4 декабря 2015 года Алексей Семеняка, исполнительный директор Qrator Labs, выступил на конференции UAdom, посвященной развитию доменной политики Украины.
Из доклада вы узнаете, почему защищать веб-ресурсы становится все сложнее, а также какие средства и ресурсы лежат в основе «взрослого» бизнеса DDoS-атак.
DDoS как актуальная проблема безопасностиQrator Labs
Что такое DDoS-атаки в современном мире, тенденции, история, примеры из жизни. Защита от атак своими силам, при помощи оборудования, облачными сервисами. На что следует обращать внимание при выборе защиты и как не оплатить несуществующие в реальности услуги.
DDoS-атаки: почему они возможны, и как их предотвращатьQrator Labs
Презентация раскрывает все аспекты, касающиеся доступности веб-ресурсов в Интернете.
Прежде всего, этот тьюториал предназначен для сетевых инженеров и системных администраторов. Однако владельцам бизнеса и другим заинтересованным лицам также будет полезно окунуться в специфику предмета и понять почему так сложно, но в то же время важно поддерживать непрерывную доступность сайта.
Современные методы защиты от DDoS атакSkillFactory
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.
Докладчик -- Senior System Engineer компании Juniper Networks Дмитрий Карякин.
Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=qHJjVrz1Au0
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
DDoS как актуальная проблема безопасностиQrator Labs
Что такое DDoS-атаки в современном мире, тенденции, история, примеры из жизни. Защита от атак своими силам, при помощи оборудования, облачными сервисами. На что следует обращать внимание при выборе защиты и как не оплатить несуществующие в реальности услуги.
DDoS-атаки: почему они возможны, и как их предотвращатьQrator Labs
Презентация раскрывает все аспекты, касающиеся доступности веб-ресурсов в Интернете.
Прежде всего, этот тьюториал предназначен для сетевых инженеров и системных администраторов. Однако владельцам бизнеса и другим заинтересованным лицам также будет полезно окунуться в специфику предмета и понять почему так сложно, но в то же время важно поддерживать непрерывную доступность сайта.
Современные методы защиты от DDoS атакSkillFactory
Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.
Докладчик -- Senior System Engineer компании Juniper Networks Дмитрий Карякин.
Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=qHJjVrz1Au0
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Анализ рынка средств и сервисов защиты от DDoS-атакКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Александра Кондрикова, технического менеджера направления информационной безопасности КРОК
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
Автор: Рамиль Хантимиров, CEO StormWall.pro
Конференция: Barcamp 6 Krasnodar & South of Russia
Где и когда: г. Краснодар, 11 апреля 2015 г.
Отчет о мероприятии смотрите в нашем блоге https://stormwall.pro/blog
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозеQrator Labs
В области DDoS-атак, как и во всех других сферах кибербезопасности, не прекращается борьба щита и меча. Злоумышленники используют всё более изощрённые методы. Поставщики решений следуют за ними, выпуская всё новые продукты для того, чтобы помешать злому умыслу. Старые средства перестают работать, требуются новые подходы и инструменты для того, чтобы не стать жертвой киберпреступников. В данном документе рассматривается путь развития, который проходят инструменты противодействия DDoS-атакам, под влиянием меняющихся подходов киберпреступников.
Информация в данном документе будет полезной компаниям, которые хотят быть уверены, что их интернет-ресурсы защищены современными средствами противодействия, а не решениями, основанными на устаревших неэффективных более технологиях, которые всё ещё предлагаются на рынке. Также, документ предназначен для специалистов в области информационной безопасности и широкого круга людей, интересующихся данной темой.
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
Вебинар «Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников» http://www.croc.ru/action/webinars/41850/
Презентация Данила Дрожжина, эксперта по сетевой безопасности компании КРОК
Самый исчерпывающий доклад, с которым компания Qrator Labs когда-либо выступала. Здесь все о DDoS, начиная с истории, развенчания мифов и заканчивая кейсами падения сайтов отраслевых лидеров.
Встреча CodeFreeze. Москва, 17.09.2015
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin
Технические детали блокировок. Как сейчас организован механизм блокировок. Кто, что, где, когда и как. Почему он так организован. Почему РКН блокирует сетями. В чем проблема текущего механизма блокировок с технической точки зрения. В каком направлении надо двигаться с технической точки зрения в рамках минимальных изменений сегодняшней нормативной правовой базы.
