Тема презентации Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, представленной в рамках конференции HighLoad++ 25-26 октября 2010 г., относится к актуальной области администрирования на междоменном сетевом уровне — моделированию процесса сходимости протокола BGP.
Данный тип моделирования активно применяется при разработке новых механизмов передачи сообщений BGP и при оценке скорости перестроения глобальной сети вследствие возникновения нештатных ситуаций.
В рамках проведенного исследования были получены следующие оценки:
• Время сходимости протокола BGP вследствие объявления нового маршрута BGP-маршрутизатором пропорционально диаметру графа сети относительно рассматриваемого маршрутизатора;
• Время сходимости протокола BGP вследствие удаления маршрута BGP-маршрутизатором пропорционально гамильтонову пути в графе относительно рассматриваемого маршрутизатора.
В рамках исследования был также проведен анализ работы механизма Flap Damping. Данный инструмент BGP разработан для обнаружения, локализации и минимизации влияния на сеть АС нестабильных участков сети. В качестве признака нестабильности участка сети используется «мигающий маршрут»: повторяющиеся объявления и удаления маршрута к некоторому префиксу за короткий интервал времени. Используя полученные оценки времени сходимости протокола BGP, была рассчитана вероятность возникновения «мигающего маршрута» в кольце BGP-маршрутизаторов вследствие единичного удаления маршрута. В соответствии с полученными результатами, был сделан вывод о негативном влиянии механизма Flap Damping на сходимость протокола BGP.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Сегментация и поиск совпадений в бинарном потокеLeonid Yuriev
Дан миллиард файлов неизвестного формата.
Как выявить даже частичные совпадения, если одни файлы могут включать другие полностью или частями?
Как делать это, имея доступ только к потоку байтов без начала и конца?
Рассказ о разработанном подходе (методе) для решения таких задач. Принципиальные отличия в гибкости, в контроле над точностью и достоверностью, независимо от содержания и характера данных. Стоит уточнить:
Речь пойдет о способе сегментирования произвольного потока данных для последующего шинглирования.
При этом основной вопрос в том, как нарезать на вменяемые «шинглы» произвольную последовательность байтов без привязки к каким-либо абсолютным границам.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Сегментация и поиск совпадений в бинарном потокеLeonid Yuriev
Дан миллиард файлов неизвестного формата.
Как выявить даже частичные совпадения, если одни файлы могут включать другие полностью или частями?
Как делать это, имея доступ только к потоку байтов без начала и конца?
Рассказ о разработанном подходе (методе) для решения таких задач. Принципиальные отличия в гибкости, в контроле над точностью и достоверностью, независимо от содержания и характера данных. Стоит уточнить:
Речь пойдет о способе сегментирования произвольного потока данных для последующего шинглирования.
При этом основной вопрос в том, как нарезать на вменяемые «шинглы» произвольную последовательность байтов без привязки к каким-либо абсолютным границам.
Кибербезопасность 2016-2017: От итогов к прогнозамAlexey Komarov
Позитив Текнолоджиз: Минувший год оказался богат на события в области информационной безопасности. В 2016 году помимо традиционных пентестов и анализа уязвимостей эксперты компании Positive Technologies приняли участие в расследовании ряда инцидентов, включая крупные атаки на банки, а также проанализировали общую картину атак, благодаря данным собственного центра мониторинга (SOC) и данным, полученным в ходе пилотных проектов и внедрению продуктов компании в различных организациях. Собранная информация позволяет предложить экспертную оценку ИБ-трендов года, а также сделать определенные прогнозы относительно того, что ждет индустрию в будущем, 2017 году.
The document provides an overview of the Border Gateway Protocol (BGP). It discusses BGP concepts such as autonomous systems, path attributes, and the BGP protocol operation. Key points include that BGP establishes peering sessions to exchange routing information, uses route attributes like AS path, next hop, and communities to determine the best path, and supports techniques like route reflection and confederation to improve scalability in large networks.
