Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, который был прочитан 27 апреля 2011 г. на VIP-дне конференции «Российские интернет-технологии» (РИТ++).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Поэтому основным критерием при выборе хостинга, за исключением финансовой составляющей, является уровень связности АС, в которой расположен хостинг, с сетью АС. Однако наличие физических каналов между АС еще не гарантирует пиринговых отношений между ними. Более того, даже наличие пиринга между сервис-провайдерами не означает, что данный физический канал будет использован.
Правила передачи и фильтрации трафика в сети АС реализуются с использованием политик маршрутизации протокола BGP. Несмотря на то, что региональные регистры маршрутизации (ARIN/APNIC/AFNIC/RIPE) поддерживают интерфейсы для регистрации данных политик маршрутизации, эти данные неполны, а зачастую и некорректны. Это приводит к ситуации, когда уровень связности АС пытаются определять, используя косвенные критерии, такие как уровень физических соединений или количество клиентских маршрутов.
В данной работе демонстрируется подход к созданию системы моделирования маршрутизации BGP, которая позволяет идентифицировать в том числе закрытые или некорректные политики маршрутизации. Дополняют данную систему моделирования несколько методов верификации данных, в том числе с использованием механизма BGP Anycast.
В качестве демонстрации возможностей системы приводится анализ уровня реальной связности российского сегмента сети интернет.
The presentation was delivered at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana by Alexander Asimov, Qrator network engineer at HLL.
Alexander Asimov expressed his concerns about BGP Route Stability and it was suggested that RIPE Atlas may be able to address these issues.
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, который был прочитан 27 апреля 2011 г. на VIP-дне конференции «Российские интернет-технологии» (РИТ++).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Поэтому основным критерием при выборе хостинга, за исключением финансовой составляющей, является уровень связности АС, в которой расположен хостинг, с сетью АС. Однако наличие физических каналов между АС еще не гарантирует пиринговых отношений между ними. Более того, даже наличие пиринга между сервис-провайдерами не означает, что данный физический канал будет использован.
Правила передачи и фильтрации трафика в сети АС реализуются с использованием политик маршрутизации протокола BGP. Несмотря на то, что региональные регистры маршрутизации (ARIN/APNIC/AFNIC/RIPE) поддерживают интерфейсы для регистрации данных политик маршрутизации, эти данные неполны, а зачастую и некорректны. Это приводит к ситуации, когда уровень связности АС пытаются определять, используя косвенные критерии, такие как уровень физических соединений или количество клиентских маршрутов.
В данной работе демонстрируется подход к созданию системы моделирования маршрутизации BGP, которая позволяет идентифицировать в том числе закрытые или некорректные политики маршрутизации. Дополняют данную систему моделирования несколько методов верификации данных, в том числе с использованием механизма BGP Anycast.
В качестве демонстрации возможностей системы приводится анализ уровня реальной связности российского сегмента сети интернет.
The presentation was delivered at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana by Alexander Asimov, Qrator network engineer at HLL.
Alexander Asimov expressed his concerns about BGP Route Stability and it was suggested that RIPE Atlas may be able to address these issues.
Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
В докладе, представленном генеральным директором HLL Александром Ляминым в рамках конференции HighLoad++ 25-26 октября 2010 г., рассматривается развитие механизмов DDoS-атак и изменение целей нападения. Обсуждается классификация типов атак и свойств ботнетов.
Классификация типов атак: почему одной метрики, например, скорости, явно недостаточно. Свойства ботнета в сравнении с тем, какими мы видели их год назад. Новые цели и задачи нападающих: и причем здесь Яндекс?
Расследование DDoS-атак, примеры и результаты. Технический подход к проблеме. Основные направления развития на следующий год: новые сервисы, новые методики, новые скорости.
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
Некоторые аспекты влияния сходимости протокола BGP на доступность сетевых рес...HLL
Тема презентации Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, представленной в рамках конференции HighLoad++ 25-26 октября 2010 г., относится к актуальной области администрирования на междоменном сетевом уровне — моделированию процесса сходимости протокола BGP.