HighLoad++ 2018 http://www.highload.ru/moscow/2018/abstracts/4280
Универсальный Интернет-шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового сервера, Web и jabber серверов, организации IP-телефонии.
Особенности современных DDoS-атак и методов защитыКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Евгения Дружинина, эксперта направления информационной безопасности КРОК
Анализ рынка средств и сервисов защиты от DDoS-атакКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Александра Кондрикова, технического менеджера направления информационной безопасности КРОК
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
Автор: Рамиль Хантимиров, CEO StormWall.pro
Конференция: Barcamp 6 Krasnodar & South of Russia
Где и когда: г. Краснодар, 11 апреля 2015 г.
Отчет о мероприятии смотрите в нашем блоге https://stormwall.pro/blog
White Paper. Эволюция DDoS-атак и средств противодействия данной угрозеQrator Labs
В области DDoS-атак, как и во всех других сферах кибербезопасности, не прекращается борьба щита и меча. Злоумышленники используют всё более изощрённые методы. Поставщики решений следуют за ними, выпуская всё новые продукты для того, чтобы помешать злому умыслу. Старые средства перестают работать, требуются новые подходы и инструменты для того, чтобы не стать жертвой киберпреступников. В данном документе рассматривается путь развития, который проходят инструменты противодействия DDoS-атакам, под влиянием меняющихся подходов киберпреступников.
Информация в данном документе будет полезной компаниям, которые хотят быть уверены, что их интернет-ресурсы защищены современными средствами противодействия, а не решениями, основанными на устаревших неэффективных более технологиях, которые всё ещё предлагаются на рынке. Также, документ предназначен для специалистов в области информационной безопасности и широкого круга людей, интересующихся данной темой.
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
Вебинар «Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников» http://www.croc.ru/action/webinars/41850/
Презентация Данила Дрожжина, эксперта по сетевой безопасности компании КРОК
Самый исчерпывающий доклад, с которым компания Qrator Labs когда-либо выступала. Здесь все о DDoS, начиная с истории, развенчания мифов и заканчивая кейсами падения сайтов отраслевых лидеров.
Встреча CodeFreeze. Москва, 17.09.2015
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin
Технические детали блокировок. Как сейчас организован механизм блокировок. Кто, что, где, когда и как. Почему он так организован. Почему РКН блокирует сетями. В чем проблема текущего механизма блокировок с технической точки зрения. В каком направлении надо двигаться с технической точки зрения в рамках минимальных изменений сегодняшней нормативной правовой базы.
HighLoad++ 2018 http://www.highload.ru/moscow/2018/abstracts/4280
Универсальный Интернет-шлюз с инструментами для защиты корпоративной сети, учета трафика, управления доступом, развертывания почтового, прокси, файлового сервера, Web и jabber серверов, организации IP-телефонии.
Особенности современных DDoS-атак и методов защитыКРОК
Cеминар «Защищенным системам не страшны DDoS-атаки» http://www.croc.ru/action/detail/20774/
Презентация Евгения Дружинина, эксперта направления информационной безопасности КРОК
This document provides an overview and implementation details for IBM Tivoli Monitoring for Network Performance V2.1. It describes the product's architecture including components like the web application, monitor functions, communication methods, and database structure. It then discusses two implementation scenarios: a distributed servers environment and a pure z/OS environment. Finally, it covers steps for installing and configuring the web application on AIX and z/OS mainframes.
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...iosrjce
IOSR Journal of Computer Engineering (IOSR-JCE) is a double blind peer reviewed International Journal that provides rapid publication (within a month) of articles in all areas of computer engineering and its applications. The journal welcomes publications of high quality papers on theoretical developments and practical applications in computer technology. Original research papers, state-of-the-art reviews, and high quality technical notes are invited for publications.
5 продвинутых технологий VMware, которые нужно знатьSkillFactory
Константин Кряженков – ведущий инструктор онлайн-школы SkillFactory по виртуализации и облачным вычислениям – подготовил список из пяти самых перспективных технологий, которые нужно знать администратору ЦОД.
Network tomography to enhance the performance of software defined network mon...Sabidur Rahman
Monitoring and management of SDN is a challenging and active field of research. In this project, we have used Network Tomography techniques to enhance performance of SDN monitoring and management.
Distributed Network Monitoring - Interopnet class by NetBeezNetBeez, Inc.