Naumen Network Manager -это:
- универсальная платформа-конструктор с мощным модулем аналитики и технологией нормализации данных;
- многочисленные модули анализа и визуализации данных;
- решение от единственного в СНГ вендора систем класса Service Desk и Network Management.
Presentation created for international VPs of an IT consulting firm, for their introductive training program.
"Illegible fonts, cheesy visuals, obscure charts : everyday, we all suffer from "Death by Powerpoint" syndrome.
But there's only a few tips and tools to know to overcome those setbacks, and to dazzle the audience with your next presentation.
Join us on the quest for the Holy Slide and you will discover the secrets of presentation design."
The document provides an overview of Border Gateway Protocol (BGP) which is the routing protocol used to exchange routes between institutions and the KAREN network. BGP allows different autonomous systems (AS) to exchange routing information and is more than just a routing protocol as it contains additional route attributes that are used for policy rules. BGP can operate internally within an AS or externally between ASes to control route propagation based on commercial agreements.
This document is a presentation about designing effective PowerPoint slides. It provides tips over several slides on how to design slides with a killer title and opening slide, use of color schemes and images, getting the text right, using the principles of contrast, repetition, alignment and proximity (CRAP), incorporating video, sharing the presentation online, and recapping the key tips. The presentation emphasizes the importance of visual design over text-heavy slides and using techniques like strong images and video to engage the audience in a way words alone cannot. It provides examples throughout to illustrate its tips.
The document provides five design principles for creating slides that effectively communicate messages to audiences:
1. Focus on the main message you want the audience to remember.
2. Keep designs simple with less text and only 1 main point per slide.
3. Use interesting fonts instead of boring standard ones to engage audiences.
4. Include high quality images that visually represent the message.
5. Choose a color scheme that fits the theme and works cohesively.
This document provides a summary of common mistakes in PowerPoint presentation design and tips to avoid them. It identifies the top 5 mistakes as including putting too much information on slides, not using enough visuals, using poor quality visuals, having a disorganized "visual vomit" style, and lack of preparation. The document emphasizes telling a story over slide design, using whitespace on slides, consistent formatting, and spending significant time preparing presentations.
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
The presentation was delivered at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana by Alexander Asimov, Qrator network engineer at HLL.
Alexander Asimov expressed his concerns about BGP Route Stability and it was suggested that RIPE Atlas may be able to address these issues.
The presentation was delivered by Alexander Lyamin, CEO of HLL (Qrator network), at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana.
DDoS mitigation techniques: poor mans version (low rate HTTP attacks). Every solution works. Not always. Not for everyone.
Порядок преодоления болота на маршруте: как не надо писать приложения, основа...HLL
Артём Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, описывает типичные ошибки программирования при написании серверных приложений на основе TCP-сокетов в рамках конференции «Российские интернет-технологии» (2-3 апреля 2012, Москва).
Разбирается (вероятно, неисчерпывающий) ряд заблуждений и узких мест, приводящих к проблемам с производительностью и уязвимостям безопасности TCP-приложений; приводится ряд примеров, когда ошибки, неочевидные на этапе программирования, при эксплуатации приводили к финансовым и репутационным потерям у авторов и пользователей приложения. Даются рекомендации по отладке и оптимизации приложений, основанных на TCP, а также операционных систем, в которых эксплуатируются такие продукты.
Среди прочего, разбираются такие аспекты работы обработчика TCP-запросов, как:
• предотвращение атак, аналогичных slow POST в Nginx и Lighttpd;
• предотвращение ошибок, аналогичных проблеме со скачиванием файлов в браузере Internet Explorer;
• возможные изменения в дизайне самописных TCP-based протоколов с целью их ускорения;
• использование опции TCP (таких, как TCP_NODELAY) для ускорения работы специфических приложений.
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
The presentation was delivered by HLL / Qrator network engineer Alexander Asimov at the ENOG 2/RIPE NCC Regional Meeting taking place at the World Trade Centre in Moscow on 28-30 November 2011.
Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
Архитектура центра очистки трафика (ЦОТ): решения уровня оператора связи и ко...HLL
Презентация и видео к докладу Александра Лямина (HLL) и Муслима Меджлумова (РТКОММ) на осеннем HighLoad++ 2011, Москва. Специалисты рассказали о технологиях защиты приложений от DDoS-атак в промышленных масштабах.
Представлены основные принципы построения и архитектура решений по фильтрации трафика оператора связи РТКОММ и компании-специалиста HLL (сеть фильтрации Qrator).
В форме товарищеского матча докладчики обсудили следующие вопросы:
• защита сети vs защита сетевых приложений;
• собственные разработки vs решения от вендоров;
• распределенная сеть vs сеть оператора связи;
• специализация vs интеграция;
• вопросы масштабирования;
• способы подключения и оперативность работы фильтров;
• SLA и ценовая политика.
Кибербезопасность 2016-2017: От итогов к прогнозамAlexey Komarov
Позитив Текнолоджиз: Минувший год оказался богат на события в области информационной безопасности. В 2016 году помимо традиционных пентестов и анализа уязвимостей эксперты компании Positive Technologies приняли участие в расследовании ряда инцидентов, включая крупные атаки на банки, а также проанализировали общую картину атак, благодаря данным собственного центра мониторинга (SOC) и данным, полученным в ходе пилотных проектов и внедрению продуктов компании в различных организациях. Собранная информация позволяет предложить экспертную оценку ИБ-трендов года, а также сделать определенные прогнозы относительно того, что ждет индустрию в будущем, 2017 году.
The document provides an overview of the Border Gateway Protocol (BGP). It discusses BGP concepts such as autonomous systems, path attributes, and the BGP protocol operation. Key points include that BGP establishes peering sessions to exchange routing information, uses route attributes like AS path, next hop, and communities to determine the best path, and supports techniques like route reflection and confederation to improve scalability in large networks.
Naumen Network Manager -это:
- универсальная платформа-конструктор с мощным модулем аналитики и технологией нормализации данных;
- многочисленные модули анализа и визуализации данных;
- решение от единственного в СНГ вендора систем класса Service Desk и Network Management.
Presentation created for international VPs of an IT consulting firm, for their introductive training program.
"Illegible fonts, cheesy visuals, obscure charts : everyday, we all suffer from "Death by Powerpoint" syndrome.
But there's only a few tips and tools to know to overcome those setbacks, and to dazzle the audience with your next presentation.
Join us on the quest for the Holy Slide and you will discover the secrets of presentation design."
The document provides an overview of Border Gateway Protocol (BGP) which is the routing protocol used to exchange routes between institutions and the KAREN network. BGP allows different autonomous systems (AS) to exchange routing information and is more than just a routing protocol as it contains additional route attributes that are used for policy rules. BGP can operate internally within an AS or externally between ASes to control route propagation based on commercial agreements.
This document is a presentation about designing effective PowerPoint slides. It provides tips over several slides on how to design slides with a killer title and opening slide, use of color schemes and images, getting the text right, using the principles of contrast, repetition, alignment and proximity (CRAP), incorporating video, sharing the presentation online, and recapping the key tips. The presentation emphasizes the importance of visual design over text-heavy slides and using techniques like strong images and video to engage the audience in a way words alone cannot. It provides examples throughout to illustrate its tips.
The document provides five design principles for creating slides that effectively communicate messages to audiences:
1. Focus on the main message you want the audience to remember.
2. Keep designs simple with less text and only 1 main point per slide.
3. Use interesting fonts instead of boring standard ones to engage audiences.
4. Include high quality images that visually represent the message.
5. Choose a color scheme that fits the theme and works cohesively.
This document provides a summary of common mistakes in PowerPoint presentation design and tips to avoid them. It identifies the top 5 mistakes as including putting too much information on slides, not using enough visuals, using poor quality visuals, having a disorganized "visual vomit" style, and lack of preparation. The document emphasizes telling a story over slide design, using whitespace on slides, consistent formatting, and spending significant time preparing presentations.
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
The presentation was delivered at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana by Alexander Asimov, Qrator network engineer at HLL.
