Ontico, profile picture
Uploaded byOntico
6,224 views

Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (Selectel)

Документ описывает проблемы и решения, связанные с атаками DDoS в хостинге, включая методы мониторинга и фильтрации трафика. Он также затрагивает использование технологий BGP Flow Specification и инструменты, такие как FastNetMon, для анализа атак и управления трафиком. В заключение приводятся примеры отчетов о количестве атакующих пакетов и направлениях трафика.

Embed presentation

Downloaded 14 times
Борьба с DDoS в хостинге: по обе стороны баррикад Константин Новаковский, Vscale h
Почему нам больно • 6 датацентров (6,5к м2 ) • Аренда серверов / стоек / серверных помещений / волокон • Виртуальное приватное облако • Облачное хранилище / CDN • Мониторинг • Vscale • Anycast DNS
Проблемы • атаки на наших клиентов • атаки на нашу инфраструктуру • использование нашей инфраструктуры для атак: • “взломали” сервер клиента • виртуалки для атак
DoS. DDoS. Коротко. А вдруг :) ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение
DDoS. Коротко. А вдруг :) ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение ● большой BPS ● большой PPS ● большой PPS ● небольшие числа BPS/PPS
Отражение 1. Атакующий хост рассылает запросы от имени жертвы по всему интернету 2. Хосты в интернете отвечают жертве 3. Жертва получает ОЧЕНЬ МНОГО неожиданных ответов Размер ответа небольшой — как правило, равный размеру запроса. ping -S <жертва> <host в интернете> hping3 ...
Усиление Основной механизм - отражение, но ● посылка маленького по размеру запроса ● генерация очень большого ответа - до 100 килобайт • SNMP, DNS, NTP, SSDP, CS, Quake • UDP - нет установки сессии перед запросом rfc768
12 декабря 2015
Флуд • udp • syn • icmp • etc
Мониторинг Минимум - нагрузка на сетевых интерфейсах серверов/роутерах Держать weathermap перед глазами
Мониторинг
Кто? кого? откуда? куда?
Netflow, IPFIX, sFlow • сенсор • коллектор • анализатор
Netflow, IPFIX, sFlow • сенсор • коллектор • анализатор
Netflow, IPFIX, sFlow • Обрабатываются не все пакеты • Может создать излишнюю нагрузку на сенсор • Значение семплинга зависит от: • объемов трафика • оборудования / сенсора
Мониторим SNMP, DNS, NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
Мониторим SNMP, DNS, NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
Мониторим SNMP, DNS, NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
Отчёт клиенту. • Топ по портам назначения • Топ портам источников трафика • Автономные системы источников трафика • Топы IP-адресов на основе топов портов источников и назначения • Количество IP-адресов в по топам портов
Реакция и смягчение. BGP Flow Spec • Работает поверх BGP • обрабатывается аппаратно на ASIC’ах • опасен своей мощью • поддерживают далеко не все операторы
BGP Flow Spec. Фильтры. RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
Flow Spec. Фильтры. RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
Flow Spec. Фильтры. RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
Flow Spec. Реакция traffic-rate traffic-action redirect traffic-marking Accept Discard Next-hop rate-limit etc
Fastnetmon • NetFlow v5, v9 • IPFIX • sFLOW v4, v5 • Port mirror/SPAN capture with PF_RING, SnabbSwitch, NETMAP and PCAP
Fastnetmon. Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
Fastnetmon. Пример отчёта Attack type: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
Open vSwitch. Openflow Open vSwitch — программный многоуровневый коммутатор. Обеспечивает сеть виртуальным машинам. Openflow — протокол взаимодействия между сетевыми устройствами (коммутаторами) программно-управляемой сети (SDN) и централизованным контроллером
Фильтруем трафик виртуалок DHCP priority=39100 dl_type=0x0800 nw_proto=17 nw_dst=255.255.255.255 tp_dst=68 idle_timeout=0 action=drop Anti Spoofing priority=39000 dl_type=0x0800 nw_src=192.168.10.1 dl_src=52:54:00:a3:74:68 idle_timeout=0 action=normal http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
Фильтруем трафик виртуалок. DHCP priority=39100 dl_type=0x0800 nw_proto=17 nw_dst=255.255.255.255 tp_dst=68 idle_timeout=0 action=drop Anti Spoofing priority=39000 dl_type=0x0800 nw_src=192.168.10.1 dl_src=52:54:00:a3:74:68 idle_timeout=0 action=normal http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
Предотвращение атак из виртуалок Мониторим превышение на порту виртуалок Проверяем подозрительный трафик: • не попадает под известные случаи • ничего не делаем • вредоносная активность: • делаем небольшой дамп для дальнейшего разбора инцидента • отключаем порт виртуалки от сети
Вопросы?

