Анатомия и метрология dos /ddos
DESCRIPTION
Анатомия и метрология DoS /DDoS. Alexander Lyamin < [email protected] >. Почему?. Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории: • Атаки на каналы связи • Атаки на конечные системы . Почему?. Типы DDoS-атак - PowerPoint PPT PresentationTRANSCRIPT
Почему?Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории:• Атаки на каналы связи• Атаки на конечные системы
Почему?Типы DDoS-атак • Атаки 4-го уровня
– – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного
количества соединении, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.)
• Атаки 7-го уровня– направлены на ресурс (сервис прикладного уровня)
Почему?
• TCP SYN Flood• TCP SYN-ACK Reflection
Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack… sockstress забыли!
• HTTP and HTTPS Flood Attacks
• INTELLIGENT HTTP and HTTPS Attacks
• ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks
Почему?“Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”
Почему?“Ожидания оправдались в достаточнои мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”
Почему ?
… нет (вежливых) слов.
Gbps
Mpps
krps
Botnet size
Экзотичные метрики
Проблема
Как должно быть
(6aR,9R)- N,N- diethyl- 7-methyl- 4,6,6a,7,8,9- hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide
N-methyl-1-phenylpropan-2-amino
N.B.“Yeah! Sc1ence, beatch!”
Решение
Классификация
Канальная емкость
PURE. SIMPLE. CONSUMED.
BANDWIDTH
Канальная емкость
Инфраструктура сети
Fragmentation+Stateful+Routing = Control Plane
Инфраструктура сети
Инфраструктура сетиRouting
• (dynamic) Route loops• Prefix hijacking• Amplifiers
http://radar.qrator.net
Cетевой стек
Сетевой стекЗапросы Ответы
Cетевой стек
Cетевой стек
Приложение
L7 σημαντικός
ПриложениеЗапросы Ответы
ПриложениеОшибки Стоп-лист
Сhangelog• DNS (и другие не-TCP протоколы)• TCP-протоколы для которых мы не
являемся endpoint• Умные enterprise-заказчики• И большие сети с 100+ приложений • Говорящих на 10+ (custom) протоколах
Как сделать мир статистику лучше?
Помнить про эту картинку!
Cтатистика 2.0
Статистика 2.0
Канальная емкость 2.0
• Чем именно занят канал?• Транспортные протоколы• Приложения
Cетевая инфраструктура 2.0
• Сколько потоков?• Какова их динамика?• Какие из них наиболее
активны?
Сетевой стэк 2.0TCP• Состояния соединений• Динамика состояний
Приложение 2.0Запросы
• Статика• Динамика• Самые популярные URL
Приложение 2.0Ответы
• Топ-5 ? • Топ-10 ?• Кластеризация ?
Приложение 2.0Ошибки 500,501,503,504
• Топ ?• Кластеризация ?
Приложение 2.0502 – диагностика пути ?
Идеи закончились.
… Вопросы остались.
Приложение 2.0
А что делать с !HTTP ?
Приложение 2.0
• А как ПРАВИЛЬНО провести сэмплинг поведения ботнета ?
А что такое ботнет?a) Множество зараженныхb) Общность кодаc) Единый контроль
C нашей точки зренияa) Множество адресовb) Сходная техникаc) Общие цели
C нашей точки зренияa) DomainID+время первой регистрацииb) Пересечение по IPc) Используемые техники
Более лучше
Вместо заключения