DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут,...
Transcript of DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут,...
![Page 1: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/1.jpg)
DDoS-атаки в России: 2014 Александр Лямин <[email protected]>
![Page 2: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/2.jpg)
UDP-пакеты салом не пахнут
![Page 3: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/3.jpg)
Главный слайд №1 2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 56,69% ↓ 58,45% ↑ Атак более 1Gbps: 6,04% ↑ 2,58% ↓ Атак более 10Gbps: 2,62% ↑ 0,70% ↓ Атак более 100Gbps: 1,29% ↑ 0,10% ↑
![Page 4: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/4.jpg)
Главный слайд №1 2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑ Среднее атак в день: 21 ↑ 18 ↑ Макс. в день: 93 ↓ 151 ↑ Средний ботнет: 2 066 ↑ 1 540 ↓ Макс. ботнет: 420 489 ↑ 281 060 ↑ Сред. время, часы: 8 ↓ 9 ↓ Макс. время, дни: 91 ↑ 23 ↓ Spoofed атак: 3350 ↓ 3935 ↑ Атак более 1Gbps: 357 ↑ 174 ↓ Атак более 10Gbps: 155 ↑ 47 ↓ Атак более 100Gbps: 76 ↑ 7 ↑
![Page 5: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/5.jpg)
Распределение по дням
0
20
40
60
80
100
120
140
160
01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12 01/11/12 01/12/12
2014
2013
![Page 6: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/6.jpg)
Почти год назад
![Page 7: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/7.jpg)
Почти год назад
![Page 8: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/8.jpg)
Почти год назад
![Page 9: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/9.jpg)
Коэфф. Амплификации: DNS
0
2000
4000
6000
8000
10000
12000
14000
35 90 145 200 255 310 365 420 475 530 585 640 695 750 805 860 915 970 1025 1080 1135 1190 1245 1300 1355
![Page 10: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/10.jpg)
Коэфф. Амплификации: NTP
0
20000
40000
60000
80000
100000
120000
140000
160000
13 14 15 16 18 19 20 21 23 24 25 26 28 29 30 31 33 34 35 36 38 39 40 41 43 44 45 46 47 49 50 51 52 54 55 56 57 59 60
![Page 11: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/11.jpg)
Коэфф. Амплификации: Chargen
0
50
100
150
200
250
300
350
400
12 23 34 45 56 67 78 89 100 111 122 133 144 155 166 177 188 200 211 222 233 244 255
![Page 12: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/12.jpg)
Коэфф. Амплификации: SNMP
0
50000
100000
150000
200000
250000
300000
30 32 34 37 39 41 43 46 48 50 53 55 57 59 62 64 66 69 71 73 75 78 80
![Page 13: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/13.jpg)
Коэфф. Амплификации: SSDP
0
50000
100000
150000
200000
250000
300000
350000
400000
60 63 66 69 72 75 78 81 84 87 90 93 96 99 102 105 108 111 114 117 120 123 126 128 131 134 137 140 143 146 149 152 155 158 161 164 167 170 173 176 179
![Page 14: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/14.jpg)
Пять проблем, одна семья User Datagram Protocol
• DNS ( x35 ) • NTP ( x1300 ) • SSDP ( x150 ) • SNMP ( x50 ) • Chargen ( x200 )
![Page 15: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/15.jpg)
Динамика DNS
0
50000000
100000000
150000000
200000000
250000000
![Page 16: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/16.jpg)
Динамика NTP
0
5000000
10000000
15000000
20000000
25000000
30000000
35000000
![Page 17: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/17.jpg)
Динамика амплификаторов
0
200000000
400000000
600000000
800000000
1E+09
1.2E+09
1.4E+09
1.6E+09
1.8E+09
Chargen
NTP
DNS
SNMP
SSDP
Total
![Page 18: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/18.jpg)
SSDP
![Page 19: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/19.jpg)
SSDP Победила топология
![Page 20: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/20.jpg)
Топологии - они везде
![Page 21: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/21.jpg)
Топологии – могут вас убить
![Page 22: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/22.jpg)
Топологии – это важно
![Page 23: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/23.jpg)
Топологии – это важно
![Page 24: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/24.jpg)
Очень-очень важно!
![Page 25: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/25.jpg)
Важно: конфиденциальность [13:21:17] melanor9 hll: парни! гасите все IP сразу, а не по одному [13:21:29] Person1: там их гора [27/03/14] melanor9 hll: очевидно же что вас уже "Пописали”
![Page 26: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/26.jpg)
Еще важно: оперативность [14:18:07] Person2: в общем новости из каравана: отключены все ip всех фронтов кроме хабра [14:18:26] Person2: хабр вроде ожил [14:18:38] Person2: сейчас поднимаем фронты на новых ip
![Page 27: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/27.jpg)
Еще важно: DNS Сколько времени займет изменение root servers ?
![Page 28: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/28.jpg)
Еще важно
ЗДРАВЫЙ СМЫСЛ
![Page 29: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/29.jpg)
Еще важно
Память и
Внимательность
![Page 30: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/30.jpg)
Еще важно
![Page 31: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/31.jpg)
</whine>
Ok, что дальше?
![Page 32: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/32.jpg)
Назад в будущее Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 33: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/33.jpg)
Здесь живут Amplifications Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 34: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/34.jpg)
Здесь живут ботнеты Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 35: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/35.jpg)
+ трафик-генераторы Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 36: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/36.jpg)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
![Page 37: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/37.jpg)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop)
![Page 38: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/38.jpg)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock
![Page 39: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/39.jpg)
Трафик-генераторы • Netmap (Luigi Rizzo) • DPDK (Intel) • PF_RING DNA (ntop) + Shellshock + Habrahabr
![Page 40: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/40.jpg)
![Page 41: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/41.jpg)
А здесь живут Драконы Р а з м е р б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+
![Page 42: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/42.jpg)
Пример inetnum: 188.44.56.0 - 188.44.63.255
netname: dorm
descr: Lomonosov Moscow State University
descr: Hostel network, GZ-B,V
country: RU
admin-c: MSU-RIPE
tech-c: MSU-RIPE
status: ASSIGNED PA
mnt-by: MSU-MNT
![Page 43: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/43.jpg)
Пример: НОРМА traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.
![Page 44: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/44.jpg)
Пример: АНОМАЛИЯ traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
[dd]
… дальше было много транс-атлантики.
![Page 45: DDoS-атаки в России в 2014 годy - UDP-пакеты салом не пахнут, Александр Лямин (Qrator Labs)](https://reader034.fdocuments.net/reader034/viewer/2022050802/557ef265d8b42aa30a8b4b3b/html5/thumbnails/45.jpg)
Всем удачного Halloween