More Related Content
Viewers also liked
Viewers also liked (20)
Beyond the botnet
- 1. Beyond the botnet. Александр Лямин <la@highloadlab.com>
- 2. Qrator: 2012 2012 2011 • Нейтрализовано атак: 2628↑ (1972) • Среднее атак в день: 9.18↑ (6.16) • Макс. в день: 73↑ (32) • Средний ботнет: 2070↑ (1886) • Макс. размер ботнета: 148563↓ (239911) • Макс. длительность: 83d↓ (253d) • Средняя доступность:99.71%
- 3. По дням недели. 18% 16% 14% 12% 10% 8% 6% 4% 2% 0% Пн Вт Ср Чт Пт Сб Вс
- 4. По дням. 80 70 60 50 40 30 20 10 0 01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12
- 5. По месяцам. 20.00% 18.00% 16.00% 14.00% 12.00% 10.00% 8.00% 6.00% 4.00% 2.00% 0.00% Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь
- 6. Где живут ботнеты. (геопривязка) 12.00000% RU DE 10.00000% US UA CN 8.00000% KZ GB ?? 6.00000% FR MD CA 4.00000% NL IL 2.00000% AZ TR LV 0.00000% JP 1
- 7. Скоростные атаки. >=1Gbps 2.21%↓ (58↑) <1Gbps 97.79% >=10Gbps 28
- 8. Типы атак. Spoofed 45.32%↑ Full connect 54.68%↓
- 9. Типы атак Q1 2012 Spoofed 29.67% Full connect 70.33%
- 10. Типы атак 2011. Spoofed 14.96% Full connect 85.04%
- 11. И снова о скоростях. PPS
- 12. Защищающаяся сторона. • Доступные L7 контр-меры VS • Настроенный сервер – 600kpps • Спец.конфигурация и настройки - 1Mpps
- 13. Нападение. • Конкуренция за ботнет. • Эффективные L7 контрмеры. VS • Доступный инструментарий (i.e. netmap) • Опорные сети, хостинги и IX пропускающие spoofed flood.
- 14. Специфика ботнетов. • Посредственная связность. • Ограниченность ресурсов. • Ограниченность возможностей.
- 15. Old and busted.
- 16. Сетевая топология. • Протоколы маршрутизации. • Проколы маршрутизации ;) • Индуцируемые проколы маршрутизации.
- 17. TCP стэк. • Состояния. • Таймауты. • (Неспецифицированные) переходы.
- 18. Helping hand – IPV6
- 19. IPV6 • Размеры структур данных. • Плотность адресации.
- 20. Что еще интересного? • BGP Flowspec* enabled networks (радуемся**) • Google’s TFO (выдыхаем) • DNS/DNSSEC – void (медитируем) • RPKI – все так-же обсуждается (молимся) • IPV6 – будет много «приключений» • Обновили мировой рекорд:268Gbps/32Mpps * RFC-5575 ** Не все и не всегда.
- 21. Вопросы?
Editor's Notes
- Данные собранные сетью Qratorза 2012В год - 2012 есть шанс удвоить.Количество атак в день – существенно подросло, Клиентская база.Макс в день 2+ раз (17июня. Агрессивно, наша политика, армения добавила)Средний размер - колеблется вокруг отметки 2k ( больше НЕ_НУЖНО )Максимальный размер - ( не политика! били - коммерческого заказчика, обычный ecommerce, 31 октября, 2011 били, 2011- slon.ru)уверен что до нового года рекорд мы обновим, времени еще более чем достаточно и конец года это самый «сезон»Макс.длительность: «магические сервисы» – идеология!
- Работаем без выходных!Добавились СНГ, Европа, другие часовые пояса по России.Вообщем бесполезный график. Больше таких делать не буду. Коллеги попутали.
- 29 мая – армения17 июня – как и говорил, армения + российская политика.
- Ярко выраженная сезонность следующая сезонности рынка товаров и услуг.В этом году необычный всплеск Июнь/май это российская политика.В прошлом году самыми горячими были ноябрь/декабрь. Вероятнее всего все самое интересное у нас еще впереди.
- Интересно что атаки на «оппозицию» как правило имеют источники в Пакистане, Индии, Египте, Вьетнаме.Атакующая сторона принимает во внимание методы используемые при расследовании инцидентов и принимает соответствующие контр-меры.
- Рекорд самой высокоскоростной атаки (10.2011 – 57Gbps) мы так и не обновили.Высокоскоростные атаки в абсолютном выражении почти в 2 раза по сравнению с 2011В процентном сократились на 0.8процентов.Каждому пятому клиенту. Больше гигабита, rаждому десятому больше десяти.И этот слайд особенно любопытен в свете следующего:
- Практически двухкратный рост атак с использованием spoofed source – атаки на инфраструктуру и tcp stack, включая всеми любимый synflood.
- Обычные настройки tcp stackНовые карты с разнесенными по ядрам очередями.Создало серьезные проблемы для многих наших коллег, как обычных адмистраторов так небольших специализированных сервисов очистки.Вызвало волну миграции с дешевых немецких хостингов в пространство СНГ на хостинги с специализированным оборудованиемsynproxyВ связи с его дороговизной setups имеют как правило производительность ~10Gbps, в связи с этим возникают риски пересекающихся во времени атакИ ненулевая вероятность «братской могилы».
- В России и Европе появились сети с работающим bgp-flowspec. Ура, больше не прийдется извращаться с bgp communities.Но нужно «выбивать» это из оператора, поскольку «трафик пришедший-трафик оплаченый» и типичное телекомовскоежлобство.TFO в ядре Linux, client stored cryptocookies! AWESOME! RFC пока нет.Было изначально очень опасно, поскольку аллокация памяти на первом пакете.DNSSEC для .ruвсе так-же отсуствует. Впрочем задачи ddosон не решает, а только усугубляет. Поэтому пока только в DNS облака.RPKI – RESOURE KEY криптография для раут-обьектов и защиты топологии – безнадежно застряла на стадии обсуждения. Молимся что до топологии «плохие ребята» доберуться нескоро. Исламская Республика Иран – не молится, они используют PI-backbone.IPV6 – активно изучаем, «новый чудный мир». Будет весело. Особенно с топологиями. Кстати, V4 RIPE уже не выдает.Вчера, с большой вероятностью, был обновлен мировой рекорд DDoSатаки: 268Gbps/31Mpps, длительность атаки составила 12 минут.