Download - DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)
DDoS-атаки в России: 2014 Александр Лямин <[email protected]>
UDP-пакеты салом не пахнут
Главный слайд №1 2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 56,69% ↓ 58,45% ↑ Атак более 1Gbps: 6,04% ↑ 2,58% ↓ Атак более 10Gbps: 2,62% ↑ 0,70% ↓ Атак более 100Gbps: 1,29% ↑ 0,10% ↑
Главный слайд №1 2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 3350 ↓ 3935 ↑ Атак более 1Gbps: 357 ↑ 174 ↓ Атак более 10Gbps: 155 ↑ 47 ↓ Атак более 100Gbps: 76 ↑ 7 ↑
Распределение по дням
0
20
40
60
80
100
120
140
160
01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12
2014
2013
Почти год назад
Почти год назад
Почти год назад
Коэфф. Амплификации: DNS
0
2000
4000
6000
8000
10000
12000
14000
35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355
Коэфф. Амплификации: NTP
0
20000
40000
60000
80000
100000
120000
140000
160000
13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60
Коэфф. Амплификации: Chargen
0
50
100
150
200
250
300
350
400
12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255
Коэфф. Амплификации: SNMP
0
50000
100000
150000
200000
250000
300000
30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80
Коэфф. Амплификации: SSDP
0
50000
100000
150000
200000
250000
300000
350000
400000
60 63 66 69 72 75 78 81 84 87 90 93 96 99 102 105 108 111 114 117 120 123 126 128 131 134 137 140 143 146 149 152 155 158 161 164 167 170 173 176 179
Пять проблем, одна семья User Datagram Protocol
• DNS ( x35 ) • NTP ( x1300 ) • SSDP ( x150 ) • SNMP ( x50 ) • Chargen ( x200 )
Динамика DNS
0
50000000
100000000
150000000
200000000
250000000
Динамика NTP
0
5000000
10000000
15000000
20000000
25000000
30000000
35000000
Динамика амплификаторов
0
200000000
400000000
600000000
800000000
1E+09
1.2E+09
1.4E+09
1.6E+09
1.8E+09
Chargen
NTP
DNS
SNMP
SSDP
Total
SSDP
SSDP Победила топология
Топологии - они везде
Топологии – могут вас убить
Топологии – это важно
Топологии – это важно
Очень-очень важно!
Важно: конфиденциальность [13:21:17] melanor9 hll: парни! гасите все IP сразу, а не по одному [13:21:29] Person1: там их гора [27/03/14] melanor9 hll: очевидно же что вас уже "Пописали”
Еще важно: оперативность [14:18:07] Person2: в общем новости из каравана: отключены все ip всех фронтов кроме хабра [14:18:26] Person2: хабр вроде ожил [14:18:38] Person2: сейчас поднимаем фронты на новых ip
Еще важно: DNS Сколько времени займет изменение root servers ?
Еще важно
ЗДРАВЫЙ СМЫСЛ
Еще важно
Память и
Внимательность
Еще важно
</whine>
Ok, что дальше?
Назад в будущее Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Здесь живут Amplifications Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Здесь живут ботнеты Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
+ трафик-генераторы Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock + Habrahabr
А здесь живут Драконы Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
Пример inetnum: 188.44.56.0 - 188.44.63.255
netname: dorm
descr: Lomonosov Moscow State University
descr: Hostel network, GZ-B,V
country: RU
admin-c: MSU-RIPE
tech-c: MSU-RIPE
status: ASSIGNED PA
mnt-by: MSU-MNT
Пример: НОРМА traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.
Пример: АНОМАЛИЯ traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
[dd]
… дальше было много транс-атлантики.
Всем удачного Halloween
