Ddos 2011 risspa

1,122 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,122
On SlideShare
0
From Embeds
0
Number of Embeds
210
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ddos 2011 risspa

  1. 1. DDoS-атаки в 2011 году: характер и тенденцииSigned-off-by: "Artyom Gavrichenkov" <ximaera@highloadlab.com>
  2. 2. #include <statistics.h> int ATTACK_COUNT=1563 int SPOOF_ATTACKS_COUNT=275 int GBPS_ATTACKS_COUNT=23 // >=1 GBPS
  3. 3. #include <statistics.h> int MAX_DURATION=486 // hours
  4. 4. #include <statistics.h> int MAX_TRAFFIC=56 // Gbps
  5. 5. #include <statistics.h> int MAX_BOTNET_COUNT=127486 // http://highloadlab.com
  6. 6. #include <distribution.h> enum weekly { MONDAY = 218, TUESDAY = 244, WEDNESDAY = 225, THURSDAY = 245, FRIDAY = 241, SATURDAY = 201, SUNDAY = 189 };
  7. 7. Понедельник Вторник Среда Четверг Пятница СубботаВоскресенье 0 50 100 150 200 250 300
  8. 8. В выходные техподдержка ISP работает менее усердно
  9. 9. Основные проблемы (пока) не с ISP, а с IXP
  10. 10. To: info@*^#$^*.net« Today we faced several Gbps of DoSfrom your exchange (and at this time ithasnt stopped yet). It is ICMP traffic with spoofed sourceaddresses. Our suggestion is that one of yourclients uses IPs from other ASes,connected to *^#$^*-IX. »
  11. 11. From: info@*^#$^*.net« *^#$^*-IX only operates the L2 exchangefabric. We are not involved in routing issuesourselves. Please ask your upstream(s) tocontact their relevant peers on the exchange inorder to investigate this. One idea is that you could add a null route atthe border? »
  12. 12. From: info@*^#$^*!net1. Устанавливаем сервер на IX2. Производим мультигигабитные атаки3. …4. PROFIT
  13. 13. #include <distribution.h> enum yearly { JANUARY = 437, FEBRUARY = 392, MARCH = 303, APRIL = 87, MAY = 22, JUNE = 85, JULY = 103, AUGUST = 88, SEPTEMBER = 46 };
  14. 14. ЯнварьФевраль Март Апрель Май Июнь Июль АвгустСентябрь 0 50 100 150 200 250 300 350 400 450 500
  15. 15. Ждем Нового года!
  16. 16. Самая продолжительная атака?● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
  17. 17. Самая продолжительная атака?● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
  18. 18. Наибольший суммарный трафик атаки?● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
  19. 19. Наибольший суммарный трафик атаки?● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
  20. 20. Среди узкоспециализированных компаний – высокая конкуренция. DDoS – это метод конкурентной борьбы.
  21. 21. Цели атакующих● Деньги● Политика● Реклама● Принципы● + B1TC01N$
  22. 22. Рекламаhttp://habrahabr.ru● Повторная атака спустя 30 минут после опубликования статьи
  23. 23. http://www.nic.ly
  24. 24. ПринципыСоциальный DDoS: http://citadel-film.ru/
  25. 25. B1TC01N$BKDR_BTMINE.DDOS«Used to perform DDoS attacks and aids othercomponent malware in stealing Bitcoins fromtargeted entities. »
  26. 26. Тенденция● Network level → Application Level● Гигабиты – не метрика● Метрики: ● Трафик ● Пакеты ● Запросы ● Объём ботнета = Производимый эффект
  27. 27. Что нужно помнить● Не все боты одинаково вредны ● http://en.wikipedia.org/wiki/User:RFC_bot ● http://www.opera.com/browser/turbo/ ● Важна корреляция!● Не все иностранцы одинаково вредны ● http://www.letoile.ru
  28. 28. Questions?

×