More Related Content

PDF
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
byOntico
 
PDF
Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад
byKonstantin Novakovksy
 
PDF
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
byTanya Denisyuk
 
PPTX
Тестирование Сетевой Безопасности
bySQALab
 
PPTX
Типовые сервисы региональной сети передачи данных
byARCCN
 
ODP
Технические аспекты блокировки интернета в России. Проблемы и перспективы
byPhilipp Kulin
 
PDF
Влияние сетевых аномалий на доступность ресурсов
byHLL
 
PDF
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
byFuenteovejuna
 
Cautious: IPv6 is here / Александр Азимов (Qrator Labs)
byOntico
 
Spblug. Борьба с DDoS в хостинге - по обе стороны баррикад
byKonstantin Novakovksy
 
Александр Тоболь, Кадры решают все, или стриминг видео в Одноклассниках
byTanya Denisyuk
 
Тестирование Сетевой Безопасности
bySQALab
 
Типовые сервисы региональной сети передачи данных
byARCCN
 
Технические аспекты блокировки интернета в России. Проблемы и перспективы
byPhilipp Kulin
 
Влияние сетевых аномалий на доступность ресурсов
byHLL
 
Тандемные DDoS-атаки. Проблематика уязвимостей в спецификации TCP IP (фундаме...
byFuenteovejuna
 

What's hot

PDF
SDN и защищенные квантовые коммуникации
byARCCN
 
PPTX
Get inside stage2 new
byInfoTeCS
 
PPTX
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
byARCCN
 
PDF
стриминг видео на ок
byAlexander Tobol
 
PDF
Обратная разработка бинарных форматов с помощью Kaitai Struct
byPositive Hack Days
 
PDF
Как настроить DMVPN и избежать проблем
byCisco Russia
 
PPT
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
byPositive Hack Days
 
PDF
Open Ethernet - открытый подход к построению Ethernet сетей
byARCCN
 
PPTX
DPI Vas Experts Linkmeup
byAlexander Fatin
 
PPTX
QoS и приоритезация трафика внутри VPN-туннелей
bymikrotik-training
 
PPTX
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
byARCCN
 
PDF
ащита удаленного доступа с помощью континент Tls vpn
byOleg Boyko
 
PPTX
Облачная платформа Cloud Conductor
byARCCN
 
PDF
VPN ГОСТ в виртуальной среде
byS-Terra CSP
 
PDF
Практические советы по выбору и настройке Cisco VPN
bySkillFactory
 
PPTX
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
bymikrotik-training
 
PDF
Пишем свой протокол поверх UDP или платформа потокового видео с нуля на милли...
byOntico
 
PPTX
Многопоточная маршрутизация в SDN Евгений Чемерицкий, Евгений Степанов, ЦПИКС
byARCCN
 
PDF
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
byCisco Russia
 
SDN и защищенные квантовые коммуникации
byARCCN
 
Get inside stage2 new
byInfoTeCS
 
Разработка OpenFlow-коммутатора на базе сетевого процессора EZchip
byARCCN
 
стриминг видео на ок
byAlexander Tobol
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
byPositive Hack Days
 
Как настроить DMVPN и избежать проблем
byCisco Russia
 
Positive Hack Days. Павлов. Мастер-класс: Анализ защищенности сетевой инфраст...
byPositive Hack Days
 
