Downloaded 19 times
![Как это работает
Плохие парни
Жертва: WTF MATE?!
T
TX UU
IN U U
SRC_IP Жертва
M UU U U
O
? TXT BOMB.EXAMPLE.COM
.C UUU UUU
E
~60b
PL UUU UU
M
U
XA UUU UU
E
B. UU UU d]
M
U [d
k
BO UUU UUU
~4
U U
FU UU
UU
Плечо атак и - x60
Кривой DNS](https://image.slidesharecdn.com/4-131107081555-phpapp02/85/QratorLabs-HLL-12-320.jpg)
![Local.Решения
• НЕ_держать DNS на локальной инфраструктуре;
• [иметь возможность] Отключить UDP на уровне оператора связи;](https://image.slidesharecdn.com/4-131107081555-phpapp02/85/QratorLabs-HLL-15-320.jpg)
![Local.Решения
*rawpost
:POSTROUTING ACCEPT [15:1548]
A POSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT tosource 10.10.40.3/32
COMMIT
# Completed on Mon May 20 04:47:30 2013
# Generated by iptablessave v1.4.16.3 on Mon May 20 04:47:30 2013
*raw
:PREROUTING ACCEPT [28:2128]
:OUTPUT ACCEPT [18:2056]
A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT todestination 10.1.0.1/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT todestination 10.1.0.2/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT todestination 10.1.0.3/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT todestination 10.1.0.4/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT todestination 10.1.0.5/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT todestination 10.1.0.6/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT todestination 10.1.0.7/32
A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT todestination 10.1.0.8/32
COMMIT](https://image.slidesharecdn.com/4-131107081555-phpapp02/85/QratorLabs-HLL-17-320.jpg)
Uploaded byOntico
Александр Лямин, QratorLabs/HLL
Документ посвящен анализу DDoS-атак в России в 2013 году, включая факты, цифры и геораспределение атак. Обсуждаются различные типы атак, их частота, а также рекомендации для защиты и снижения рисков. Также рассматриваются перспективные угрозы и изменения в сети, которые могут повлиять на безопасность.
More Related Content
![[3.1] Webappsec future standards - Taras Ivaschenko](https://cdn.slidesharecdn.com/ss_thumbnails/webappsecfuture-150608204437-lva1-app6891-thumbnail.jpg?width=640&height=640&fit=bounds)
![[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух](https://cdn.slidesharecdn.com/ss_thumbnails/1-141207100815-conversion-gate01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[3.3] Detection & exploitation of Xpath/Xquery Injections - Boris Savkov](https://cdn.slidesharecdn.com/ss_thumbnails/detectionexploitingxinj-150610110751-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
![[3.2] Content Security Policy - Pawel Krawczyk](https://cdn.slidesharecdn.com/ss_thumbnails/yourprezi-150608180602-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
![[1.3] Мониторинг событий ИБ — мастерим «дашборд» - Тарас Иващенко](https://cdn.slidesharecdn.com/ss_thumbnails/1-141207100155-conversion-gate02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[1.2] Трюки при анализе защищенности веб приложений – продвинутая версия - С...](https://cdn.slidesharecdn.com/ss_thumbnails/1-141207105957-conversion-gate02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[1.4] «Ой, не шмогла». Обзор ограничений современных технологий в области ...](https://cdn.slidesharecdn.com/ss_thumbnails/1-141207100155-conversion-gate01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[2.3] Large enterprise SIEM: get ready for oversize - Svetlana (Mona) Arkhipova](https://cdn.slidesharecdn.com/ss_thumbnails/2-150301071201-conversion-gate02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[2.1] Web application Security Trends - Omar Ganiev](https://cdn.slidesharecdn.com/ss_thumbnails/2-150301070554-conversion-gate02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[2.2] Hacking Internet of Things devices - Ivan Novikov](https://cdn.slidesharecdn.com/ss_thumbnails/2-150301071002-conversion-gate01-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to Александр Лямин, QratorLabs/HLL
Александр Лямин, QratorLabs/HLL
- 1. DDoS атаки вРоссии 2013 Александр Лямин <la@qrator.net>
- 2. Факты и цифры Нейтрализованоатак: Среднее атак в день: Макс. в день: 2013 5786 ↑ 19 ↑ 151 ↑ 2012 3749 10 73 Средний ботнет: Макс. размер ботнета: Макс. длительность: Spoofed атак: Средняя доступность: 1169 ↓ 243247 ↑ 22 дня ↓ 57.97% ↑ 99.83% ↑ 2020 207401 83 дня 43.05% 99.71%
- 3. Распределение по отраслям 2012 Магическиеуслуги Правительство Интернет-магазины Купоны Недвижимость СМИ Биржи и Forex Инфо-услуги Платежные системы Игры и развлечения Сайты-визитки Банки Туристические фирмы Страховые компании Общий итог 3Q 2013 132.5 36.4 28.7 23.7 23.5 22.5 22.1 21.0 20.9 19.2 11.8 11.3 11.1 2.8 24.8 процент роста 12-13 339.3 36.0 30.8 49.0 50.5 22.7 117.5 26.0 41.0 22.6 16.0 14.7 30.1 25.0 33.3 156% -1% 7% 107% 115% 1% 431% 24% 97% 18% 36% 30% 170% 798% 34%
- 4.
