Downloaded 33 times
![Важно: конфиденциальность
[13:21:17] melanor9 hll: парни! гасите все
IP сразу, а не по одному
[13:21:29] Person1: там их гора
[27/03/14] melanor9 hll: очевидно же
что вас уже "Пописали”](https://image.slidesharecdn.com/ddos-2014y-udp-qratorlabs-141110073507-conversion-gate02/85/DDoS-2014-y-UDP-Qrator-Labs-25-320.jpg)
![Еще важно: оперативность
[14:18:07] Person2: в общем новости из
каравана: отключены все ip всех
фронтов кроме хабра
[14:18:26] Person2: хабр вроде ожил
[14:18:38] Person2: сейчас поднимаем
фронты на новых ip](https://image.slidesharecdn.com/ddos-2014y-udp-qratorlabs-141110073507-conversion-gate02/85/DDoS-2014-y-UDP-Qrator-Labs-26-320.jpg)
![Пример: НОРМА
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.](https://image.slidesharecdn.com/ddos-2014y-udp-qratorlabs-141110073507-conversion-gate02/85/DDoS-2014-y-UDP-Qrator-Labs-43-320.jpg)
![Пример: АНОМАЛИЯ
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms
ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms
ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
[dd]
… дальше было много транс-атлантики.](https://image.slidesharecdn.com/ddos-2014y-udp-qratorlabs-141110073507-conversion-gate02/85/DDoS-2014-y-UDP-Qrator-Labs-44-320.jpg)
Uploaded byOntico
DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)
Документ анализирует динамику DDoS-атак в России за 2014 и 2013 годы, включая количество нейтрализованных атак, среднее и максимальное количество атак в день, а также размеры ботнетов. Показаны данные об атаках, превышающих 1 Gbps, 10 Gbps и 100 Gbps, а также параметры амплификации трафика через различные протоколы. Включены примеры трассировки маршрута, показывающие аномалии и доступность сети.
More Related Content
Similar to DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)
DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)
- 1. DDoS-атаки в России:2014 Александр Лямин <la@qrator.net>
- 2. UDP-пакеты салом непахнут
- 3. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 56,69% ↓ 58,45% ↑ Атак более 1Gbps: 6,04% ↑ 2,58% ↓ Атак более 10Gbps: 2,62% ↑ 0,70% ↓ Атак более 100Gbps: 1,29% ↑ 0,10% ↑
- 4. Главный слайд №1 2014 2013 Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 3350 ↓ 3935 ↑ Атак более 1Gbps: 357 ↑ 174 ↓ Атак более 10Gbps: 155 ↑ 47 ↓ Атак более 100Gbps: 76 ↑ 7 ↑
- 5. Распределение по дням 160 140 120 100 80 60 40 20 0 01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12 2014 2013
- 6.
- 7.
- 8.
- 9. Коэфф. Амплификации: DNS 14000 12000 10000 8000 6000 4000 2000 0 35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355
- 10. Коэфф. Амплификации: NTP 160000 140000 120000 100000 80000 60000 40000 20000 0 13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60
- 11. Коэфф. Амплификации: Chargen 400 350 300 250 200 150 100 50 0 12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255
- 12. Коэфф. Амплификации: SNMP 300000 250000 200000 150000 100000 50000 0 30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80
- 13. Коэфф. Амплификации: SSDP 400000 350000 300000 250000 200000 150000 100000 50000 0 60 63 66 69 72 75 78 81 84 87 90 93 96 99 102 105 108 111 114 117 120 123 126 128 131 134 137 140 143 146 149 152 155 158 161 164 167 170 173 176 179
- 14. Пять проблем, однасемья User Datagram Protocol • DNS ( x35 ) • NTP ( x1300 ) • SSDP ( x150 ) • SNMP ( x50 ) • Chargen ( x200 )
- 15. Динамика DNS 250000000 200000000 150000000 100000000 50000000 0
- 16. Динамика NTP 35000000 30000000 25000000 20000000 15000000 10000000 5000000 0
- 17. Динамика амплификаторов 1.8E+09 1.6E+09 1.4E+09 1.2E+09 1E+09 800000000 600000000 400000000 200000000 0 Chargen NTP DNS SNMP SSDP Total
- 18.
- 19.
- 20. Топологии - онивезде
- 21. Топологии – могутвас убить
- 22. Топологии – этоважно
- 23. Топологии – этоважно
- 24.
- 25. Важно: конфиденциальность [13:21:17]melanor9 hll: парни! гасите все IP сразу, а не по одному [13:21:29] Person1: там их гора [27/03/14] melanor9 hll: очевидно же что вас уже "Пописали”
- 26. Еще важно: оперативность [14:18:07] Person2: в общем новости из каравана: отключены все ip всех фронтов кроме хабра [14:18:26] Person2: хабр вроде ожил [14:18:38] Person2: сейчас поднимаем фронты на новых ip
- 27. Еще важно: DNS Сколько времени займет изменение root servers ?
- 28. Еще важно ЗДРАВЫЙСМЫСЛ
- 29. Еще важно Память и Внимательность
- 30.
- 31. </whine> Ok, чтодальше?
- 32. Назад в будущее Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
- 33. Здесь живут Amplifications Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
- 34. Здесь живут ботнеты Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
- 35. + трафик-генераторы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
- 36. Трафик-генераторы • Netmap(Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
- 37. Трафик-генераторы • Netmap(Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
- 38. Трафик-генераторы • Netmap(Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock
- 39. Трафик-генераторы • Netmap(Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock + Habrahabr
- 41. А здесь живутДраконы Размер б о т н е т а Исчерпание канальной емкости 1 0 0 k + Инфраструктура сети 10k+ Сетевой стек системы 1k+ Приложение 100+
- 42. Пример inetnum: 188.44.56.0- 188.44.63.255 netname: dorm descr: Lomonosov Moscow State University descr: Hostel network, GZ-B,V country: RU admin-c: MSU-RIPE tech-c: MSU-RIPE status: ASSIGNED PA mnt-by: MSU-MNT
- 43. Пример: НОРМА tracerouteto 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms 2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms 3 router.transtelecom.net (193.232.245.177) 0.209 ms * * 4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms 5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms 6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms 7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms 8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms 9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms [dd] Пакет достиг университетской сети.
- 44. Пример: АНОМАЛИЯ tracerouteto 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets 1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms 2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms 3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms 4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms 5 * * * 6 * * * 7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms [dd] … дальше было много транс-атлантики.
- 45.