Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
DDoS атаки в России       2012    Александр Лямин  <la@highloadlab.com>
Qrator: 2012                          2012      2011•   Нейтрализовано атак: 2628↑      (1972)•   Среднее атак в день: 9.1...
По дням недели.18%16%14%12%10%8%6%4%2%0%      Пн   Вт   Ср   Чт   Пт   Сб   Вс
По дням.8070605040302010 001/01/12   01/02/12   01/03/12   01/04/12    01/05/12   01/06/12   01/07/12   01/08/12   01/09/1...
По месяцам.20.00%18.00%16.00%14.00%12.00%10.00% 8.00% 6.00% 4.00% 2.00% 0.00%         Январь   Февраль   Март   Апрель   М...
Где живут ботнеты.                 (геопривязка)3.00000%                                 DE                               ...
Скоростные атаки.                >=1Gbps                2.21%↓                 (58↑)  <1Gbps  97.79%
Типы атак.                Spoofed               45.32%↑Full connect 54.68%↓
Зачем и Почему?• Настроенный сервер – 600kpps• Спец.конфигурация и настройки - 1Mpps• Доступный инструментарий (i.e. netma...
Что делать?• BCP-38 (http://tools.ietf.org/html/bcp38)• BCP-84* (http://tools.ietf.org/html/bcp84)* С ограничениями.
Что еще интересного?•   BGP Flowspec* enabled networks (радуемся*)•   Google’s TFO (выдыхаем)•   DNS/DNSSEC – void (медити...
Что нового в Qrator?•   TCP RAW сервисы•   UDP RAW сервисы*•   Увеличенные размеры POST данных•   Новая система обнаружени...
Вопросы?http://qrator.net
This presentation is HIJACKED.
Сами/Сусами?
Вводные данные.•   Packetrate•   Bitrate•   Восстановите контроль•   Access.log•   tcpdump –s0 –c1000000 –w attack.dump
У Вас есть Plan-B?
Plan B• Не делайте глупостей• Имейте запас производительности (2x)• Сообщите характеристики атаки и список  активных сетев...
One more thing.  Cisco ASA - это     СОВСЕМ        про      другое.
Вопросы?
Upcoming SlideShare
Loading in …5
×

DDoS атаки в России 2012 году (Александр Лямин)

1,192 views

Published on

  • Be the first to comment

  • Be the first to like this

DDoS атаки в России 2012 году (Александр Лямин)

  1. 1. DDoS атаки в России 2012 Александр Лямин <la@highloadlab.com>
  2. 2. Qrator: 2012 2012 2011• Нейтрализовано атак: 2628↑ (1972)• Среднее атак в день: 9.18↑ (6.16)• Макс. в день: 73↑ (32)• Средний ботнет: 2070↑ (1886)• Макс. размер ботнета: 148563↓ (239911)• Макс. длительность: 83d↓ (253d)• Средняя доступность: 99.8%
  3. 3. По дням недели.18%16%14%12%10%8%6%4%2%0% Пн Вт Ср Чт Пт Сб Вс
  4. 4. По дням.8070605040302010 001/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12
  5. 5. По месяцам.20.00%18.00%16.00%14.00%12.00%10.00% 8.00% 6.00% 4.00% 2.00% 0.00% Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь
  6. 6. Где живут ботнеты. (геопривязка)3.00000% DE US2.50000% UA CN KZ2.00000% GB ?? FR1.50000% MD CA NL1.00000% IL AZ0.50000% TR LV JP0.00000% BY 1
  7. 7. Скоростные атаки. >=1Gbps 2.21%↓ (58↑) <1Gbps 97.79%
  8. 8. Типы атак. Spoofed 45.32%↑Full connect 54.68%↓
  9. 9. Зачем и Почему?• Настроенный сервер – 600kpps• Спец.конфигурация и настройки - 1Mpps• Доступный инструментарий (i.e. netmap)• Опорные сети, хостинги и IX пропускающие spoofed flood.
  10. 10. Что делать?• BCP-38 (http://tools.ietf.org/html/bcp38)• BCP-84* (http://tools.ietf.org/html/bcp84)* С ограничениями.
  11. 11. Что еще интересного?• BGP Flowspec* enabled networks (радуемся*)• Google’s TFO (выдыхаем)• DNS/DNSSEC – void (медитируем)• RPKI – все так-же обсуждается (молимся)• IPV6 – будет много «приключений»• Обновили мировой рекорд:268Gbps/32Mpps* RFC-5575* Не все и не всегда.
  12. 12. Что нового в Qrator?• TCP RAW сервисы• UDP RAW сервисы*• Увеличенные размеры POST данных• Новая система обнаружения аномалий• Новый функционал в API• SMS уведомления• Больше точек присутствия• Больше трафик-контрактов* С ограничениями.
  13. 13. Вопросы?http://qrator.net
  14. 14. This presentation is HIJACKED.
  15. 15. Сами/Сусами?
  16. 16. Вводные данные.• Packetrate• Bitrate• Восстановите контроль• Access.log• tcpdump –s0 –c1000000 –w attack.dump
  17. 17. У Вас есть Plan-B?
  18. 18. Plan B• Не делайте глупостей• Имейте запас производительности (2x)• Сообщите характеристики атаки и список активных сетевых сервисов• Примите меры по нейтрализации атаки• Проконтролируйте результативность фильтров
  19. 19. One more thing. Cisco ASA - это СОВСЕМ про другое.
  20. 20. Вопросы?

×