Alexander Asimov expressed his concerns about BGP Route Stability and it was suggested that RIPE Atlas may be able to address these issues.
The presentation was delivered by Alexander Lyamin, CEO of HLL (Qrator network), at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana.
DDoS mitigation techniques: poor mans version (low rate HTTP attacks). Every solution works. Not always. Not for everyone.
Порядок преодоления болота на маршруте: как не надо писать приложения, основа...HLL
Артём Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, описывает типичные ошибки программирования при написании серверных приложений на основе TCP-сокетов в рамках конференции «Российские интернет-технологии» (2-3 апреля 2012, Москва).
Разбирается (вероятно, неисчерпывающий) ряд заблуждений и узких мест, приводящих к проблемам с производительностью и уязвимостям безопасности TCP-приложений; приводится ряд примеров, когда ошибки, неочевидные на этапе программирования, при эксплуатации приводили к финансовым и репутационным потерям у авторов и пользователей приложения. Даются рекомендации по отладке и оптимизации приложений, основанных на TCP, а также операционных систем, в которых эксплуатируются такие продукты.
Среди прочего, разбираются такие аспекты работы обработчика TCP-запросов, как:
• предотвращение атак, аналогичных slow POST в Nginx и Lighttpd;
• предотвращение ошибок, аналогичных проблеме со скачиванием файлов в браузере Internet Explorer;
• возможные изменения в дизайне самописных TCP-based протоколов с целью их ускорения;
• использование опции TCP (таких, как TCP_NODELAY) для ускорения работы специфических приложений.
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
The presentation was delivered by HLL / Qrator network engineer Alexander Asimov at the ENOG 2/RIPE NCC Regional Meeting taking place at the World Trade Centre in Moscow on 28-30 November 2011.
Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
Архитектура центра очистки трафика (ЦОТ): решения уровня оператора связи и ко...HLL
Презентация и видео к докладу Александра Лямина (HLL) и Муслима Меджлумова (РТКОММ) на осеннем HighLoad++ 2011, Москва. Специалисты рассказали о технологиях защиты приложений от DDoS-атак в промышленных масштабах.
Представлены основные принципы построения и архитектура решений по фильтрации трафика оператора связи РТКОММ и компании-специалиста HLL (сеть фильтрации Qrator).
В форме товарищеского матча докладчики обсудили следующие вопросы:
• защита сети vs защита сетевых приложений;
• собственные разработки vs решения от вендоров;
• распределенная сеть vs сеть оператора связи;
• специализация vs интеграция;
• вопросы масштабирования;
• способы подключения и оперативность работы фильтров;
• SLA и ценовая политика.
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, который был прочитан 27 апреля 2011 г. на VIP-дне конференции «Российские интернет-технологии» (РИТ++).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Поэтому основным критерием при выборе хостинга, за исключением финансовой составляющей, является уровень связности АС, в которой расположен хостинг, с сетью АС. Однако наличие физических каналов между АС еще не гарантирует пиринговых отношений между ними. Более того, даже наличие пиринга между сервис-провайдерами не означает, что данный физический канал будет использован.
Правила передачи и фильтрации трафика в сети АС реализуются с использованием политик маршрутизации протокола BGP. Несмотря на то, что региональные регистры маршрутизации (ARIN/APNIC/AFNIC/RIPE) поддерживают интерфейсы для регистрации данных политик маршрутизации, эти данные неполны, а зачастую и некорректны. Это приводит к ситуации, когда уровень связности АС пытаются определять, используя косвенные критерии, такие как уровень физических соединений или количество клиентских маршрутов.
В данной работе демонстрируется подход к созданию системы моделирования маршрутизации BGP, которая позволяет идентифицировать в том числе закрытые или некорректные политики маршрутизации. Дополняют данную систему моделирования несколько методов верификации данных, в том числе с использованием механизма BGP Anycast.
В качестве демонстрации возможностей системы приводится анализ уровня реальной связности российского сегмента сети интернет.
Презентация представлена Александром Ляминым и Артёмом Гавриченковым на конференции веб-разработчиков «Российские интернет-технологии» (РИТ++), которая проходила 25-26 апреля 2011 г. в Москве.