Данный тип моделирования активно применяется при разработке новых механизмов передачи сообщений BGP и при оценке скорости перестроения глобальной сети вследствие возникновения нештатных ситуаций.
В рамках проведенного исследования были получены следующие оценки:
• Время сходимости протокола BGP вследствие объявления нового маршрута BGP-маршрутизатором пропорционально диаметру графа сети относительно рассматриваемого маршрутизатора;
• Время сходимости протокола BGP вследствие удаления маршрута BGP-маршрутизатором пропорционально гамильтонову пути в графе относительно рассматриваемого маршрутизатора.
В рамках исследования был также проведен анализ работы механизма Flap Damping. Данный инструмент BGP разработан для обнаружения, локализации и минимизации влияния на сеть АС нестабильных участков сети. В качестве признака нестабильности участка сети используется «мигающий маршрут»: повторяющиеся объявления и удаления маршрута к некоторому префиксу за короткий интервал времени. Используя полученные оценки времени сходимости протокола BGP, была рассчитана вероятность возникновения «мигающего маршрута» в кольце BGP-маршрутизаторов вследствие единичного удаления маршрута. В соответствии с полученными результатами, был сделан вывод о негативном влиянии механизма Flap Damping на сходимость протокола BGP.
The presentation was delivered by HLL / Qrator network engineer Alexander Asimov at the ENOG 2/RIPE NCC Regional Meeting taking place at the World Trade Centre in Moscow on 28-30 November 2011.
Архитектура центра очистки трафика (ЦОТ): решения уровня оператора связи и ко...HLL
Презентация и видео к докладу Александра Лямина (HLL) и Муслима Меджлумова (РТКОММ) на осеннем HighLoad++ 2011, Москва. Специалисты рассказали о технологиях защиты приложений от DDoS-атак в промышленных масштабах.
Представлены основные принципы построения и архитектура решений по фильтрации трафика оператора связи РТКОММ и компании-специалиста HLL (сеть фильтрации Qrator).
В форме товарищеского матча докладчики обсудили следующие вопросы:
• защита сети vs защита сетевых приложений;
• собственные разработки vs решения от вендоров;
• распределенная сеть vs сеть оператора связи;
• специализация vs интеграция;
• вопросы масштабирования;
• способы подключения и оперативность работы фильтров;
• SLA и ценовая политика.
Порядок преодоления болота на маршруте: как не надо писать приложения, основа...HLL
Артём Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, описывает типичные ошибки программирования при написании серверных приложений на основе TCP-сокетов в рамках конференции «Российские интернет-технологии» (2-3 апреля 2012, Москва).
Разбирается (вероятно, неисчерпывающий) ряд заблуждений и узких мест, приводящих к проблемам с производительностью и уязвимостям безопасности TCP-приложений; приводится ряд примеров, когда ошибки, неочевидные на этапе программирования, при эксплуатации приводили к финансовым и репутационным потерям у авторов и пользователей приложения. Даются рекомендации по отладке и оптимизации приложений, основанных на TCP, а также операционных систем, в которых эксплуатируются такие продукты.
Среди прочего, разбираются такие аспекты работы обработчика TCP-запросов, как:
• предотвращение атак, аналогичных slow POST в Nginx и Lighttpd;
• предотвращение ошибок, аналогичных проблеме со скачиванием файлов в браузере Internet Explorer;
• возможные изменения в дизайне самописных TCP-based протоколов с целью их ускорения;
• использование опции TCP (таких, как TCP_NODELAY) для ускорения работы специфических приложений.
The presentation was delivered by Alexander Lyamin, CEO of HLL (Qrator network), at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana.
DDoS mitigation techniques: poor mans version (low rate HTTP attacks). Every solution works. Not always. Not for everyone.
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...HLL
Презентация к докладу Артёма Гавриченкова (ximaera), ведущего разработчика сети фильтрации трафика Qrator, для конференции HighLoad++ (25-26 октября 2010, Москва).
