6. Где живут ботнеты.
(геопривязка)
3.00000%
DE
US
2.50000%
UA
CN
KZ
2.00000%
GB
??
FR
1.50000%
MD
CA
NL
1.00000%
IL
AZ
0.50000% TR
LV
JP
0.00000% BY
1
8. Типы атак.
Spoofed
45.32%↑
Full connect
54.68%↓
9. Зачем и Почему?
• Настроенный сервер – 600kpps
• Спец.конфигурация и настройки - 1Mpps
• Доступный инструментарий (i.e. netmap)
• Опорные сети, хостинги и IX пропускающие
spoofed flood.
10. Что делать?
• BCP-38 (http://tools.ietf.org/html/bcp38)
• BCP-84* (http://tools.ietf.org/html/bcp84)
* С ограничениями.
11. Что еще интересного?
• BGP Flowspec* enabled networks (радуемся**)
• Google’s TFO (выдыхаем)
• DNS/DNSSEC – void (медитируем)
• RPKI – все так-же обсуждается (молимся)
• IPV6 – будет много «приключений»
• Обновили мировой рекорд:268Gbps/32Mpps
* RFC-5575
** Не все и не всегда.
12. Что нового в Qrator?
• TCP RAW сервисы
• UDP RAW сервисы*
• Увеличенные размеры POST данных
• Новая система обнаружения аномалий
• Новый функционал в API
• SMS уведомления
• Больше точек присутствия
• Больше трафик-контрактов
* С ограничениями.
18. Plan B
• Не делайте глупостей
• Имейте запас производительности (2x)
• Сообщите характеристики атаки и список
активных сетевых сервисов
• Примите меры по нейтрализации атаки
• Проконтролируйте результативность
фильтров
Данные собранные сетью Qratorза 2012В год - 2012 есть шанс удвоить.Количество атак в день – существенно подросло, Клиентская база.Макс в день 2+ раз (17июня. Агрессивно, наша политика, армения добавила)Средний размер - колеблется вокруг отметки 2k ( больше НЕ_НУЖНО )Максимальный размер - ( не политика! били - коммерческого заказчика, обычный ecommerce, 31 октября, 2011 били, 2011- slon.ru)уверен что до нового года рекорд мы обновим, времени еще более чем достаточно и конец года это самый «сезон»Макс.длительность: «магические сервисы» – идеология!
Работаем без выходных!Добавились СНГ, Европа, другие часовые пояса по России.Вообщем бесполезный график. Больше таких делать не буду. Коллеги попутали.
29 мая – армения17 июня – как и говорил, армения + российская политика.
Ярко выраженная сезонность следующая сезонности рынка товаров и услуг.В этом году необычный всплеск Июнь/май это российская политика.В прошлом году самыми горячими были ноябрь/декабрь. Вероятнее всего все самое интересное у нас еще впереди.
Интересно что атаки на «оппозицию» как правило имеют источники в Пакистане, Индии, Египте, Вьетнаме.Атакующая сторона принимает во внимание методы используемые при расследовании инцидентов и принимает соответствующие контр-меры.
Рекорд самой высокоскоростной атаки (10.2011 – 57Gbps) мы так и не обновили.Высокоскоростные атаки в абсолютном выражении почти в 2 раза по сравнению с 2011В процентном сократились на 0.8процентов.Каждому пятому клиенту. Больше гигабита, rаждому десятому больше десяти.И этот слайд особенно любопытен в свете следующего:
Практически двухкратный рост атак с использованием spoofed source – атаки на инфраструктуру и tcp stack, включая всеми любимый synflood.
Обычные настройки tcp stackНовые карты с разнесенными по ядрам очередями.Создало серьезные проблемы для многих наших коллег, как обычных адмистраторов так небольших специализированных сервисов очистки.Вызвало волну миграции с дешевых немецких хостингов в пространство СНГ на хостинги с специализированным оборудованиемsynproxyВ связи с его дороговизной setups имеют как правило производительность ~10Gbps, в связи с этим возникают риски пересекающихся во времени атакИ ненулевая вероятность «братской могилы».
Что-же делать ?BCP-38 и возможно в некотором обьемеBCP-84Помимо работы с «оппозицонными» СМИ отбалансировались с webvybry2012.Получилась живое обсуждение в МинкомсвязиРекомендации к лицензиатам от Минкомсвязи, по результатам открытой дискуссии с операторами.