This course provides an overview of distributed network monitoring in modern network environments and describes its benefits and use cases. Referencing the network topology of InteropNet, we will discuss the goals of the installation, review the deployment locations of the NetBeez agents, and explain the configured monitoring tests. During the last part of the session, we will generate reports and analyze in detail the statistics of the performance data captured and processed by the system.
Network monitoring of processes in Linux, using Linux dynamic Kernel instrumentation (KProbes)
Monitoring network interactions of one process accessing the network is not always simple and it has some performance issues.
A Linux Kernel Module was developed, which uses dynamic instrumentation and monitors the target user process for interactions and registers the information to a repository.
When packets pass through the network interface the repository is queried to decide if the packet should be captured for further analysis.
To control this monitoring mechanism an interface was developed which can be modified through files in the virtual filesystem, DebugFS.
To use this monitoring mechanism it is necessary to have the Linux Kernel Module loaded and have a user process running that performs the network monitoring (such as TCPDump). This monitoring process can use this mechanism without changing its own source code.
[old] Network Performance Monitoring for DevOps and ITSite24x7
Take a look at our updated Network Monitoring presentation in the link given below:
https://www.slideshare.net/Site24x7/network-final
Get comprehensive performance insights by monitoring critical network devices such as routers, switches and firewalls with Site24x7.
About Site24x7:
Site24x7 offers unified cloud monitoring for DevOps and IT operations. Monitor the experience of real users accessing websites and applications from desktop and mobile devices. In-depth monitoring capabilities enable DevOps teams to monitor and troubleshoot applications, servers and network infrastructure including private and public clouds. End user experience monitoring is done from 50+ locations across the world and various wireless carriers. For more information on Site24x7, please visit http://www.site24x7.com/.
Forums: https://forums.site24x7.com/
Facebook: http://www.facebook.com/Site24x7
Twitter: http://twitter.com/site24x7
Google+: https://plus.google.com/+Site24x7
LinkedIn: https://www.linkedin.com/company/site...
View Blogs: http://blogs.site24x7.com/
The Changing Landscape in Network Performance Monitoring Savvius, Inc
Late in 2013 TRAC Research, a market research and analyst company that specializes in IT management, published research findings on key trends in the Network Performance Monitoring market. The research highlights some challenges, and well as some common misconceptions, with the state of Network Performance Monitoring solutions. Join us as we host Bojan Simic, Principal Analyst at TRAC Research, who will share his insights on these research findings as well as his perspectives on the changing landscape in the Network Performance Monitoring market.
This document provides guidance on optimizing the TCH call drop rate KPI in GSM networks. It defines the TCH call drop rate and recommends formulas for calculating it. It then discusses factors that can affect the TCH call drop rate, such as hardware failures, transmission problems, parameter settings, interference, coverage issues, and antenna problems. The document provides detailed steps for analyzing high TCH call drop rates, including checking hardware, transmissions, software versions, parameter settings, interference, coverage, antenna systems, uplink/downlink balance, and repeaters. It also includes several case studies and recommendations for optimization.
The document discusses network and application performance monitoring (N/APM) using Performance Vision. It provides an overview of Performance Vision's capabilities such as identifying application bottlenecks, troubleshooting HTTP application performance, and network performance monitoring. The presentation demonstrates how Performance Vision can be used to diagnose various issues like application failures, slow page loads, and login problems. It also highlights Performance Vision's non-intrusive deployment and fast troubleshooting abilities.
Project Business Case and Capital Justification for Implementation of Applica...Duane Bodle
Business Case and Capital Justification Presentation For
Application Performance Monitoring and Retrospective Network Analysis Implementation. *** This Presentation Has Been Sanitized of IP Information ***
This document discusses network monitoring and performance. It provides an overview of how network monitoring has evolved from early computer networks to today's sophisticated tools. It describes key aspects of network monitoring like functions, commonly used protocols like ICMP and SNMP, and popular open source monitoring tools. The document also discusses measuring network performance and how monitoring will be important for handling future networking demands like increased video traffic and more mobile users.
