Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
DDoS-атаки в 
России: 2014 
Александр Лямин 
<la@qrator.net>
UDP-пакеты салом не пахнут
Главный слайд №1 
2014 2013 
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ 
Среднее атак в день: 21 ↑ 18 ↑ 
Макс. в день: 93 ↓ 151 ...
Главный слайд №1 
2014 2013 
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ 
Среднее атак в день: 21 ↑ 18 ↑ 
Макс. в день: 93 ↓ 151 ...
Распределение по дням 
160 
140 
120 
100 
80 
60 
40 
20 
0 
01/01/12 
01/02/12 
01/03/12 
01/04/12 
01/05/12 
01/06/12 
...
Почти год назад
Почти год назад
Почти год назад
Коэфф. Амплификации: DNS 
14000 
12000 
10000 
8000 
6000 
4000 
2000 
0 
35 
90 
145 
200 
255 
310 
365 
420 
475 
530 
...
Коэфф. Амплификации: NTP 
160000 
140000 
120000 
100000 
80000 
60000 
40000 
20000 
0 
13 
14 
15 
16 
18 
19 
20 
21 
2...
Коэфф. Амплификации: Chargen 
400 
350 
300 
250 
200 
150 
100 
50 
0 
12 
23 
34 
45 
56 
67 
78 
89 
100 
111 
122 
133...
Коэфф. Амплификации: SNMP 
300000 
250000 
200000 
150000 
100000 
50000 
0 
30 
32 
34 
37 
39 
41 
43 
46 
48 
50 
53 
5...
Коэфф. Амплификации: SSDP 
400000 
350000 
300000 
250000 
200000 
150000 
100000 
50000 
0 
60 
63 
66 
69 
72 
75 
78 
8...
Пять проблем, одна семья 
User Datagram Protocol 
• DNS ( x35 ) 
• NTP ( x1300 ) 
• SSDP ( x150 ) 
• SNMP ( x50 ) 
• Charg...
Динамика DNS 
250000000 
200000000 
150000000 
100000000 
50000000 
0
Динамика NTP 
35000000 
30000000 
25000000 
20000000 
15000000 
10000000 
5000000 
0
Динамика амплификаторов 
1.8E+09 
1.6E+09 
1.4E+09 
1.2E+09 
1E+09 
800000000 
600000000 
400000000 
200000000 
0 
Chargen...
SSDP
SSDP Победила топология
Топологии - они везде
Топологии – могут вас убить
Топологии – это важно
Топологии – это важно
Очень-очень важно!
Важно: конфиденциальность 
[13:21:17] melanor9 hll: парни! гасите все 
IP сразу, а не по одному 
[13:21:29] Person1: там и...
Еще важно: оперативность 
[14:18:07] Person2: в общем новости из 
каравана: отключены все ip всех 
фронтов кроме хабра 
[1...
Еще важно: DNS 
Сколько времени займет изменение 
root servers ?
Еще важно 
ЗДРАВЫЙ СМЫСЛ
Еще важно 
Память 
и 
Внимательность
Еще важно
</whine> 
Ok, что дальше?
Назад в будущее 
Размер 
б о т н е т а 
Исчерпание канальной емкости 1 0 0 k + 
Инфраструктура сети 10k+ 
Сетевой стек сис...
Здесь живут Amplifications 
Размер 
б о т н е т а 
Исчерпание канальной емкости 1 0 0 k + 
Инфраструктура сети 10k+ 
Сетев...
Здесь живут ботнеты 
Размер 
б о т н е т а 
Исчерпание канальной емкости 1 0 0 k + 
Инфраструктура сети 10k+ 
Сетевой стек...
+ трафик-генераторы 
Размер 
б о т н е т а 
Исчерпание канальной емкости 1 0 0 k + 
Инфраструктура сети 10k+ 
Сетевой стек...
Трафик-генераторы 
• Netmap (Luigi Rizzo) 
• DPDK (Intel) 
• PF_RING DNA (ntop)
Трафик-генераторы 
• Netmap (Luigi Rizzo) 
• DPDK (Intel) 
• PF_RING DNA (ntop)
Трафик-генераторы 
• Netmap (Luigi Rizzo) 
• DPDK (Intel) 
• PF_RING DNA (ntop) 
+ Shellshock
Трафик-генераторы 
• Netmap (Luigi Rizzo) 
• DPDK (Intel) 
• PF_RING DNA (ntop) 
+ Shellshock 
+ Habrahabr
А здесь живут Драконы 
Размер 
б о т н е т а 
Исчерпание канальной емкости 1 0 0 k + 
Инфраструктура сети 10k+ 
Сетевой ст...
Пример 
inetnum: 188.44.56.0 - 188.44.63.255 
netname: dorm 
descr: Lomonosov Moscow State University 
descr: Hostel netwo...
Пример: НОРМА 
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 
1 192.168.200.100 (192.168.200.100) ...
Пример: АНОМАЛИЯ 
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 
1 192.168.200.100 (192.168.200.10...
Всем удачного Halloween
DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)
Upcoming SlideShare
Loading in …5
×

DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)

1,055 views

Published on

Published in: Internet
  • Be the first to comment

DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)

  1. 1. DDoS-атаки в России: 2014 Александр Лямин <la@qrator.net>
  2. 2. UDP-пакеты салом не пахнут
  3. 3. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 56,69% ↓ 58,45% ↑ Атак более 1Gbps: 6,04% ↑ 2,58% ↓ Атак более 10Gbps: 2,62% ↑ 0,70% ↓ Атак более 100Gbps: 1,29% ↑ 0,10% ↑
  4. 4. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 3350 ↓ 3935 ↑ Атак более 1Gbps: 357 ↑ 174 ↓ Атак более 10Gbps: 155 ↑ 47 ↓ Атак более 100Gbps: 76 ↑ 7 ↑
  5. 5. Распределение по дням 160 140 120 100 80 60 40 20 0 01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12 2014 2013
  6. 6. Почти год назад
  7. 7. Почти год назад
  8. 8. Почти год назад
  9. 9. Коэфф. Амплификации: DNS 14000 12000 10000 8000 6000 4000 2000 0 35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355
  10. 10. Коэфф. Амплификации: NTP 160000 140000 120000 100000 80000 60000 40000 20000 0 13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60
  11. 11. Коэфф. Амплификации: Chargen 400 350 300 250 200 150 100 50 0 12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255
  12. 12. Коэфф. Амплификации: SNMP 300000 250000 200000 150000 100000 50000 0 30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80
  13. 13. Коэфф. Амплификации: SSDP 400000 350000 300000 250000 200000 150000 100000 50000 0 60 63 66 69 72 75 78 81 84 87 90 93 96 99 102 105 108 111 114 117 120 123 126 128 131 134 137 140 143 146 149 152 155 158 161 164 167 170 173 176 179
  14. 14. Пять проблем, одна семья User Datagram Protocol • DNS ( x35 ) • NTP ( x1300 ) • SSDP ( x150 ) • SNMP ( x50 ) • Chargen ( x200 )
  15. 15. Динамика DNS 250000000 200000000 150000000 100000000 50000000 0
  16. 16. Динамика NTP 35000000 30000000 25000000 20000000 15000000 10000000 5000000 0
  17. 17. Динамика амплификаторов 1.8E+09 1.6E+09 1.4E+09 1.2E+09 1E+09 800000000 600000000 400000000 200000000 0 Chargen NTP DNS SNMP SSDP Total
  18. 18. SSDP
  19. 19. SSDP Победила топология
  20. 20. Топологии - они везде
  21. 21. Топологии – могут вас убить
  22. 22. Топологии – это важно
  23. 23. Топологии – это важно
  24. 24. Очень-очень важно!
  25. 25. Важно: конфиденциальность [13:21:17] melanor9 hll: парни! гасите все IP сразу, а не по одному [13:21:29] Person1: там их гора [27/03/14] melanor9 hll: очевидно же что вас уже "Пописали”
  26. 26. Еще важно: оперативность [14:18:07] Person2: в общем новости из каравана: отключены все ip всех фронтов кроме хабра [14:18:26] Person2: хабр вроде ожил [14:18:38] Person2: сейчас поднимаем фронты на новых ip
  27. 27. Еще важно: DNS Сколько времени займет изменение root servers ?
  28. 28. Еще важно ЗДРАВЫЙ СМЫСЛ
  29. 29. Еще важно Память и Внимательность
  30. 30. Еще важно
  31. 31. </whine> Ok, что дальше?
  32. 32. Назад в будущее Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
  33. 33. Здесь живут Amplifications Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
  34. 34. Здесь живут ботнеты Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
  35. 35. + трафик-генераторы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
  36. 36. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
  37. 37. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
  38. 38. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock
  39. 39. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock + Habrahabr
  40. 40. А здесь живут Драконы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
  41. 41. Пример inetnum: 188.44.56.0 - 188.44.63.255 netname: dorm descr: Lomonosov Moscow State University descr: Hostel network, GZ-B,V country: RU admin-c: MSU-RIPE tech-c: MSU-RIPE status: ASSIGNED PA mnt-by: MSU-MNT
  42. 42. Пример: НОРМА traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms 2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms 3 router.transtelecom.net (193.232.245.177) 0.209 ms * * 4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms 5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms 6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms 7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms 8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms 9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms [dd] Пакет достиг университетской сети.
  43. 43. Пример: АНОМАЛИЯ traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms 2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms 3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms 4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms 5 * * * 6 * * * 7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms [dd] … дальше было много транс-атлантики.
  44. 44. Всем удачного Halloween

×