Hl++2012 lyamin qrator ddos highload 2012

DDoS атаки в России2012

Александр Лямин

<[email protected]>

Qrator: 2012

2012 2011

• Нейтрализовано атак: 2628↑ (1972)

• Среднее атак в день: 9.18↑ (6.16)

• Макс. в день: 73↑ (32)

• Средний ботнет: 2070↑ (1886)

• Макс. размер ботнета: 148563↓ (239911)

• Макс. длительность: 83d↓ (253d)

• Средняя доступность: 99.71%

По дням недели.

0%

2%

4%

6%

8%

10%

12%

14%

16%

18%

Пн Вт Ср Чт Пт Сб Вс

По дням.

0

10

20

30

40

50

60

70

80

01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12

По месяцам.

0.00%

2.00%

4.00%

6.00%

8.00%

10.00%

12.00%

14.00%

16.00%

18.00%

20.00%

Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь

Где живут ботнеты.(геопривязка)

0.00000%

0.50000%

1.00000%

1.50000%

2.00000%

2.50000%

3.00000%

1

DE

US

UA

CN

KZ

GB

??

FR

MD

CA

NL

IL

AZ

TR

LV

JP

BY

Скоростные атаки.

>=1Gbps 2.21%↓(58↑)

<1Gbps 97.79%

Типы атак.

Spoofed 45.32%↑

Full connect 54.68%↓

Зачем и Почему?

• Настроенный сервер – 600kpps

• Спец.конфигурация и настройки - 1Mpps

• Доступный инструментарий (i.e. netmap)

• Опорные сети, хостинги и IX пропускающие spoofed flood.

Что делать?

• BCP-38 (http://tools.ietf.org/html/bcp38)

• BCP-84* (http://tools.ietf.org/html/bcp84)

* С ограничениями.

http://tools.ietf.org/html/bcp38




Что еще интересного?

• BGP Flowspec* enabled networks (радуемся**)

• Google’s TFO (выдыхаем)

• DNS/DNSSEC – void (медитируем)

• RPKI – все так-же обсуждается (молимся)

• IPV6 – будет много «приключений»

• Обновили мировой рекорд:268Gbps/32Mpps

* RFC-5575

** Не все и не всегда.

Что нового в Qrator?

• TCP RAW сервисы• UDP RAW сервисы*• Увеличенные размеры POST данных• Новая система обнаружения аномалий• Новый функционал в API• SMS уведомления• Больше точек присутствия• Больше трафик-контрактов

* С ограничениями.

Вопросы?

http://qrator.net

http://qrator.net

This presentation is HIJACKED.

Сами/Сусами?

Вводные данные.

• Packetrate

• Bitrate

• Восстановите контроль

• Access.log

• tcpdump –s0 –c1000000 –w attack.dump

У Вас есть Plan-B?

Plan B

• Не делайте глупостей

• Имейте запас производительности (2x)

• Сообщите характеристики атаки и список активных сетевых сервисов

• Примите меры по нейтрализации атаки

• Проконтролируйте результативность фильтров

One more thing.

Cisco ASA - это

СОВСЕМ

про

другое.

Вопросы?

Hl++2012 lyamin qrator ddos highload 2012

Documents

Transcript of Hl++2012 lyamin qrator ddos highload 2012