В России и Европе появились сети с работающим bgp-flowspec. Ура, больше не прийдется извращаться с bgp communities.Но нужно «выбивать» это из оператора, поскольку «трафик пришедший-трафик оплаченый» и типичное телекомовскоежлобство.TFO в ядре Linux, client stored cryptocookies! AWESOME! RFC пока нет.Было изначально очень опасно, поскольку аллокация памяти на первом пакете.DNSSEC для .ruвсе так-же отсуствует. Впрочем задачи ddosон не решает, а только усугубляет. Поэтому пока только в DNS облака.RPKI – RESOURE KEY криптография для раут-обьектов и защиты топологии – безнадежно застряла на стадии обсуждения. Молимся что до топологии «плохие ребята» доберуться нескоро. Исламская Республика Иран – не молится, они используют PI-backbone.IPV6 – активно изучаем, «новый чудный мир». Будет весело. Особенно с топологиями. Кстати, V4 RIPE уже не выдает.Вчера, с большой вероятностью, был обновлен мировой рекорд DDoSатаки: 268Gbps/31Mpps, длительность атаки составила 12 минут.
TCP: Успешный опыт POP3/IMAPUDP: только в случаях когда можно построитьc схему авторизацию IPCущественно поменялось управление памятью и теперь мы можем принимать POST запросы размером в десятки мегабайт(большепо согласованию)Появилась система обнаружения аномалий способная обнаруживать не только факт атаки или отказ приложения, но и изменяющийся характер трафика, вызывные например проблемами в public ip transit.Усовершенствована работа с черными/белыми списками(async). Кстати, о списках – нас часто спрашивают почему мы не даем листить подсетями. (Пример с коллегами) .Экспорт статистики (пригодиться партнерам) И еще…РостелекомВыросли в разы.Новый функционал до конца годадля RAW services.
Хочется поговорить о наболевшем.
На весенней конференции мы рассказали про оборону своими силами. Обновили эти рекомендации в журнале Хакер 10.2012 и там-же рассказали о особенностях работы и противодействия «социальному» DDoS.Что-же делать если кости выпали не в вашу пользу и силы оказались неравнымии вы сами (кажется) не справляетесь?Мы всегда рекомендуем задумываться о «плане Б» заранее, а в случае если ваши риски реально высоки, подключиться к любой фильтрующей сети превентивно. Это даст возможность фильтрам обучиться на легитимном трафике
Первые два пункта очевидно придется спросить у хостера/оператора. Кстати не удивляйтесь если хостер просто положит ваш /32 в Null.Невозможно что-то делать с неуправляемой системой. У вас конечно-же есть out-of-band IPMI/IPKVM на ваши «фронты»?Access.logимеет cмысл но ограниченно, запросы там оказываются только тогда когда они завершились. Убедитесь что это действительно атака.ПОЭТОМУ tcpdumpПакетов БУДЕТ много, поэтому ограничьте количество пакетов. Нам нужны все данные, поэтому не надо ограничивать размер пакета в дампе.Кстати, достаточно часто бывают интересные случаи с LowRateатаками при которых в frontend log пусто, но все тормозит.С такой ситуацией, например столкнулся Александр Коротков читавший вчера о индексах postgres. Не ленитесь, присылайте нам в коллекцию ссылки на такие дампы. По мере возможностей мы попытаемся помочь.РЕШИТЕ: есть-ли у вас в распоряжении достаточно пропускной полосы и вычислительных ресурсов чтобы противостоять самостоятельно или вам понадобиться помощь.Не паникуйте. Действуйте.
Первых три пункта касаются всехи всегда. Так в воскресенье это был cvk2012 (головная боль).Не делайте глупостей при проектировании системы: картинки из базы пережимаемые на лету, сценарии считающиеся по 10+ секунд, состояния привязанные к TCP-сессии. Вам это не нужно.Поэтому при превентивных подключениях мы всегда проводим нагрузочное тестирование – выявить слабые места и пороги производительности.Заблокируйте доступ к приложению в обход фильтра.Проконтролируйте результативность работы фильтров: pageviews/обьем и состав черного списка. В случае если вы работаете с роботизированным инструментарием – добавьтеизвестных вам роботов в белые списки.Включите поддержку TCP keepaliveчтобы уменьшить возможные задержки при работе с фильтром.