Open Ethernet - открытый подход к построению Ethernet сетей
byARCCN
 
DPI Vas Experts Linkmeup
byAlexander Fatin
 
QoS и приоритезация трафика внутри VPN-туннелей
bymikrotik-training
 
Универсальный контроллер для сетей WiFI высокой плотности и его интеграция с ...
byARCCN
 
ащита удаленного доступа с помощью континент Tls vpn
byOleg Boyko
 
Облачная платформа Cloud Conductor
byARCCN
 
VPN ГОСТ в виртуальной среде
byS-Terra CSP
 
Практические советы по выбору и настройке Cisco VPN
bySkillFactory
 
Фильтрация соцсетей и лишнего трафика: использование L7 возможностей в Mikrotik
bymikrotik-training
 
Пишем свой протокол поверх UDP или платформа потокового видео с нуля на милли...
byOntico
 
Многопоточная маршрутизация в SDN Евгений Чемерицкий, Евгений Степанов, ЦПИКС
byARCCN
 
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
byCisco Russia
 

Viewers also liked

PDF
Blackholing from a_providers_perspektive_theo_voss
byPavel Odintsov
 
PDF
Janog 39: speech about FastNetMon by Yutaka Ishizaki
byPavel Odintsov
 
PDF
DDoS detection at small ISP by Wardner Maia
byPavel Odintsov
 
PDF
Protect your edge BGP security made simple
byPavel Odintsov
 
PDF
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
byPavel Odintsov
 
PDF
Jon Nield FastNetMon
byPavel Odintsov
 
PDF
GoBGP : yet another OSS BGPd
byPavel Odintsov
 
PPT
9534715
byPavel Odintsov
 
PDF
03 estrategia-ddos
byPavel Odintsov
 
PDF
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
byPavel Odintsov
 
PDF
FastNetMon - ENOG9 speech about DDoS mitigation
byPavel Odintsov
 
PDF
Keeping your rack cool
byPavel Odintsov
 
PDF
Distributed Denial of Service Attack - Detection And Mitigation
byPavel Odintsov
 
PDF
Nanog66 vicente de luca fast netmon
byPavel Odintsov
 
PDF
Ripe71 FastNetMon open source DoS / DDoS mitigation
byPavel Odintsov
 
PPTX
HDD, SSD, RAM, RAID, и кого на ком кэшировать / Михаил Конюхов (Perfect Solut...
byOntico
 
PPTX
Виртуальный ЦОД для корпоративных клиентов на базе Virtuozzo: стабильность, п...
byOntico
 
PPT
Как поддерживать и развивать пачку "похожих" проектов. Кластер или конгломера...
byOntico
 
PDF
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт...
byOntico
 
PPTX
Sphinx 3.0, поиск 15 лет спустя / Андрей Аксенов (Sphinx)
byOntico
 
Blackholing from a_providers_perspektive_theo_voss
byPavel Odintsov
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
byPavel Odintsov
 
DDoS detection at small ISP by Wardner Maia
byPavel Odintsov
 
Protect your edge BGP security made simple
byPavel Odintsov
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
byPavel Odintsov
 
Jon Nield FastNetMon
byPavel Odintsov
 
GoBGP : yet another OSS BGPd
byPavel Odintsov
 
9534715
byPavel Odintsov
 
03 estrategia-ddos
byPavel Odintsov
 
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
byPavel Odintsov
 
FastNetMon - ENOG9 speech about DDoS mitigation
byPavel Odintsov
 
Keeping your rack cool
byPavel Odintsov
 
Distributed Denial of Service Attack - Detection And Mitigation
byPavel Odintsov
 
Nanog66 vicente de luca fast netmon
byPavel Odintsov
 
Ripe71 FastNetMon open source DoS / DDoS mitigation
byPavel Odintsov
 
HDD, SSD, RAM, RAID, и кого на ком кэшировать / Михаил Конюхов (Perfect Solut...
byOntico
 