В данном докладе описывается потенциальная тандемная атака, включающая в себя одновременно SYN flood и одну из атак на FIN-WAIT-2 или Sockstress.
Широко известная атака на отказ в обслуживании протокола TCP — SYN Flood — хорошо изучена, существуют популярные методы борьбы с ней, включая, например, технологию SYN cookies [1]. Важным свойством этого вида атак является их влияние на модули отслеживания соединений (connection tracking). Даже при использовании SYN cookies каждый входящий TCP-сегмент с выставленным флагом SYN создаёт запись в базе отслеживаемых соединений, что спустя некоторое время может привести к переполнению базы и потере новых запросов на соединения.
Менее известная атака, носящая кодовое название FIN-WAIT-2 attack, эксплуатирует особенности алгоритма закрытия TCP-соединения. Данная атака подробно разбирается в CPNI Technical Note 3/2009: Security Assessment of the Transmission Control Protocol. Её основная цель — исчерпание памяти, используемой TCP-соединениями, находящимися в фазе FIN-WAIT-2 закрытия соединения. При определённых условиях соединение может находиться в этом состоянии продолжительное время, при этом все ресурсы, задействованные соединением, не будут доступны активным компонентам атакуемой системы.
1. Dave Dittrich, Some TCP/IP Vulnerabilities: Weaknesses, attack tools, defenses [HTML] (http://staff.washington.edu/dittrich/talks/agora/index.html).
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
UDP Amplifiers на примере DNS и способы противодействияAndrey Leskin
UDP Amplifiers: что это такое? Откуда они взялись? Сколько их в мире? И, last but not least, есть ли способы борьбы с ними?
Рассмотрим все эти вопросы (и не только их) и постараемся на них ответить.
Flussonic is an IPTV/OTT platform that provides a middleware for distributing video over various protocols like HLS, HDS, and HTTP. It supports popular video codecs like MPEG-2, MPEG-4 AVC, and AAC audio. Flussonic's middleware integrates with set-top boxes and allows features like EPG, catch-up TV, and video on demand. It can handle 10-15 live channels on a single server and provides authorization, content protection, and analytics.
Презентация Александра Лямина и Артёма Гавриченкова (HLL/Qrator) для семинара «Анализ и противодействие киберугрозам», организованного Ассоциацией профессионалов в области информационной безопасности RISSPA в рамках выставки InfobezExpo 5 октября 2011 г.
Доклад был посвящен современным тенденциям в области противодействия распределенным атакам типа «отказ в обслуживании».
В докладе, представленном генеральным директором HLL Александром Ляминым в рамках конференции HighLoad++ 25-26 октября 2010 г., рассматривается развитие механизмов DDoS-атак и изменение целей нападения. Обсуждается классификация типов атак и свойств ботнетов.
Классификация типов атак: почему одной метрики, например, скорости, явно недостаточно. Свойства ботнета в сравнении с тем, какими мы видели их год назад. Новые цели и задачи нападающих: и причем здесь Яндекс?
Расследование DDoS-атак, примеры и результаты. Технический подход к проблеме. Основные направления развития на следующий год: новые сервисы, новые методики, новые скорости.
Dumb Ways To Die: How Not To Write TCP-based Network ApplicationsHLL
The document provides advice on how not to write TCP-based network applications. It discusses several issues:
1) Message delivery over TCP is unreliable and there are no guarantees about when or if a message will arrive. Timeouts need to be implemented at various points.
2) Resources like memory and processing time must be limited for all operations to prevent denial of service attacks.
3) Errors like ECONNRESET can occur for various reasons and applications need to be prepared to handle them gracefully rather than crashing.
Overall it emphasizes the need to design applications with the understanding that TCP is a lossy protocol, implement timeouts and resource limits, and handle errors robustly rather than assuming perfect delivery of messages and connections
DDоS: Практическое руководство к выживанию. (Часть 2: Работа над ошибками)HLL
В сети существует множество «поваренных рецептов» о том, как построить защиту от DDoS-атак своими руками. В докладе Александра Лямина, генерального директора HLL, презентованном на конференции «Российские интернет-технологии» (РИТ++/2012), проведен подробный анализ наиболее интересных из них, названы критерии эффективности системы защиты в целом и проведена оценка возможностей как отдельных методов противодействия, так и комбинированных.
