Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва). Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator. Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.

1. 14 мая 2012
Влияние сетевых аномалий
на доступность ресурсов
Александр Азимов,
<aa@highloadlab.com>

2. Уровни протокола TCP/IP
Уровень Протокол
Прикладной Приложение
Транспортный UDP TCP
Сетевой Протокол IP
Канальный Сетевой интерфейс
Физический Физическая сеть
2

3. Уровни протокола TCP/IP
Уровень Протокол
Прикладной Приложение
Транспортный UDP TCP
Сетевой Протокол IP
Канальный Сетевой интерфейс
Физический Физическая сеть
3

4. Автономная система
Система IP-сетей и маршрутизаторов,
управляемых одним или несколькими
операторами, имеющими единую
политику маршрутизации с Интернетом.
4

5. Типы АС
AS2
Многоинтерфейсные AS1
AS3
AS2
Транзитные AS1
AS3
AS2
Ограниченные AS1
5

6. BGP
• Дистанционно векторный протокол;
• Политики маршрутизации: отражают
экономические отношения между АС;
• BGP «Анонсирует» сеть.
6

7. Пример АС
A
AS222
2.2.2.0/24
A
7

8. Пример АС
A
AS222
2.2.2.0/24
A
Все сети
Интернета
8

9. Пример АС
A
AS222
2.2.2.0/24
Default route
A
Все сети
Интернета
9

10. Сетевые аномалии
1. Ошибки в настройке
маршрутизаторов;
2. Циклы маршрутизации BGP;
3. Проблемы на уровне СПД.
10

11. Default route
• 12514 уязвимых префиксов;
• Может быть использовано для
увеличения плеча DoS атаки (* TTL)
• Атака на исчерпание канала;
• А за трафик еще и платить ;)
11

12. Усилители DDoS атак
• 688 уязвимых префиксов;
• АС может быть использована в
качестве усилителя DoS атаки
• Атака нескольких АС одновременно;
12

13. Циклы маршрутизации BGP
Встроенная защита от
статических циклов
Динамические циклы!
13

14. BGP Циклы
• 2346 уязвимых префиксов;
• Результат:
• Частичная/полная
недоступность целевой сети;
• Шум сообщений BGP
14

15. У них проблемы…
AS174 AS3356 AS7018 AS6939 AS701
AS3549 AS209 AS4323 AS1239 AS12389
AS2848 AS3257 AS6461 AS2914 AS8468
AS23148 AS8447 AS20485 AS6830 AS8220
AS8928 AS3303 AS4589 AS42708 AS6453
AS6730 AS31130 AS3491 AS3320 AS8218
AS286 AS702 AS3561 AS20764 AS31323
AS20632 AS4766 AS680 AS29686 AS5089
AS10026 AS12350 AS2516 AS3786 AS12741
AS7575 AS1916 AS2273 AS9498 AS1785
И более чем 4к других АС!
15

16. Примеры
АС174
• Увеличение плеча DDoS в 17 раз
• Default route: 25 уязвимых префиксов
АС3356-АС3549
• Увеличение плеча DDoS в 8 раз
• BGP циклы: 12 prefixes affected
• Default route: 86 уязвимых префиксов
16

17. Россия
• Default route 1381
• BGP циклы 31
• Усилители DDoS атак 21
максимально в 11 раз
17

18. Продолжительность
45,00%
40,00%
35,00%
30,00%
25,00% BGP циклы
20,00% Default Routes
15,00% Усилители DDoS
10,00%
5,00%
0,00%
<1h <2h <4h <8h
18

19. Тренд
16000
14000
12000
10000
8000
6000 Обнаружено
4000 Исправлено
2000
0
19

20. Робин Гуд
Hello.
During our research project we have detected IP address “*.*.*.*" in AS***,
which multiplies ICMP packets. 11 times is a mean value.
It is dangerous vulnerability because this IP could be used by attackers to N-times
increase DoS attack.
This could be harmful for your own network infrastructure and also break down
attacked network.
Could you tell me for what purpose your router was configured by such way?
Hello
This is assigned to one of our customers. We cannot see how there equipment is
configured. If you believe this is in violation of our Acceptable use policy you can
email abuse@***.com to report that.
20

21. Атака на сетевом уровне
21

22. Атака на сетевом уровне
22

23. В «сердце» Интернета
BGP
2.2.2.0/24
4 секунды
=
DDoS*4
ASX2 Default ASX1
route
23

24. В «сердце» Интернета
Клиентские АС BGP
2.2.2.0/24
Max = 350*DDoS
> 50 amplifiers 4 секунды
Mean = 10*DDoS =
DDoS*4
ASX2 Default ASX1
route
24

25. В «сердце» Интернета
Клиентские АС BGP
2.2.2.0/24
Max = 350*DDoS
> 50 amplifiers 4 секунды
Mean = 10*DDoS =
DDoS*4
ASX2 Default ASX1
route
dst: aplifiers
src: 2.2.2.1
25

26. В «сердце» Интернета
Клиентские АС BGP
2.2.2.0/24
Max = 350*DDoS
> 50 amplifiers 4 секунды
Mean = 10*DDoS =
DDoS*4
ASX2 Default ASX1
route
dst: aplifiers
src: 2.2.2.1 Итого = 40*DDoS
26

27. Результаты
• Проблемы клиентской сети – это ваши
проблемы;
• Проблемы сети поставщика – это тоже
ваши проблемы;
• Нестабильность сети может быть
невидима со стороны АС-источника.
• У нас есть система мониторинга. Мы
готовы предоставить информацию
бесплатно.
27

28. Проверяйте свою сеть.
Дважды
28

29. Проверяйте свою сеть.
Дважды
29