Виртуальный ЦОД для корпоративных клиентов на базе Virtuozzo: стабильность, п...
byOntico
 
Как поддерживать и развивать пачку "похожих" проектов. Кластер или конгломера...
byOntico
 
Архитектура растущего проекта на примере ВКонтакте / Алексей Акулович (ВКонт...
byOntico
 
Sphinx 3.0, поиск 15 лет спустя / Андрей Аксенов (Sphinx)
byOntico
 

Similar to Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (Selectel)

PPTX
Александр Лямин и Антон Карпов - Ddos-атаки
byYandex
 
PPTX
Lyamin Yandex webmaster2013
byAlexander Lyamin
 
PDF
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
byCisco Russia
 
PPTX
Современные методы защиты от DDoS атак
bySkillFactory
 
PPTX
Cloud DDoS filter
byIlya Teterin
 
PDF
DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин...
byOntico
 
PDF
Сеть как сенсор и как регулятор
byCisco Russia
 
PPTX
Концепция целостной информационной безопасности F5 Networks
byBAKOTECH
 
PPTX
Lyamin hl2014
byAlexander Lyamin
 
PPTX
Hl++2013 lyamin
byAlexander Lyamin
 
PDF
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
byCisco Russia
 
PDF
Обзор решений по борьбе с DDoS-атаками
byCisco Russia
 
PPTX
презентация цпикс
byYandex
 
PDF
Решение Cisco Threat Defense (CTD) и кибербезопасность
byCisco Russia
 
PPTX
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1
byСвязьКомплект
 
PDF
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
byCisco Russia
 
PDF
Автоматизация: технологии и средства
byCisco Russia
 
PDF
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
byStormWall.pro
 
PPT
RITConf 2011 "DDoS Classification"
byAlexander Lyamin
 
PDF
Александр Лямин, QratorLabs/HLL
byOntico
 
Александр Лямин и Антон Карпов - Ddos-атаки
byYandex
 
Lyamin Yandex webmaster2013
byAlexander Lyamin
 
Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи
byCisco Russia
 
Современные методы защиты от DDoS атак
bySkillFactory
 
Cloud DDoS filter
byIlya Teterin
 
DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин...
byOntico
 
Сеть как сенсор и как регулятор
byCisco Russia
 
Концепция целостной информационной безопасности F5 Networks
byBAKOTECH
 
Lyamin hl2014
byAlexander Lyamin
 
Hl++2013 lyamin
byAlexander Lyamin
 
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
byCisco Russia
 
Обзор решений по борьбе с DDoS-атаками
byCisco Russia
 
презентация цпикс
byYandex
 
Решение Cisco Threat Defense (CTD) и кибербезопасность
byCisco Russia
 
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1
byСвязьКомплект
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
byCisco Russia
 
Автоматизация: технологии и средства
byCisco Russia
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
byStormWall.pro
 
RITConf 2011 "DDoS Classification"
byAlexander Lyamin
 
Александр Лямин, QratorLabs/HLL
byOntico
 

More from Ontico

PDF
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
byOntico
 
PDF
Масштабируя DNS / Артем Гавриченков (Qrator Labs)
byOntico
 
PPTX
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
byOntico
 
PDF
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
byOntico
 
PDF
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
byOntico
 
PDF
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
byOntico
 
PDF
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
byOntico
 
PDF
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
byOntico
 
PPTX
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
byOntico
 
PPTX
MySQL Replication — Advanced Features / Петр Зайцев (Percona)
byOntico
 
PDF
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
byOntico
 
PPTX
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
byOntico
 
PPTX
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
byOntico
 
PDF
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
byOntico
 
PPT
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
byOntico
 
PPTX
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
byOntico
 
PPTX
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
byOntico
 
PPTX
100500 способов кэширования в Oracle Database или как достичь максимальной ск...
byOntico
 
PPTX
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
byOntico
 
PDF
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
byOntico
 
One-cloud — система управления дата-центром в Одноклассниках / Олег Анастасье...
byOntico
 