Игнат Корчагин "Как Cloudflare помогает справиться с крупнейшими атаками в Сети"Fwdays
В докладе отражены общая архитектура сети Cloudflare и обзор технических решений, которые помогают справиться с самыми крупными на сегодняшний день атаками. В частности:
- общий обзор сети Cloudflare
- Anycast и BGP и управление трафиком
- внутри датацентра Cloudflare: програмный стек
- эффективная фильтрация пакетов в Linux в обход ядра ОС
- автоматическая система управления состоянием firewall на серверах Cloudflare
Состояние сетевой безопасности в 2016 году Qrator Labs
Отчёт компаний Qrator и Wallarm, представленный вашему вниманию, посвящён главным событиям и основным тенденциям в области сетевой безопасности.
Отдельное внимание в отчёте уделяется проблематике DDoS, инфраструктуры Интернета и уязвимостям, а также взломам широко используемого ПО и других продуктов с электронной составляющей — устройств, подключённых к Сети.
В докладе, представленном генеральным директором HLL Александром Ляминым в рамках конференции HighLoad++ 25-26 октября 2010 г., рассматривается развитие механизмов DDoS-атак и изменение целей нападения. Обсуждается классификация типов атак и свойств ботнетов.
Классификация типов атак: почему одной метрики, например, скорости, явно недостаточно. Свойства ботнета в сравнении с тем, какими мы видели их год назад. Новые цели и задачи нападающих: и причем здесь Яндекс?
Расследование DDoS-атак, примеры и результаты. Технический подход к проблеме. Основные направления развития на следующий год: новые сервисы, новые методики, новые скорости.
Защита веб-приложений и веб-инфраструктурыInfoWatch
Андрей Бондаренко, эксперт компании Qrator Labs, поделится опытом защиты от DDoS-атак, расскажет о современных трендах и даст прогнозы о том, какие виды DDoS будут наиболее «популярны» в следующем году.
Алексей Афанасьев, эксперт InfoWatch, расскажет о подходе компании InfoWatch в борьбе с таргетированными атаками, о философии Continuous Security, а также о многомодульном решении InfoWatch Attack Killer, реализованном на технологиях компании Qrator Labs, Wallarm и Appercut и Cezurity.
Защита веб-ресурса от DDoS-атак на примере нашего клиента - Rutracker.orgIT61
Дмитрий Рудь, Head Of Key Account Department, DDoS-GUARD, d.rud@ddos-guard.net
Фильтрация и очистка трафика по схеме SECaaS на примере подключения Рутрекера к сервису защиты от ddos-атак провайдера DDoS-GUARD. Что такое ddos, как осуществляется фильтрация, про типы атак по протоколам. Статистика, чутка анализа.
Годовой отчет Qrator Labs об угрозах интернета 2017Qrator Labs
Узнаваемость проблематики DDoS растет одновременно с увеличением агрессии интернета и изменения его здорового состояния. DDoS-атаки похожи на акул в океане — вы знаете, что они есть, даже не видя плавников над водой. Эта картина в полной мере описывает происходящее в современном интернете, где атаки происходят каждую минуту, становясь новой нормальностью. Те, кто продает защиту и доступность, адаптируются соответствующим образом. В 2017 году интернет-бизнес без защиты от DDoS и без WAF прекратил свое существование.
DDoS awareness grows with the attack state shifting towards the healthy state of the Internet. DDoS attacks are like sharks in the ocean—you know they are there, even if you do not see any shark fins above the water. This picture describes what’s happening in the modern internet, where DDoS attacks occur every minute—they become the new normal, and those serving accessibility are adapting by including such services in their bundles. In 2017 an internet business without DDoS mitigation and WAF is ceased to exist.
Memcached amplification DDoS: a 2018 threat. Qrator Labs
In November 2017, researchers have found a new class of amplification DDoS attacks: memcached amplification. At the end of February 2018 those attacks are in the wild, with a bandwidth already close to 0,5 Gbps. This lightning talk is a short analysis of the threat structure, consequences and possible ways to mitigate the threat.
A contemporary network service heavily depends on domain name system operating normally. Yet, often issues and caveats of typical DNS setup are being overlooked. DNS (like BGP before) is expected to "just work" everywhere, however, just as BGP, this is a complex protocol and a complex solution where a lot of things could go wrong in multiple ways under different circumstances. This talk is supposed to provide some assistance both in maintaining your own DNS infrastructure and in relying on service providers doing this.
The global routing incidents have already become regular. Its source is engineers mistakes, but the tolerance to these anomalies at the level of IP-transit allows these incidents to have global consequences. In this report, I will make a review of different methods of ingress route filtering and discuss possible future solutions.