- 5. Скоростные атаки (-UDP ) >= 1Gbps; 2,07% < 1Gbps; 97,93%
- 6. Атаки по дням 160 140 120 100 2013 80 2012 60 40 20 0 1янв 1 фев 1 мар 1 апр 1 май 1 июн 1 июл 1 авг 1 сен 1 окт 1 ноя 1 дек
- 7.
- 8. Атаки по типу 2012 2013 Fullconnect; 42,03% Spoofed; 43,05% Full connect; 56,95% Spoofed; 57,97%
- 9. Spoofed атаки помесяцам 80,00% 70,00% 60,00% 50,00% 2013 40,00% 2012 30,00% 20,00% 10,00% 0,00% Январь Фебраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь Ноябрь Декабрь
- 10.
- 11. Beating on thedead horse • Aug 1999 RFC-2671 EDNS0 • May 2000 BCP-38 “Network Ingress Filtering” • Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks” • Mar 2006 ICANN DNS DDoS advisory
- 12. Как это работает Плохиепарни Жертва: WTF MATE?! T TX UU IN U U SRC_IP Жертва M UU U U O ? TXT BOMB.EXAMPLE.COM .C UUU UUU E ~60b PL UUU UU M U XA UUU UU E B. UU UU d] M U [d k BO UUU UUU ~4 U U FU UU UU Плечо атак и - x60 Кривой DNS
- 13. И дело нетолько в DNS tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes 00:27:54.013110 IP 192.168.1.1.55959 > 192.168.2.1.123: NTPv2, Reserved, length 12 00:27:54.028044 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028058 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028061 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028063 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028065 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028068 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028192 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028200 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480 00:27:54.028203 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 432
- 14. «Перспективные» протоколы • SNMP •NTP • Bittorrent • …любой другой протокол с плечом ответа и без аутентификации клиента
- 15. Local.Решения • НЕ_держать DNSна локальной инфраструктуре; • [иметь возможность] Отключить UDP на уровне оператора связи;
- 16. Local.Решения Ratelimit на публичныхUDP-сервисах. iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name BRR --rsource iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${BRR} --name BRR DROP --rsource -j iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name CRR --rsource iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount ${CRR} --name CRR DROP Желательно включенный by default. --rsource -j
- 17. Local.Решения *rawpost :POSTROUTING ACCEPT [15:1548] APOSTROUTING s 10.1.0.0/24 o eth8 j RAWSNAT tosource 10.10.40.3/32 COMMIT # Completed on Mon May 20 04:47:30 2013 # Generated by iptablessave v1.4.16.3 on Mon May 20 04:47:30 2013 *raw :PREROUTING ACCEPT [28:2128] :OUTPUT ACCEPT [18:2056] A PREROUTING d 10.10.40.3/32 m cpu cpu 0 j RAWDNAT todestination 10.1.0.1/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 1 j RAWDNAT todestination 10.1.0.2/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 2 j RAWDNAT todestination 10.1.0.3/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 3 j RAWDNAT todestination 10.1.0.4/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 4 j RAWDNAT todestination 10.1.0.5/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 5 j RAWDNAT todestination 10.1.0.6/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 6 j RAWDNAT todestination 10.1.0.7/32 A PREROUTING d 10.10.40.3/32 m cpu cpu 7 j RAWDNAT todestination 10.1.0.8/32 COMMIT
- 18.
- 19. Local.Решения http://radar.qrator.net Проверить: • Свою сеть •Сеть upstream(s) • Сеть к которой планируете подключаться ….написать нам bug-report!
- 20. Local.Решения http://radar.qrator.net Проверить: • Свою сеть •Сеть upstream(s) • Сеть к которой планируете подключаться ….написать нам bug-report!
- 21. Global.Решения Short term Long term •Rate limiting • Отказ от EDNS0 • BCP-38/BCP-84 • Подождать, cамо отвалится… • UDP auth cookies • End-to-end аутентификация … но только до следующего раза
- 22.
- 23. Low&slow • 1 запросв 2-3 секунды • 4 соединения • 222 URL в циклически повторяющемся списке • порядок получения объектов имитирует Firefox • забирает статику …. cпециализируется на банках средней руки.
- 24. Безопасность сетевых топологий Угоныпрефиксов Угоны префиксов в IPV6 • Возможны • Встречаются in the wild • Сложно обнаружимы • RPSL проблему не решает • RPKI проблему не решает • Проблему решает: наблюдательность и педантичность • Еще более возможны • Разреженное адресное пространство • Меньше наблюдений и пострадавших …Идеальный плацдарм для атак
- 25. Безопасность сетевой инфраструктуры Атакина сеть передачи данных • Разделение control&data • Изоляция control
- 26. Что нового уQrator? • Миграция на 10GbE • Полоса++ • Точки присутствия++ • Отчеты по инцидентам • WAF • DNS
- 27.