Некоторые аспекты влияния сходимости протокола BGP на доступность сетевых рес...HLL
Тема презентации Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator, представленной в рамках конференции HighLoad++ 25-26 октября 2010 г., относится к актуальной области администрирования на междоменном сетевом уровне — моделированию процесса сходимости протокола BGP.
Данный тип моделирования активно применяется при разработке новых механизмов передачи сообщений BGP и при оценке скорости перестроения глобальной сети вследствие возникновения нештатных ситуаций.
В рамках проведенного исследования были получены следующие оценки:
• Время сходимости протокола BGP вследствие объявления нового маршрута BGP-маршрутизатором пропорционально диаметру графа сети относительно рассматриваемого маршрутизатора;
• Время сходимости протокола BGP вследствие удаления маршрута BGP-маршрутизатором пропорционально гамильтонову пути в графе относительно рассматриваемого маршрутизатора.
В рамках исследования был также проведен анализ работы механизма Flap Damping. Данный инструмент BGP разработан для обнаружения, локализации и минимизации влияния на сеть АС нестабильных участков сети. В качестве признака нестабильности участка сети используется «мигающий маршрут»: повторяющиеся объявления и удаления маршрута к некоторому префиксу за короткий интервал времени. Используя полученные оценки времени сходимости протокола BGP, была рассчитана вероятность возникновения «мигающего маршрута» в кольце BGP-маршрутизаторов вследствие единичного удаления маршрута. В соответствии с полученными результатами, был сделан вывод о негативном влиянии механизма Flap Damping на сходимость протокола BGP.
The presentation was delivered by HLL / Qrator network engineer Alexander Asimov at the ENOG 2/RIPE NCC Regional Meeting taking place at the World Trade Centre in Moscow on 28-30 November 2011.
Архитектура центра очистки трафика (ЦОТ): решения уровня оператора связи и ко...HLL
Презентация и видео к докладу Александра Лямина (HLL) и Муслима Меджлумова (РТКОММ) на осеннем HighLoad++ 2011, Москва. Специалисты рассказали о технологиях защиты приложений от DDoS-атак в промышленных масштабах.
Представлены основные принципы построения и архитектура решений по фильтрации трафика оператора связи РТКОММ и компании-специалиста HLL (сеть фильтрации Qrator).
В форме товарищеского матча докладчики обсудили следующие вопросы:
• защита сети vs защита сетевых приложений;
• собственные разработки vs решения от вендоров;
• распределенная сеть vs сеть оператора связи;
• специализация vs интеграция;
• вопросы масштабирования;
• способы подключения и оперативность работы фильтров;
• SLA и ценовая политика.
Порядок преодоления болота на маршруте: как не надо писать приложения, основа...HLL
Артём Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, описывает типичные ошибки программирования при написании серверных приложений на основе TCP-сокетов в рамках конференции «Российские интернет-технологии» (2-3 апреля 2012, Москва).
Разбирается (вероятно, неисчерпывающий) ряд заблуждений и узких мест, приводящих к проблемам с производительностью и уязвимостям безопасности TCP-приложений; приводится ряд примеров, когда ошибки, неочевидные на этапе программирования, при эксплуатации приводили к финансовым и репутационным потерям у авторов и пользователей приложения. Даются рекомендации по отладке и оптимизации приложений, основанных на TCP, а также операционных систем, в которых эксплуатируются такие продукты.
Среди прочего, разбираются такие аспекты работы обработчика TCP-запросов, как:
• предотвращение атак, аналогичных slow POST в Nginx и Lighttpd;
• предотвращение ошибок, аналогичных проблеме со скачиванием файлов в браузере Internet Explorer;
• возможные изменения в дизайне самописных TCP-based протоколов с целью их ускорения;
• использование опции TCP (таких, как TCP_NODELAY) для ускорения работы специфических приложений.