Масштабируя DNS / Артем Гавриченков (Qrator Labs)
byOntico
 
Создание BigData-платформы для ФГУП Почта России / Андрей Бащенко (Luxoft)
byOntico
 
Готовим тестовое окружение, или сколько тестовых инстансов вам нужно / Алекса...
byOntico
 
Новые технологии репликации данных в PostgreSQL / Александр Алексеев (Postgre...
byOntico
 
PostgreSQL Configuration for Humans / Alvaro Hernandez (OnGres)
byOntico
 
Inexpensive Datamasking for MySQL with ProxySQL — Data Anonymization for Deve...
byOntico
 
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
byOntico
 
ProxySQL Use Case Scenarios / Alkin Tezuysal (Percona)
byOntico
 
MySQL Replication — Advanced Features / Петр Зайцев (Percona)
byOntico
 
Внутренний open-source. Как разрабатывать мобильное приложение большим количе...
byOntico
 
Подробно о том, как Causal Consistency реализовано в MongoDB / Михаил Тюленев...
byOntico
 
Балансировка на скорости проводов. Без ASIC, без ограничений. Решения NFWare ...
byOntico
 
Перехват трафика — мифы и реальность / Евгений Усков (Qrator Labs)
byOntico
 
И тогда наверняка вдруг запляшут облака! / Алексей Сушков (ПЕТЕР-СЕРВИС)
byOntico
 
Как мы заставили Druid работать в Одноклассниках / Юрий Невиницин (OK.RU)
byOntico
 
Разгоняем ASP.NET Core / Илья Вербицкий (WebStoating s.r.o.)
byOntico
 
100500 способов кэширования в Oracle Database или как достичь максимальной ск...
byOntico
 
Apache Ignite Persistence: зачем Persistence для In-Memory, и как он работает...
byOntico
 
Механизмы мониторинга баз данных: взгляд изнутри / Дмитрий Еманов (Firebird P...
byOntico
 

Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (Selectel)