At the Ripe74 routing working group, Qrator Labs leading engineer Alexander Azimov gave a status update on the BGP route leaks issue. These are the slides to the video: https://youtu.be/4NAlJzVRwM0
Презентация Артема Гавриченкова, технического директора Qrator Labs, на конференции "Хакер, вендор, клиент: безопасность без купюр" (https://vulners.com/conference).
Qrator and Wallarm 2016 State of Network Security report is dedicated to the main events and strong trends in the network security industry. Particular attention is payed to the DDoS, Internet infrastructure, hacks and vulnerabilities in software and hardware, like connected devices.
Сколько стоит доступ в память, и что с этим делатьQrator Labs
Конференция Highload++ / 7 ноября 2016 / Спикер - Антон Орлов, занимается исследованием аппаратных компонентов, пригодных к использованию в платформе фильтрации трафика Qrator Labs.
В пересчёте на количество транзисторов оперативная память занимает в современном сервере не менее 85% (если добавить сюда внутрипроцессорные кэши, то и сильно за 90%). Все эти транзисторы оплачены, они греются. Хотелось бы использовать их по максимуму. При этом уже с середины 90-х годов именно скорость доступа к данным ограничивает производительность большинства вычислений (фоннеймановское узкое горло, стена памяти).
Мы так привыкли к слову RAM, что порой принимаем название random access за чистую монету. Однако во что на самом деле обходится доступ в память? И как это узнать? И что потом с этим делать?
Анализ количества посетителей на сайте [Считаем уникальные элементы]Qrator Labs
Конференция Highload++ / 7 ноября 2016 / Спикер - Константин Игнатов, инженер-разработчик в отделе исследований Qrator Labs.
Для точного ответа на вопрос, сколько уникальных посетителей было на моём сайте за произвольный интервал времени в прошлом, нужно через равные интервалы времени сохранять множество посетителей сайта (пусть это для простоты будут IP-адреса), которых мы за прошедший интервал увидели. Понятное дело, что такой объём информации хранить нереально, а даже, если получится, придётся объединять большое количество множеств и считать элементы в том множестве, которое получилось в итоге. Это очень долго. Не спасает ситуацию даже переход от точных алгоритмов к приблизительным: гарантировать точность либо не получится, либо придётся использовать объём памяти и вычислительные ресурсы, сопоставимые с точным алгоритмом.
Конференция Highload++ / 7 ноября 2016 / Спикер - Александр Азимов, network Architect at Qrator Labs, руководитель проекта "Radar by Qrator"
Многим известна проблема исчерпания адресного пространства IPv4, из года в год делаются доклады о том, что адреса кончаются, кончаются, да никак не кончатся. На этом фоне польза от внедрения IPv6 кажется абсолютно неочевидной.
В докладе пойдет речь о причинах неизбежности прихода и массового внедрения IPv6 вне зависимости от судьбы адресного пространства IPv4, с описанием как пользы от использования Dual Stack, так и возникающих рисков.
The document discusses different approaches to merging multiple autonomous systems (ASNs) operated by an Internet service provider (ISP) into a single network. It evaluates using BGP with neighbor roles, BGP confederations, and migration techniques. The preferred approach uses BGP with roles and confederations to synchronize policies, implement "hot potato" routing, prevent route leaks, and merge the ASNs without increasing path lengths. The summary outlines key steps for the migration process and benefits of this approach over alternatives.
DDoS Attacks in 2017: Beyond Packet FilteringQrator Labs
This document discusses the evolution of DDoS attacks beyond simple packet filtering. It notes that modern attacks use TCP connections and HTTPS to exhaust server resources, and that effective defenses require deep packet inspection, behavioral analysis, and correlation across networks. However, implementing these defenses is very expensive. As a result, best effort mitigation services cannot guarantee service level agreements, forcing networks to protect themselves individually in an every-man-for-himself environment. The future of DDoS defense remains unclear.
This document analyzes internet connectivity in the Caucasus region based on BGP and RIPE Atlas data. It finds that the top 2 autonomous systems (ASNs) make up over half the traffic in Russia, Armenia, and Georgia, but over 90% in Azerbaijan. Latency between countries is generally higher than expected, ranging from 2ms between Azerbaijan and Georgia to 146ms between Georgia and Russia. Traffic tends to stay local, except over half of Russian traffic goes through European networks. The author encourages expanding RIPE Atlas and BGP data to better understand regional internet infrastructure.