The presentation was delivered by Alexander Lyamin, CEO of HLL (Qrator network), at the RIPE 64 Meeting on 16 – 20 April 2012 in Ljubljana.
DDoS mitigation techniques: poor mans version (low rate HTTP attacks). Every solution works. Not always. Not for everyone.
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...HLL
Презентация к докладу Артёма Гавриченкова (ximaera), ведущего разработчика сети фильтрации трафика Qrator, для конференции HighLoad++ (25-26 октября 2010, Москва).
В данном докладе описывается потенциальная тандемная атака, включающая в себя одновременно SYN flood и одну из атак на FIN-WAIT-2 или Sockstress.
Широко известная атака на отказ в обслуживании протокола TCP — SYN Flood — хорошо изучена, существуют популярные методы борьбы с ней, включая, например, технологию SYN cookies [1]. Важным свойством этого вида атак является их влияние на модули отслеживания соединений (connection tracking). Даже при использовании SYN cookies каждый входящий TCP-сегмент с выставленным флагом SYN создаёт запись в базе отслеживаемых соединений, что спустя некоторое время может привести к переполнению базы и потере новых запросов на соединения.
Менее известная атака, носящая кодовое название FIN-WAIT-2 attack, эксплуатирует особенности алгоритма закрытия TCP-соединения. Данная атака подробно разбирается в CPNI Technical Note 3/2009: Security Assessment of the Transmission Control Protocol. Её основная цель — исчерпание памяти, используемой TCP-соединениями, находящимися в фазе FIN-WAIT-2 закрытия соединения. При определённых условиях соединение может находиться в этом состоянии продолжительное время, при этом все ресурсы, задействованные соединением, не будут доступны активным компонентам атакуемой системы.
1. Dave Dittrich, Some TCP/IP Vulnerabilities: Weaknesses, attack tools, defenses [HTML] (http://staff.washington.edu/dittrich/talks/agora/index.html).
Влияние сетевых аномалий на доступность ресурсовHLL
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва).
Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator.
Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Циклы маршрутизации на междоменном сетевом уровнеHLL
Презентация к докладу Александра Азимова, ведущего инженера по эксплуатации сети фильтрации трафика Qrator (HighLoad++, 3-4 октября 2011, Москва).
Глобальная доступность ресурса определяется на основе взаимодействия автономных систем (АС). Между АС действует де-факто стандартный протокол маршрутизации BGP, являющийся развитием дистанционно-векторного способа маршрутизации. При создании данного протокола большое внимание уделялось проблеме циклов маршрутизации, что позволило избежать статических колец маршрутизации. Однако динамические кольца маршрутизации продолжают возникать.
В докладе описаны основные отличительные особенности протокола маршрутизации BGP, связанные с областью его применения. Также рассказано о проблемах сходимости протокола BGP, возникающих на разных уровнях политик маршрутизации, с демонстрацией на примерах техники управления анонсами префиксов, позволяющих обнаруживать и разрывать кольца автономных систем.
UDP Amplifiers на примере DNS и способы противодействияAndrey Leskin
UDP Amplifiers: что это такое? Откуда они взялись? Сколько их в мире? И, last but not least, есть ли способы борьбы с ними?
Рассмотрим все эти вопросы (и не только их) и постараемся на них ответить.
Flussonic is an IPTV/OTT platform that provides a middleware for distributing video over various protocols like HLS, HDS, and HTTP. It supports popular video codecs like MPEG-2, MPEG-4 AVC, and AAC audio. Flussonic's middleware integrates with set-top boxes and allows features like EPG, catch-up TV, and video on demand. It can handle 10-15 live channels on a single server and provides authorization, content protection, and analytics.
6. Где живут ботнеты.
(геопривязка)
12.00000%
RU
DE
10.00000%
US
UA
CN
8.00000%
KZ
GB
??
