DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)

1. DDoS-атаки в России: 2014 Александр Лямин <la@qrator.net>

2. UDP-пакеты салом не пахнут

3. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 56,69% ↓ 58,45% ↑ Атак более 1Gbps: 6,04% ↑ 2,58% ↓ Атак более 10Gbps: 2,62% ↑ 0,70% ↓ Атак более 100Gbps: 1,29% ↑ 0,10% ↑

4. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 3350 ↓ 3935 ↑ Атак более 1Gbps: 357 ↑ 174 ↓ Атак более 10Gbps: 155 ↑ 47 ↓ Атак более 100Gbps: 76 ↑ 7 ↑

5. Распределение по дням 160 140 120 100 80 60 40 20 0 01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12 2014 2013

6. Почти год назад

9. Коэфф. Амплификации: DNS 14000 12000 10000 8000 6000 4000 2000 0 35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355

10. Коэфф. Амплификации: NTP 160000 140000 120000 100000 80000 60000 40000 20000 0 13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60

11. Коэфф. Амплификации: Chargen 400 350 300 250 200 150 100 50 0 12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255

12. Коэфф. Амплификации: SNMP 300000 250000 200000 150000 100000 50000 0 30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80

13. Коэфф. Амплификации: SSDP 400000 350000 300000 250000 200000 150000 100000 50000 0 60 63 66 69 72 75 78 81 84 87 90 93 96 99 102 105 108 111 114 117 120 123 126 128 131 134 137 140 143 146 149 152 155 158 161 164 167 170 173 176 179

14. Пять проблем, одна семья User Datagram Protocol • DNS ( x35 ) • NTP ( x1300 ) • SSDP ( x150 ) • SNMP ( x50 ) • Chargen ( x200 )

15. Динамика DNS 250000000 200000000 150000000 100000000 50000000 0

16. Динамика NTP 35000000 30000000 25000000 20000000 15000000 10000000 5000000 0

17. Динамика амплификаторов 1.8E+09 1.6E+09 1.4E+09 1.2E+09 1E+09 800000000 600000000 400000000 200000000 0 Chargen NTP DNS SNMP SSDP Total

18. SSDP

19. SSDP Победила топология

20. Топологии - они везде

21. Топологии – могут вас убить

22. Топологии – это важно

23. Топологии – это важно

24. Очень-очень важно!

25. Важно: конфиденциальность [13:21:17] melanor9 hll: парни! гасите все IP сразу, а не по одному [13:21:29] Person1: там их гора [27/03/14] melanor9 hll: очевидно же что вас уже "Пописали”

26. Еще важно: оперативность [14:18:07] Person2: в общем новости из каравана: отключены все ip всех фронтов кроме хабра [14:18:26] Person2: хабр вроде ожил [14:18:38] Person2: сейчас поднимаем фронты на новых ip

27. Еще важно: DNS Сколько времени займет изменение root servers ?

28. Еще важно ЗДРАВЫЙ СМЫСЛ

29. Еще важно Память и Внимательность

30. Еще важно

31. </whine> Ok, что дальше?

32. Назад в будущее Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+

33. Здесь живут Amplifications Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+

34. Здесь живут ботнеты Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+

35. + трафик-генераторы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+

36. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)

37. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)

38. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock

39. Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock + Habrahabr

40. А здесь живут Драконы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+

41. Пример inetnum: 188.44.56.0 - 188.44.63.255 netname: dorm descr: Lomonosov Moscow State University descr: Hostel network, GZ-B,V country: RU admin-c: MSU-RIPE tech-c: MSU-RIPE status: ASSIGNED PA mnt-by: MSU-MNT

42. Пример: НОРМА traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms 2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms 3 router.transtelecom.net (193.232.245.177) 0.209 ms * * 4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms 5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms 6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms 7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms 8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms 9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms [dd] Пакет достиг университетской сети.

43. Пример: АНОМАЛИЯ traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms 2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms 3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms 4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms 5 * * * 6 * * * 7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms [dd] … дальше было много транс-атлантики.

44. Всем удачного Halloween

DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)

You are reading a preview.

Check these out next

DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)

More Related Content

Slideshows for you (16)

Similar to DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs) (20)

More from Ontico (20)

Recently uploaded (20)