The document compares latency between IPv4 and IPv6 networks and explores reasons for differences. It finds that in some cases, IPv6 latency is faster than IPv4 due to a shift in connectivity where IPv6 traffic flows through a tier 1 provider, HE (AS6939), that has higher connectivity in IPv6. The separation of IPv4 and IPv6 networks means latency comparisons do not always reflect an identical network structure. As IPv6 adoption increases, the document predicts the differences between the two networks will decrease.
Особенности использования машинного обучения при защите от DDoS-атакQrator Labs
В докладе мы взглянем на проблему DDOS, с одной стороны, более широко — как на проблему обеспечения доступности ресурса, с другой стороны более конкретно — как на проблему информационной безопасности.
Поговорим о том, как автоматизировать борьбу с DDOS-атаками при помощи машинного обучения, и чем такая автоматизация может быть опасна.
Наконец, рассмотрим пару примеров и обсудим, с чего начинать строить систему защиты от DDOS.
Финансовый сектор. Аспекты информационной безопасности 2016Qrator Labs
Целью настоящего исследования было изучить актуальность проблематики и масштаб угрозы DDoS-атак и атак на уязвимости приложений в российском финансовом секторе (банки и платежные системы), а также оценить уровень защищенности внешнего сетевого периметра организаций.
Тренды 2015 года в области интернет-безопасности в россии и в миреQrator Labs
В документе приведены словарь терминов (определение, типы ddos атак и их особенности), история развития инструментов злоумышленников, соответствующие методы противодействия, а также прогноз до 2020 года.
Обзорное исследование будет полезным компаниям, которые хотят быть уверены, что их интернет-ресурсы защищены современными средствами противодействия, а не решениями, основанными на устаревших неэффективных более технологиях.
Также, документ предназначен для специалистов в области информационной безопасности и широкого круга людей, интересующихся данной темой.
Russian and Worldwide Internet Security Trends 2015Qrator Labs
This report contains the main corporate site availability and security trends and issues of 2015 related to DDoS and “hacking” threats. It is prepared by Qrator Labs and Wallarm specialists and based on industry situation monitoring (in Russia and worldwide), and on statistics collected from their customers in 2015. In addition, this report includes data from independent company research conducted on behalf of Qrator Labs.
2. Что
такое
DoS/DDoS-‐атака?
DoS
=
Denial
of
Service,
отказ
в
обслуживании
DDoS
=
Distributed
Denial
of
Service,
распределенный
отказ
в
обслуживании
Обычно:
DoS
–
атака
на
отдельную
уязвимость
(ping
of
death,
INVITE
of
death,
route
leaks)
DDoS
–
атака
на
исчерпание
каких-‐либо
ресурсов
(SYN-‐flood,
amp-‐атаки)
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
2
В
обоих
случаях
речь
идет
про
полную
или
частичную
потерю
доступности
ресурса
«извне»
без
нарушения
его
внутренней
структуры
(«взлома»).
4. Инструменты
DDoS
Два
основных
инструмента
злоумышленника:
• Ботнеты
• Амплификаторы
трафика
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
4
5. Что
такое
ботнет
• Robot
è
bot
è
бот
• Бот
–
программный
код,
способный
выполнять
команды,
поступающие
из
центра
управления,
работающий
на
– серверах,
– пользовательских
компьютерах,
– мобильных
устройствах
– и
любых
других
устройствах,
подключенных
к
сети.
• Множество
ботов
под
единым
управлением
называется
ботнетом
• Ботнеты
используются
для
атак
разных
видов,
не
только
для
атак
на
канальную
емкость.
• Трафик,
посылаемый
ботнетами,
может
идти
как
с
настоящих
адресов
ботов,
так
и
с
поддельных.
• Могут
быть
очень
сильно
распределенными
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
5
7. Что
такое
амплификаторы
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
7
Маленький
запрос
«от
имени
жертвы»
–
и
большой
ответ
в
адрес
жертвы:
8. Как
работает
атака
с
амплификацией
• Атака
с
амплификацией
трафика
становится
возможна
при
выполнении
нескольких
условий:
– Ни
на
прикладном
уровне,
ни
на
уровне
приложения
не
устанавливается
соединение,
– Не
производится
авторизация
запроса,
– Размер
ответа
на
запрос
может
существенно
и
воспроизводимо
превышать
размер
запроса.