6.00000%
FR
MD
CA
4.00000%
NL
IL
2.00000% AZ
TR
LV
0.00000% JP
1
20. Что еще интересного?
• BGP Flowspec* enabled networks (радуемся**)
• Google’s TFO (выдыхаем)
• DNS/DNSSEC – void (медитируем)
• RPKI – все так-же обсуждается (молимся)
• IPV6 – будет много «приключений»
• Обновили мировой рекорд:268Gbps/32Mpps
* RFC-5575
** Не все и не всегда.
Данные собранные сетью Qratorза 2012В год - 2012 есть шанс удвоить.Количество атак в день – существенно подросло, Клиентская база.Макс в день 2+ раз (17июня. Агрессивно, наша политика, армения добавила)Средний размер - колеблется вокруг отметки 2k ( больше НЕ_НУЖНО )Максимальный размер - ( не политика! били - коммерческого заказчика, обычный ecommerce, 31 октября, 2011 били, 2011- slon.ru)уверен что до нового года рекорд мы обновим, времени еще более чем достаточно и конец года это самый «сезон»Макс.длительность: «магические сервисы» – идеология!
Работаем без выходных!Добавились СНГ, Европа, другие часовые пояса по России.Вообщем бесполезный график. Больше таких делать не буду. Коллеги попутали.
29 мая – армения17 июня – как и говорил, армения + российская политика.
Ярко выраженная сезонность следующая сезонности рынка товаров и услуг.В этом году необычный всплеск Июнь/май это российская политика.В прошлом году самыми горячими были ноябрь/декабрь. Вероятнее всего все самое интересное у нас еще впереди.
Интересно что атаки на «оппозицию» как правило имеют источники в Пакистане, Индии, Египте, Вьетнаме.Атакующая сторона принимает во внимание методы используемые при расследовании инцидентов и принимает соответствующие контр-меры.
Рекорд самой высокоскоростной атаки (10.2011 – 57Gbps) мы так и не обновили.Высокоскоростные атаки в абсолютном выражении почти в 2 раза по сравнению с 2011В процентном сократились на 0.8процентов.Каждому пятому клиенту. Больше гигабита, rаждому десятому больше десяти.И этот слайд особенно любопытен в свете следующего:
Практически двухкратный рост атак с использованием spoofed source – атаки на инфраструктуру и tcp stack, включая всеми любимый synflood.
Обычные настройки tcp stackНовые карты с разнесенными по ядрам очередями.Создало серьезные проблемы для многих наших коллег, как обычных адмистраторов так небольших специализированных сервисов очистки.Вызвало волну миграции с дешевых немецких хостингов в пространство СНГ на хостинги с специализированным оборудованиемsynproxyВ связи с его дороговизной setups имеют как правило производительность ~10Gbps, в связи с этим возникают риски пересекающихся во времени атакИ ненулевая вероятность «братской могилы».
В России и Европе появились сети с работающим bgp-flowspec. Ура, больше не прийдется извращаться с bgp communities.Но нужно «выбивать» это из оператора, поскольку «трафик пришедший-трафик оплаченый» и типичное телекомовскоежлобство.TFO в ядре Linux, client stored cryptocookies! AWESOME! RFC пока нет.Было изначально очень опасно, поскольку аллокация памяти на первом пакете.DNSSEC для .ruвсе так-же отсуствует. Впрочем задачи ddosон не решает, а только усугубляет. Поэтому пока только в DNS облака.RPKI – RESOURE KEY криптография для раут-обьектов и защиты топологии – безнадежно застряла на стадии обсуждения. Молимся что до топологии «плохие ребята» доберуться нескоро. Исламская Республика Иран – не молится, они используют PI-backbone.IPV6 – активно изучаем, «новый чудный мир». Будет весело. Особенно с топологиями. Кстати, V4 RIPE уже не выдает.Вчера, с большой вероятностью, был обновлен мировой рекорд DDoSатаки: 268Gbps/31Mpps, длительность атаки составила 12 минут.