В докладе рассказано, по каким признакам следует проводить классификацию DDoS-атак для того, чтобы выбирать наиболее удачные методы для их противодействия. Описано, какие метрики можно и нужно использовать для определения вида атаки, её объёмов и способов борьбы с ней. Приведены примеры представителей каждого класса DDoS-атак на основе практического опыта.
Доклад подготовлен на основе анализа разнообразных DDoS-атак и включает в себя описание последних тенденций в сфере организации атак на отказ в обслуживании и защиты от них.
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...HLL
Презентация к докладу Артёма Гавриченкова (ximaera), ведущего разработчика сети фильтрации трафика Qrator, для конференции HighLoad++ (25-26 октября 2010, Москва).
В данном докладе описывается потенциальная тандемная атака, включающая в себя одновременно SYN flood и одну из атак на FIN-WAIT-2 или Sockstress.
Широко известная атака на отказ в обслуживании протокола TCP — SYN Flood — хорошо изучена, существуют популярные методы борьбы с ней, включая, например, технологию SYN cookies [1]. Важным свойством этого вида атак является их влияние на модули отслеживания соединений (connection tracking). Даже при использовании SYN cookies каждый входящий TCP-сегмент с выставленным флагом SYN создаёт запись в базе отслеживаемых соединений, что спустя некоторое время может привести к переполнению базы и потере новых запросов на соединения.
Менее известная атака, носящая кодовое название FIN-WAIT-2 attack, эксплуатирует особенности алгоритма закрытия TCP-соединения. Данная атака подробно разбирается в CPNI Technical Note 3/2009: Security Assessment of the Transmission Control Protocol. Её основная цель — исчерпание памяти, используемой TCP-соединениями, находящимися в фазе FIN-WAIT-2 закрытия соединения. При определённых условиях соединение может находиться в этом состоянии продолжительное время, при этом все ресурсы, задействованные соединением, не будут доступны активным компонентам атакуемой системы.
1. Dave Dittrich, Some TCP/IP Vulnerabilities: Weaknesses, attack tools, defenses [HTML] (http://staff.washington.edu/dittrich/talks/agora/index.html).
В докладе, представленном генеральным директором HLL Александром Ляминым в рамках конференции HighLoad++ 25-26 октября 2010 г., рассматривается развитие механизмов DDoS-атак и изменение целей нападения. Обсуждается классификация типов атак и свойств ботнетов.
Классификация типов атак: почему одной метрики, например, скорости, явно недостаточно. Свойства ботнета в сравнении с тем, какими мы видели их год назад. Новые цели и задачи нападающих: и причем здесь Яндекс?
Расследование DDoS-атак, примеры и результаты. Технический подход к проблеме. Основные направления развития на следующий год: новые сервисы, новые методики, новые скорости.
Александр Лямин, генеральный директор HLL, рассказал на конференции HighLoad++ 2009 о том, какие виды DDoS-атак являются наиболее популярными и как пережить их с минимальными потерями, используя известный и не очень инструментарий с открытым исходным кодом.
Экономика DDoS: во сколько вас оценили (предмет для гордости!) и чего можно ожидать (оценка эффективность атаки).
• DDoS – это просто и дешево;
• стоимость аренды ботнета;
• экономическое плечо атаки;
• выводы.
Посмотрим врагу в лицо: география и габариты ботнетов, встречающихся на просторах Рунета. Особенности ботнетов (конечность, тупость, жадность) и как их использовать при борьбе с атаками.
Кто к нам пришел: основные разновидности DDoS-атак, элементы LAMP-стека, на которые они направлены. Комбинированые атаки. Куда смотреть, что замечать и на что обращать особое внимание.
Домашнее задание: о каких элементах вашей архитектуры полезно позаботиться заранее, адекватность архитектуры и вашей рыночной стоимости (не жадничать).
Искусство художественной grepки: как настроить access.log, заголовок как улика, печеньки и зачем их едят, ловушки для бота, как выделить тело ботнета, используя однострочный шелл-скрипт.