• Популярные
протоколы,
используемые
для
амплификации:
DNS,
NTP,
SSDP,
Chargen/UDP,
ICMP.
• Общая
полоса
атаки
свыше
100
Гбит/с
с
использованием
набора
амплификаторов
–
уже
обыденное
и
рутинное
явление.
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
8
10. Тенденции
DDoS:
эра
динозавров
• Первые
сообщения
о
DDoS-‐атаках
относятся
к
1996
году.
• Всерьез
об
этой
проблеме
заговорили
в
конце
1999
года,
после
атаки
на
Amazon,
Yahoo,
CNN,
eBay,
E-‐
Trade
и
др.
• Ситуация
до
примерно
2002
года:
– скорости
в
мегабитах
или
десятках
мегабит
– стандартные
инструменты
злоумышленников(Trinoo,
TFN,
Stacheldraht,
TFN2K
и
т.д.)
– Появляются
первые
стартапы
для
создания
мер
противодействия,
в
подавляющем
большинстве
случаев
борьба
осуществляется
на
уровне
локальных
конфигураций
серверов
и
сетевого
оборудования.
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
10
11. 2003-‐2005
года
• 2003
год
–
атака
на
DNS
(Chicago
Webs),
ботнет
на
700
узлов.
• 2003
год
–
появление
ботнетов
в
современном
понимании.
Максимальный
зафиксированный
размер
ботнета
в
2003
г.
–
260000
машин.
• 2003
год
–
Создана
первая
компания,
специализирующаяся
на
борьбе
с
DDoS
(Prolexic)
• 2003
год
–
Распространение
технологии
амплификации
методом
отправки
ICMP-‐сообщений
на
броадкастовые
адреса.
• 2004
год
–
Появление
гибридов
«ботнет
+
амплификация»
• Максимальные
полосы
атаки
– 2003
год:
1Gbps
– 2004
год:
3Gbps
• 2005
год
–
регулярные
атаки
на
партнерские
сети
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
11
12. 2006-‐2009
года
• 2006
год
–
появление
технологии
амплификации
с
использованием
DNS
(пока
без
EDNS0,
часто
на
специально
создаваемых
зонах)
• 2007
год
–
Появление
атак
планетарного
масштаба.
DDoS-‐атака
вывела
из
строя
два
корневых
DNS-‐сервера.
• 2007
год
–
атаки
на
игровые
системы
• 2007
год
–
использование
сети
DC++
для
DDoS
• 2009
год
–
регулярные
крупные
атаки
на
DNS-‐
сервера
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
12
13. Политика
• 2007
год
–
появление
LOIC,
использование
его
движением
хактивизма
• Политические
DDoS-‐атаки:
– 2007
год:
против
Эстонии
(предположительно,
со
стороны
России)
– 2008
год:
против
Грузии
(с
текстом
“win+love+in
+Rusia”)
– 2009
год:
против
Ирана
(в
поддержку
иранской
оппозиции
на
выборах)
– 2009
год:
на
Google,
Facebook,
Twi›er
(по-‐
видимому,
против
блоггера
Cyxymu)
– 2009
год:
«июльские
атаки»
против
правительственных
ресурсов
США
и
Южной
Кории
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
13
14. 2010-‐2012
года:
Qrator
• 2010
–
атаки
на
полосу
>1Gbps
становятся
регулярными
(Qrator:
15
за
год)
• 2011
–
максимальная
полоса
атаки
–
15Gbps,
атак
>1Gbps
–
23
штуки.
– На
это
пока
все
же
ботнеты.
• 2012
–
атаки
>10Gbps
становятся
регулярными
(28
таких
атак
за
год)
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
14
15. 2013
год
• Атаки
с
использованием
амплификаторов
становятся
обыденными
– Первые
амплификаторы
–
на
базе
DNS,
благодаря
распространению
расширения
EDNS0
(нужен
для
DNSSEC)
• Перебор
технологий
становится
стандартным
подходом
осуществления
атаки
– атака
на
полосу
–
атака
на
стек
–
атака
на
приложение
по
очереди
• График
полосы
мусорного
трафика
дублирует
СМИ
– Атаки
с
максимальной
полосой
имеют
политическую
подоплеку
• «DDoS-‐атака
затормозила
интернет»:
атака
на
Spamhaus,
300
Gbps
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
15
16. 2014
год
• Переход
с
DNS-‐амплификации
на
NTP-‐амплификацию
– Коэффициент
около
1000
(!)
