DDoS-атаки в 2011 году
-
Upload
artyom-gavrichenkov -
Category
Technology
-
view
980 -
download
1
Transcript of DDoS-атаки в 2011 году
![Page 1: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/1.jpg)
Signed-off-by: "Artyom Gavrichenkov" <[email protected]>
DDoS-атаки в 2011 году:характер и тенденции
![Page 2: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/2.jpg)
#include <statistics.h>
int ATTACK_COUNT=1563
int SPOOF_ATTACKS_COUNT=275
int GBPS_ATTACKS_COUNT=23
// >=1 GBPS
![Page 3: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/3.jpg)
#include <statistics.h>
int MAX_DURATION=486 // hours
![Page 4: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/4.jpg)
![Page 5: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/5.jpg)
![Page 6: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/6.jpg)
#include <statistics.h>
int MAX_TRAFFIC=56 // Gbps
![Page 7: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/7.jpg)
#include <statistics.h>
int MAX_BOTNET_COUNT=127486
// http://highloadlab.com
![Page 8: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/8.jpg)
![Page 9: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/9.jpg)
#include <distribution.h>
enum weekly {
MONDAY = 218,
TUESDAY = 244,
WEDNESDAY = 225,
THURSDAY = 245,
FRIDAY = 241,
SATURDAY = 201,
SUNDAY = 189
};
![Page 10: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/10.jpg)
Воскресенье
Суббота
Пятница
Четверг
Среда
Вторник
Понедельник
0 50 100 150 200 250 300
![Page 11: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/11.jpg)
В выходные техподдержка ISPработает менее усердно
![Page 12: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/12.jpg)
Основные проблемы (пока) не с ISP,а с IXP
![Page 13: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/13.jpg)
To: info@*^#$^*.net
«
Today we faced several Gbps of DoSfrom your exchange (and at this time ithasn't stopped yet).
It is ICMP traffic with spoofed source addresses.
Our suggestion is that one of yourclients uses IPs from other ASes,connected to *^#$^*-IX.
»
![Page 14: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/14.jpg)
From: info@*^#$^*.net
«
*^#$^*-IX only operates the L2 exchange fabric. We are not involved in routing issues ourselves. Please ask your upstream(s) to contact their relevant peers on the exchange in order to investigate this.
One idea is that you could add a null route at the border?
»
![Page 15: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/15.jpg)
From: info@*^#$^*!net
1. Устанавливаем сервер на IX
2. Производим мультигигабитные атаки
3. …
4. PROFIT
![Page 16: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/16.jpg)
#include <distribution.h>
enum yearly {
JANUARY = 437,
FEBRUARY = 392,
MARCH = 303,
APRIL = 87,
MAY = 22,
JUNE = 85,
JULY = 103,
AUGUST = 88,
SEPTEMBER = 46
};
![Page 17: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/17.jpg)
Сентябрь
Август
Июль
Июнь
Май
Апрель
Март
Февраль
Январь
0 50 100 150 200 250 300 350 400 450 500
![Page 18: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/18.jpg)
Ждем Нового года!
![Page 19: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/19.jpg)
![Page 20: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/20.jpg)
Самая продолжительная атака?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
![Page 21: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/21.jpg)
Самая продолжительная атака?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
![Page 22: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/22.jpg)
Наибольший суммарный трафик атаки?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
![Page 23: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/23.jpg)
Наибольший суммарный трафик атаки?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
![Page 24: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/24.jpg)
![Page 25: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/25.jpg)
![Page 26: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/26.jpg)
Среди узкоспециализированных компаний – высокая конкуренция.
DDoS – это метод конкурентной борьбы.
![Page 27: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/27.jpg)
Цели атакующих
● Деньги● Политика● Реклама● Принципы● + B1TC01N$
![Page 28: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/28.jpg)
Реклама
http://habrahabr.ru● Повторная атака спустя 30 минут после
опубликования статьи
![Page 31: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/31.jpg)
B1TC01N$
BKDR_BTMINE.DDOS
«
Used to perform DDoS attacks and aids other component malware in stealing Bitcoins from targeted entities.
»
![Page 32: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/32.jpg)
Тенденция
● Network level → Application Level● Гигабиты – не метрика● Метрики:
● Трафик● Пакеты● Запросы● Объём ботнета
= Производимый эффект
![Page 33: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/33.jpg)
Что нужно помнить
● Не все боты одинаково вредны● http://en.wikipedia.org/wiki/User:RFC_bot● http://www.opera.com/browser/turbo/● Важна корреляция!
● Не все иностранцы одинаково вредны● http://www.letoile.ru
![Page 34: DDoS-атаки в 2011 году](https://reader033.fdocuments.in/reader033/viewer/2022060200/559868a61a28ab707f8b45c2/html5/thumbnails/34.jpg)
Questions?