Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Александр Лямин, QratorLabs/HLL

843 views

Published on

HighLoad++ 2013

  • Be the first to comment

  • Be the first to like this

Александр Лямин, QratorLabs/HLL

  1. 1. DDoS атаки в России 2013 Александр Лямин <la@qrator.net>
  2. 2. Факты и цифры Нейтрализовано атак: Среднее атак в день: Макс. в день: 2013 5786 ↑ 19 ↑ 151 ↑ 2012 3749 10 73 Средний ботнет: Макс. размер ботнета: Макс. длительность: Spoofed атак: Средняя доступность: 1169 ↓ 243247 ↑ 22 дня ↓ 57.97% ↑ 99.83% ↑ 2020 207401 83 дня 43.05% 99.71%
  3. 3. Распределение по отраслям 2012 Магические услуги Правительство Интернет-магазины Купоны Недвижимость СМИ Биржи и Forex Инфо-услуги Платежные системы Игры и развлечения Сайты-визитки Банки Туристические фирмы Страховые компании Общий итог 3Q 2013 132.5 36.4 28.7 23.7 23.5 22.5 22.1 21.0 20.9 19.2 11.8 11.3 11.1 2.8 24.8 процент роста 12-13 339.3 36.0 30.8 49.0 50.5 22.7 117.5 26.0 41.0 22.6 16.0 14.7 30.1 25.0 33.3 156% -1% 7% 107% 115% 1% 431% 24% 97% 18% 36% 30% 170% 798% 34%
  4. 4. Гео-распределение 10,00% VN 9,00% IN IR 8,00% 7,00% 6,00% RU KZ ID PH TH 5,00% DE MX 4,00% 3,00% 2,00% EG PE UA TR PK 1,00% US CN 0,00%
  5. 5. Скоростные атаки ( -UDP ) >= 1Gbps; 2,07% < 1Gbps; 97,93%
  6. 6. Атаки по дням 160 140 120 100 2013 80 2012 60 40 20 0 1 янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек
  7. 7. Атаки по месяцам 1400 1200 1000 800 2013 2012 600 400 200 0 Январь Фебраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
  8. 8. Атаки по типу 2012 2013 Full connect; 42,03% Spoofed; 43,05% Full connect; 56,95% Spoofed; 57,97%
  9. 9. Spoofed атаки по месяцам 80,00% 70,00% 60,00% 50,00% 2013 40,00% 2012 30,00% 20,00% 10,00% 0,00% Январь Фебраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
  10. 10. 2013: Год фиолетового DNS
  11. 11. Beating on the dead horse • Aug 1999 RFC-2671 EDNS0 • May 2000 BCP-38 “Network Ingress Filtering” • Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks” • Mar 2006 ICANN DNS DDoS advisory
  12. 12. Как это работает Плохие парни Жертва: WTF MATE?! T TX UU IN U U SRC_IP Жертва M UU U U O ? TXT BOMB.EXAMPLE.COM .C UUU UUU E ~60b PL UUU UU M U XA UUU UU E B. UU UU d] M U [d k BO UUU UUU ~4 U U FU UU UU Плечо атак и - x60 Кривой DNS
  13. 13. И дело не только в DNS tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes 00:27:54.013110 IP 192.168.1.1.55959 > 192.168.2.1.123: NTPv2, Reserved, length 12 00:27:54.028044 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028058 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028061 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028063 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028065 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028068 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028192 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028200 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028203 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 432
  14. 14. «Перспективные» протоколы • SNMP • NTP • Bittorrent • …любой другой протокол с плечом ответа и без аутентификации клиента
  15. 15. Local.Решения • НЕ_держать DNS на локальной инфраструктуре; • [иметь возможность] Отключить UDP на уровне оператора связи;
  16. 16. Local.Решения Ratelimit на публичных UDP-сервисах. iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name BRR --rsource iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${BRR} --name BRR DROP --rsource -j iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name CRR --rsource iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount ${CRR} --name CRR DROP Желательно включенный by default. --rsource -j
  17. 17. Local.Решения *rawpost :POSTROUTING ACCEPT [15:1548] ­A POSTROUTING ­s 10.1.0.0/24 ­o eth8 ­j RAWSNAT ­­to­source 10.10.40.3/32 COMMIT # Completed on Mon May 20 04:47:30 2013 # Generated by iptables­save v1.4.16.3 on Mon May 20 04:47:30 2013 *raw :PREROUTING ACCEPT [28:2128] :OUTPUT ACCEPT [18:2056] ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 0 ­j RAWDNAT ­­to­destination 10.1.0.1/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 1 ­j RAWDNAT ­­to­destination 10.1.0.2/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 2 ­j RAWDNAT ­­to­destination 10.1.0.3/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 3 ­j RAWDNAT ­­to­destination 10.1.0.4/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 4 ­j RAWDNAT ­­to­destination 10.1.0.5/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 5 ­j RAWDNAT ­­to­destination 10.1.0.6/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 6 ­j RAWDNAT ­­to­destination 10.1.0.7/32 ­A PREROUTING ­d 10.10.40.3/32 ­m cpu ­­cpu 7 ­j RAWDNAT ­­to­destination 10.1.0.8/32 COMMIT
  18. 18. Local.Решения 3000 2500 kPPS 2000 1500 1000 500 0 1 2 3 4 5 6 7 8 9 RSS 10 11 12 13 14 15 16
  19. 19. Local.Решения http://radar.qrator.net Проверить: • Свою сеть • Сеть upstream(s) • Сеть к которой планируете подключаться ….написать нам bug-report!
  20. 20. Local.Решения http://radar.qrator.net Проверить: • Свою сеть • Сеть upstream(s) • Сеть к которой планируете подключаться ….написать нам bug-report!
  21. 21. Global.Решения Short term Long term • Rate limiting • Отказ от EDNS0 • BCP-38/BCP-84 • Подождать, cамо отвалится… • UDP auth cookies • End-to-end аутентификация … но только до следующего раза
  22. 22. А что дальше ?
  23. 23. Low&slow • 1 запрос в 2-3 секунды • 4 соединения • 222 URL в циклически повторяющемся списке • порядок получения объектов имитирует Firefox • забирает статику …. cпециализируется на банках средней руки.
  24. 24. Безопасность сетевых топологий Угоны префиксов Угоны префиксов в IPV6 • Возможны • Встречаются in the wild • Сложно обнаружимы • RPSL проблему не решает • RPKI проблему не решает • Проблему решает: наблюдательность и педантичность • Еще более возможны • Разреженное адресное пространство • Меньше наблюдений и пострадавших …Идеальный плацдарм для атак
  25. 25. Безопасность сетевой инфраструктуры Атаки на сеть передачи данных • Разделение control&data • Изоляция control
  26. 26. Что нового у Qrator? • Миграция на 10GbE • Полоса++ • Точки присутствия++ • Отчеты по инцидентам • WAF • DNS
  27. 27. Вопросы ? la@qrator.net

×