47. C нашей точки зрения a) DomainID+время первой регистрации b) Пересечение по IP c) Используемые техники
  48. 48. Более лучше
  49. 49. Вместо заключения

×