Фильтруем базар: зачем нужен stateful файрволл, зачем он не нужен и как отфильтровать сто тысяч пятьсот ботов и не устать в ksoftirq.
Звонок NOC'у: как использовать географию и языковую сегментацию в своих целях. Как вежливо и грамотно получить blackhole на интересных направлениях. Печальное положение вещей в Телко.
Цена запроса: о стоимости запроса в терминах ресурсов сервера и жадности ботов.
DDoS-атаки Рунета в 2011-2012 гг.: характер и тенденцииHLL
Артем Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, проводит обзор DDoS-атак за последние полтора года в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Отчетную статью по докладу читайте на Хабрахабре: http://habrahabr.ru/company/highloadlab/blog/145137/
Инструментарий Anonymous и его поражающие факторыHLL
Александр Лямин, генеральный директор компании HLL, рассказывает о способах противодействия "оружию массового поражения" группы Anonymous в рамках семинара компании HLL "DDoS-атаки и защита от них" (RIGF, 14 мая 2012, Москва).
LOIC / HOIC / JS LOIC / OWA / SLOWPOST — технически нового тут ничего нет. Обычный DDoS, на самом деле, гораздо лучше скоординирован и технически более совершенен. Так почему злободневно? Причиной тому стали 5 важных факторов: социальность, массовость, плохой дизайн инфраструктуры, ужасающий дизайн веб-приложений и фактор X.
13. Политика маршрутизации
100
100 AS2
LOCAL_PREF AS1
200
200 AS3
𝐴𝑆1 𝐴𝑆2 𝐴𝑆3
AS_PATH prepend 4 ↓
𝐴𝑆1 𝐴𝑆2 𝐴𝑆2 𝐴𝑆2 𝐴𝑆2 𝐴𝑆3
Избавиться от LOCAL_PREF = свести задачу к поиску минимального пути в графе
14. Формальная модель
prefix: I
Pref = 100
AS1 AS2 AS_PATH: 𝐴𝑆1 𝐴𝑆2 𝐴𝑆2
Prepend = 2 LOCAL_PREF: 100
Представим модель сети автономных систем, как ориентированный граф 𝐺 𝑉, 𝐸 :
• V – автономные системы
• 𝑎𝑠1 , 𝑎𝑠2 ∈ 𝐸 тогда и только тогда, когда АС 𝑎𝑠1 будет анонсировать маршрут к
префиксу I BGP АС 𝑎𝑠2
• Вес дуги состоит из двух частей:
• Prepend – политика AS_PATH АС 𝑎𝑠1
• Pref – политика LOCAL_PREF 𝑎𝑠2
15. Транзитные АС
Пусть 𝐴𝑆𝑃𝑎𝑡ℎ – множество, состоящие из всех
существующих значений атрибута маршрута
BGP AS_PATH в текущий момент времени.
Тогда признаком транзитной автономной
системы будет:
𝑥 ∈ 𝐴𝑆𝑇𝑟𝑎𝑛𝑠𝑖𝑡 ↔ ∃𝑝𝑎𝑡ℎ ∈ 𝐴𝑆𝑃𝑎𝑡ℎ, ∃𝑖 < 𝑝𝑎𝑡ℎ : 𝑥 = 𝑝𝑎𝑡ℎ 𝑖
16. «Ядро» Интернета
Множество транзитных АС неоднородно:
• Пропускают только трафик клиентов
• Имеют пиринговые отношения с соседями
1. 𝑃𝑒𝑒𝑟𝑠 0 = 𝑇𝑟𝑎𝑛𝑠𝑖𝑡
2. 𝑃𝑒𝑒𝑟𝑠 𝑖 + 1 =
𝑥 ∈ 𝑃𝑒𝑒𝑟𝑠 𝑖 | ∃𝑝𝑎𝑡ℎ ∈ 𝐴𝑆𝑃𝑎𝑡ℎ, ∃𝑖 < 𝑗 < 𝑝𝑎𝑡ℎ : 𝑥 = 𝑝𝑎𝑡ℎ 𝑖 &𝑝𝑎𝑡ℎ 𝑗 ∈ 𝑃𝑒𝑒𝑟𝑠 𝑖
3. lim 𝑃𝑒𝑒𝑟𝑠 𝑖 = CORE
𝑖→∞
22. Граф G’
AS1
200
200
Теорема
Для любой вершины в графе 𝐺 ′ существует путь из вершины Origin,
при условии, что 𝐺 ′ ацикличен
23. Прикладное применение
• Хостингам: выбор сервис провайдера
• Reverse Traceroute
• Обнаружение LOCAL_PREF циклов
• Определение времени сходимости
• Моделирование механизмов самого BGP
24. Выбор сервис провайдера
Время сходимости Псевдо-транзитные АС
10 АС до CORE
=
До 5 минут AS3
задержки Больше хопов –
медленнее
AS2
соединение
AS1
CORE
26. Reverse Traceroute
• АС – единая политика маршрутизации
• Reverse Traceroute – знание, как к тебе идет
трафик от других АС
• Если знать, как идет трафик, можно его
балансировать – profit!
