ddos 2011 risspa

34
Signed-off-by: "Artyom Gavrichenkov" <[email protected]> DDoS-атаки в 2011 году: характер и тенденции

Upload: risspa

Post on 24-May-2015

861 views

Category:

Documents


3 download

TRANSCRIPT

Page 1: Ddos 2011 risspa

Signed-off-by: "Artyom Gavrichenkov" <[email protected]>

DDoS-атаки в 2011 году:характер и тенденции

Page 2: Ddos 2011 risspa

#include <statistics.h>

int ATTACK_COUNT=1563

int SPOOF_ATTACKS_COUNT=275

int GBPS_ATTACKS_COUNT=23

// >=1 GBPS

Page 3: Ddos 2011 risspa

#include <statistics.h>

int MAX_DURATION=486 // hours

Page 4: Ddos 2011 risspa
Page 5: Ddos 2011 risspa
Page 6: Ddos 2011 risspa

#include <statistics.h>

int MAX_TRAFFIC=56 // Gbps

Page 7: Ddos 2011 risspa

#include <statistics.h>

int MAX_BOTNET_COUNT=127486

// http://highloadlab.com

Page 8: Ddos 2011 risspa
Page 9: Ddos 2011 risspa

#include <distribution.h>

enum weekly {

MONDAY = 218,

TUESDAY = 244,

WEDNESDAY = 225,

THURSDAY = 245,

FRIDAY = 241,

SATURDAY = 201,

SUNDAY = 189

};

Page 10: Ddos 2011 risspa

Воскресенье

Суббота

Пятница

Четверг

Среда

Вторник

Понедельник

0 50 100 150 200 250 300

Page 11: Ddos 2011 risspa

В выходные техподдержка ISPработает менее усердно

Page 12: Ddos 2011 risspa

Основные проблемы (пока) не с ISP,а с IXP

Page 13: Ddos 2011 risspa

To: info@*^#$^*.net

«

Today we faced several Gbps of DoSfrom your exchange (and at this time ithasn't stopped yet).

It is ICMP traffic with spoofed source addresses.

Our suggestion is that one of yourclients uses IPs from other ASes,connected to *^#$^*-IX.

»

Page 14: Ddos 2011 risspa

From: info@*^#$^*.net

«

*^#$^*-IX only operates the L2 exchange fabric. We are not involved in routing issues ourselves. Please ask your upstream(s) to contact their relevant peers on the exchange in order to investigate this.

One idea is that you could add a null route at the border?

»

Page 15: Ddos 2011 risspa

From: info@*^#$^*!net

1. Устанавливаем сервер на IX

2. Производим мультигигабитные атаки

3. …

4. PROFIT

Page 16: Ddos 2011 risspa

#include <distribution.h>

enum yearly {

JANUARY = 437,

FEBRUARY = 392,

MARCH = 303,

APRIL = 87,

MAY = 22,

JUNE = 85,

JULY = 103,

AUGUST = 88,

SEPTEMBER = 46

};

Page 17: Ddos 2011 risspa

Сентябрь

Август

Июль

Июнь

Май

Апрель

Март

Февраль

Январь

0 50 100 150 200 250 300 350 400 450 500

Page 18: Ddos 2011 risspa

Ждем Нового года!

Page 19: Ddos 2011 risspa
Page 20: Ddos 2011 risspa

Самая продолжительная атака?

● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru

Page 21: Ddos 2011 risspa

Самая продолжительная атака?

● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru

Page 22: Ddos 2011 risspa

Наибольший суммарный трафик атаки?

● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru

Page 23: Ddos 2011 risspa

Наибольший суммарный трафик атаки?

● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru

Page 24: Ddos 2011 risspa
Page 25: Ddos 2011 risspa
Page 26: Ddos 2011 risspa

Среди узкоспециализированных компаний – высокая конкуренция.

DDoS – это метод конкурентной борьбы.

Page 27: Ddos 2011 risspa

Цели атакующих

● Деньги● Политика● Реклама● Принципы● + B1TC01N$

Page 28: Ddos 2011 risspa

Реклама

http://habrahabr.ru● Повторная атака спустя 30 минут после

опубликования статьи

Page 29: Ddos 2011 risspa

http://www.nic.ly

Page 30: Ddos 2011 risspa

Принципы

Социальный DDoS: http://citadel-film.ru/

Page 31: Ddos 2011 risspa

B1TC01N$

BKDR_BTMINE.DDOS

«

Used to perform DDoS attacks and aids other component malware in stealing Bitcoins from targeted entities.

»

Page 32: Ddos 2011 risspa

Тенденция

● Network level → Application Level● Гигабиты – не метрика● Метрики:

● Трафик● Пакеты● Запросы● Объём ботнета

= Производимый эффект

Page 33: Ddos 2011 risspa

Что нужно помнить

● Не все боты одинаково вредны● http://en.wikipedia.org/wiki/User:RFC_bot● http://www.opera.com/browser/turbo/● Важна корреляция!

● Не все иностранцы одинаково вредны● http://www.letoile.ru

Page 34: Ddos 2011 risspa

Questions?