  • 1.
    Борьба с DDoSв хостинге: по обе стороны баррикад Константин Новаковский, Vscale h
  • 2.
    Почему нам больно •6 датацентров (6,5к м2 ) • Аренда серверов / стоек / серверных помещений / волокон • Виртуальное приватное облако • Облачное хранилище / CDN • Мониторинг • Vscale • Anycast DNS
  • 3.
    Проблемы • атаки нанаших клиентов • атаки на нашу инфраструктуру • использование нашей инфраструктуры для атак: • “взломали” сервер клиента • виртуалки для атак
  • 4.
    DoS. DDoS. Коротко.А вдруг :) ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение
  • 5.
    DDoS. Коротко. Авдруг :) ● на канал (volumetric) ● на протокол ● на оборудование ● на приложение ● большой BPS ● большой PPS ● большой PPS ● небольшие числа BPS/PPS
  • 6.
    Отражение 1. Атакующий хострассылает запросы от имени жертвы по всему интернету 2. Хосты в интернете отвечают жертве 3. Жертва получает ОЧЕНЬ МНОГО неожиданных ответов Размер ответа небольшой — как правило, равный размеру запроса. ping -S <жертва> <host в интернете> hping3 ...
  • 7.
    Усиление Основной механизм -отражение, но ● посылка маленького по размеру запроса ● генерация очень большого ответа - до 100 килобайт • SNMP, DNS, NTP, SSDP, CS, Quake • UDP - нет установки сессии перед запросом rfc768
  • 8.
  • 9.
  • 10.
    Мониторинг Минимум - нагрузкана сетевых интерфейсах серверов/роутерах Держать weathermap перед глазами
  • 11.
  • 12.
  • 13.
    Netflow, IPFIX, sFlow •сенсор • коллектор • анализатор
  • 14.
    Netflow, IPFIX, sFlow •сенсор • коллектор • анализатор
  • 15.
    Netflow, IPFIX, sFlow •Обрабатываются не все пакеты • Может создать излишнюю нагрузку на сенсор • Значение семплинга зависит от: • объемов трафика • оборудования / сенсора
  • 16.
    Мониторим SNMP, DNS,NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
  • 17.
    Мониторим SNMP, DNS,NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
  • 18.
    Мониторим SNMP, DNS,NTP, SSDP $ nfdump -n 50 -s dstip:p/bps "dst as 49505 and (src port 53 or src port 1900 or src port 123 or src port 161) and pps > 500 and duration > 40"
  • 19.
    Отчёт клиенту. • Топпо портам назначения • Топ портам источников трафика • Автономные системы источников трафика • Топы IP-адресов на основе топов портов источников и назначения • Количество IP-адресов в по топам портов
  • 20.
    Реакция и смягчение.BGP Flow Spec • Работает поверх BGP • обрабатывается аппаратно на ASIC’ах • опасен своей мощью • поддерживают далеко не все операторы
  • 21.
    BGP Flow Spec.Фильтры. RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
  • 22.
    Flow Spec. Фильтры.RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
  • 23.
    Flow Spec. Фильтры.RFC 5575 Destination Prefix Source Prefix IP Protocol Port Destination port Source port ICMP type ICMP code TCP flags Packet length DSCP Fragment
  • 24.
  • 25.
    Fastnetmon • NetFlow v5,v9 • IPFIX • sFLOW v4, v5 • Port mirror/SPAN capture with PF_RING, SnabbSwitch, NETMAP and PCAP
  • 27.
    Fastnetmon. Пример отчёта Attacktype: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
  • 28.
    Fastnetmon. Пример отчёта Attacktype: syn_flood Initial attack power: 106961 packets per second Peak attack power: 211654 packets per second Attack direction: outgoing Attack protocol: tcp Total incoming traffic: 33 mbps Total outgoing traffic: 674 mbps Total incoming pps: 7290 packets per second Total outgoing pps: 106961 packets per second Total incoming flows: 0 flows per second Total outgoing flows: 0 flows per second Average incoming traffic: 33 mbps Average outgoing traffic: 674 mbps Average incoming pps: 7290 packets per second Average outgoing pps: 106961 packets per second Incoming tcp traffic: 0 mbps Outgoing tcp traffic: 1869 mbps Incoming tcp pps: 0 packets per second Outgoing tcp pps: 262144 packets per second Incoming syn tcp traffic: 0 mbps Outgoing syn tcp traffic: 1869 mbps Incoming syn tcp pps: 0 packets per second Outgoing syn tcp pps: 262144 packets per second
  • 29.
    Open vSwitch. Openflow OpenvSwitch — программный многоуровневый коммутатор. Обеспечивает сеть виртуальным машинам. Openflow — протокол взаимодействия между сетевыми устройствами (коммутаторами) программно-управляемой сети (SDN) и централизованным контроллером
  • 30.
    Фильтруем трафик виртуалок DHCP priority=39100 dl_type=0x0800 nw_proto=17 nw_dst=255.255.255.255 tp_dst=68 idle_timeout=0 action=drop AntiSpoofing priority=39000 dl_type=0x0800 nw_src=192.168.10.1 dl_src=52:54:00:a3:74:68 idle_timeout=0 action=normal http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
  • 31.
    Фильтруем трафик виртуалок. DHCP priority=39100 dl_type=0x0800 nw_proto=17 nw_dst=255.255.255.255 tp_dst=68 idle_timeout=0 action=drop AntiSpoofing priority=39000 dl_type=0x0800 nw_src=192.168.10.1 dl_src=52:54:00:a3:74:68 idle_timeout=0 action=normal http://archive.openflow.org/doc/gui/org/openflow/protocol/Match.html
  • 32.
    Предотвращение атак извиртуалок Мониторим превышение на порту виртуалок Проверяем подозрительный трафик: • не попадает под известные случаи • ничего не делаем • вредоносная активность: • делаем небольшой дамп для дальнейшего разбора инцидента • отключаем порт виртуалки от сети
  • 34.