• Рекордная
полоса
атаки:
400Gbps
в
мире.
• Конец
2014
года:
потеря
политического
фокуса
– Политически
мотивированные
атаки
и
хактивизм
не
исчезли,
но
перестали
выделяться
на
фоне
экономически
обусловленных
• Крупные
атаки
на
игровые
системы
и
команды
игроков
• На
черном
рынке
появляются
готовые
сложные
ботнеты
на
продажу
– CapEx
против
OpEx
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
16
17. 2015
год
• NTP-‐амплификация
уступает
место
SSDP-‐амплификации
– С
NTP-‐амплификаторами
успешно
боролись
– SSDP-‐устройств
очень
много
• Резкий
рост
числа
атак
(Qrator:
в
2015Q1
–
в
2.5
раза
больше,
чем
в
2014Q1).
• Атаки
на
конечных
пользователей
стали
обыденностью
(игры!)
– Новые
жертвы:
операторы
(особенно
операторы
ШПД)
оказались
в
зоне
риска.
• Выросла
популярность
атак
на
инфраструктуру
DNS
– Которая
часто
беззащитна
• Массовые
случаи
шантажа
DDoSом
(DD4BC,
Armada
Coopera ve).
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
17
20. О
чем
нам
говорят
эти
цифры?
Тенденций
нет.
Почему?
• Война
«щита
и
меча»
не
прекращается.
• Используемые
средства
крайне
адаптивны,
их
подстраивают
под
ситуацию
в
индустрии.
• Забытые
технологии
легко
оживают,
если
для
них
появляются
use
cases
– Комплекс
ботнет+амплификаторы?
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
20
21. И
еще
немного
статистики…
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
21
2500
3000
3500
Monday
Tuesday
Wednesday
Thursday
Friday
Saturday
Sunday
Число
атак
по
дням
недели
22. DDoS
сегодня
• DDoS-‐атаки
–
это
взрослый
бизнес,
а
не
игра
хакерских
амбиций.
– Нет
задачи
создать
рекордный
ботнет
или
провести
особо
сложную
атаку.
– Есть
задача
сделать
«заказанный»
ресурс
недоступным
и
получить
за
это
деньги,
чем
проще
–
тем
лучше.
• DDoS-‐атаки
не
бесплатны
и
поэтому
практически
всегда
являются
производными
от
денег.
• Основная
проблема
–
широкое
распространение
инструментария
для
осуществления
атак
– DDoS-‐атака
–
больше
не
прерогатива
«элиты».
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
22
24. Прогнозы
• Лучше
не
будет
– В
частности:
количество
амплификаторов
снижается,
но
их
все
равно
еще
очень
много
– Системный
подход
к
борьбе
пока
всё
еще
отсутствует
• Будет
разнообразнее
– Атаки
становятся
изощрёнее.
– Следует
ожидать
увеличение
доли
атак
на
инфраструктуру
(не
только
инфраструктуру
DNS,
но
и
сетевую
инфраструктуру
–
утечка
префиксов).
– Цели
диверсифицируются.
Теперь
это
не
только
веб-‐сайты,
но
и
голосовые
шлюзы,
игровые
системы
и
конечные
пользователи.
– Атаки
«на
исчерпание
кошелька»
будут
развиваться
по
мере
развития
эластичных
облачных
сервисов.
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
24
26. Важные
инициативы
индустрии
• MANRS
=
Mutually
Agreed
Norms
for
Rou ng
Security
– Цель:
противодействие
искажению
маршрутной
информации
и
спуфингу
IP-‐адресов
– Инициатива
ISOC,
описывающая
предметный
набор
действий
для
достижения
цели
– Операторам
можно
(и
нужно)
присоединиться
уже
сейчас
• DOTS
=
DDoS
Open
Threat
Signalling
– Цель:
создание
инфраструктуры
для
сквозной
сигнализации
об
аномалиях
трафика
начиная
с
CPE
и
кончая
облачным
сервисом.
– Рабочая
группа
в
IETF
– Приглашаются
сетевые
вендоры
и
разработчики
04/12/15
DDoS-‐атаки
вчера,
сегодня,
завтра
26