27. LOCAL_PREF циклы
AS3 AS4 100
200
AS2 AS5 AS7
AS1 AS6
200 100
• Причина сетевой нестабильности для целевого префикса
• Создание постоянного «шума» из BGP сообщений
• Замедление времени сходимости по всей сети АС
28. Переход к G’
AS3 AS4
200
AS2 AS5
AS1 AS6
200
• Причина сетевой нестабильности для целевого префикса
• Создание постоянного «шума» из BGP сообщений
• Замедление времени сходимости по всей сети АС
29. Время сходимости
Рассматриваемые события:
• Объявление маршрута к префиксу I автономной системой X
• Удаление маршрута к префиксу I автономной системой Х
𝐸𝑇 𝑢𝑝 = 𝜃 𝑑 × 𝐸𝑡 𝑤𝑎𝑖𝑡 , где d – диаметр относительно
вершины Х в графе G’
𝐸𝑇 𝑑𝑜𝑤𝑛 = 𝜃 𝐷 × 𝐸𝑡 𝑤𝑎𝑖𝑡 , где D – длина гамильтонова
пути относительно вершины Х в графе G
30. Система моделирования
Критерии сравнения
SSFNet NS-2 PRIME CBGP Разработанная
система
Реализация политик
маршрутизации
- - + + +
Полнота стека BGP- решений +/- +/- + + +
Модель передачи BGP
Пакетный уровень Пакетный уровень Пакетный уровень В виде объектов В виде объектов
сообщений
Возможность моделирования
сходимости BGP + + + - +
маршрутизации
Возможность распределенных
вычислений
+ - + - +
Масштабируемость + + - + +
33. Flap Damping
Зачем?
Снижение нагрузки на сеть BGP
маршрутизаторов от нестабильных
маршрутов, не оказывая влияния на время
сходимости в стабильных участках сети.
37. Flap Damping
Вероятность появления мигающего маршрута в кольце маршрутизаторов длины n:
3 3 3 3
2× Ф 7× −Ф 2× , при 𝑛 четном, 2 × Ф 6 × −Ф , при 𝑛 нечетном
𝑛+1 𝑛+1 𝑛+1 𝑛+1
38. Flap Damping DoS?
• Yes!
• Не блокируется ни одним существующим
расширением BGP
39. Данные для экспериментов
• List of router registries
http://www.irr.net/docs/list.html
• BGP dumps
http://www.ripe.net/projects/ris/rawdata.html
Автономных систем: 36200
Транзитных систем: 5876
CORE: 1757
Prepends: 15722
40. Результаты
• Разработана модель BGP маршрутизации
• Сформулированы оценки времени сходимости
протокола BGP
• Разработана система моделирования для проверки
теоретических оценок
• Рассмотрены механизмы BGP LOCAL_PREF и Flap
Damping и их влияние на доступность сетевых ресурсов
• Предложен метод для построения Reverse Traceroute