lyamin zn2013

Анатомия и метрологияDoS/DDoS

Alexander Lyamin

<la@qrator.net>

Почему?

Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории:• Атаки на каналы связи• Атаки на конечные системы

Почему?Типы DDoS-атак • Атаки 4-го уровня

– – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного

количества соединений, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.)

• Атаки 7-го уровня– направлены на ресурс (сервис прикладного уровня)

Почему?

• TCP SYN Flood

• TCP SYN-ACK Reflection Flood (DRDoS)

• TCP Spoofed SYN Flood

• TCP ACK Flood

• TCP IP Fragmented Attack

… sockstress забыли!

• HTTP and HTTPS Flood Attacks

• INTELLIGENT HTTP and HTTPS Attacks

• ICMP Echo Request Flood

• UDP Flood Attack

• DNS Amplification Attacks

Почему?

“Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”

Почему?

“Ожидания оправдались в достаточной мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”

Почему ?

… нет (вежливых) слов.

Gbps

Mpps

krps

Botnet size

Экзотичные метрики

Проблема

Как должно быть

(6aR,9R)- N,N- diethyl- 7-methyl- 4,6,6a,7,8,9-hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide

N-methyl-1-phenylpropan-2-amino

N.B.

“Yeah! Sc1ence, beatch!”

Решение

Классификация

Канальная емкость

PURE. SIMPLE. CONSUMED.

BANDWIDTH

Канальная емкость

Инфраструктура сети

Fragmentation+Stateful+Routing = Control Plane

Инфраструктура сети

Инфраструктура сетиRouting

• (dynamic) Route loops

• Prefix hijacking

• Amplifiers

http://radar.qrator.net

Cетевой стек

Сетевой стекЗапросы Ответы

Cетевой стек

Cетевой стек

Приложение

L7 σημαντικός

ПриложениеЗапросы Ответы

ПриложениеОшибки Стоп-лист

Сhangelog

• DNS (и другие не-TCP протоколы)

• TCP-протоколы для которых мы не являемся endpoint

• Умные enterprise-заказчики

• И большие сети с 100+ приложений

• Говорящих на 10+ (custom) протоколах

Как сделать мир статистику лучше?

Помнить про эту картинку!

Cтатистика 2.0

Статистика 2.0

Канальная емкость 2.0

• Чем именно занят канал?

• Транспортные протоколы

• Приложения

Cетевая инфраструктура 2.0

• Сколько потоков?

• Какова их динамика?

• Какие из них наиболее активны?

Сетевой стэк 2.0TCP

• Состояния соединений

• Динамика состояний

Приложение 2.0Запросы

• Статика

• Динамика

• Самые популярные URL

Приложение 2.0Ответы

• Топ-5 ?

• Топ-10 ?

• Кластеризация ?

Приложение 2.0Ошибки 500,501,503,504

• Топ ?

• Кластеризация ?

Приложение 2.0502 – диагностика пути ?

Идеи закончились.

… Вопросы остались.

Приложение 2.0

А что делать с !HTTP

?

Приложение 2.0

• А как ПРАВИЛЬНОпровести сэмплингповедения ботнета ?

А что такое ботнет?

a) Множество зараженных

b) Общность кода

c) Единый контроль

C нашей точки зрения

a) Множество адресов

b) Сходная техника

c) Общие цели

C нашей точки зрения

a) DomainID+время первой регистрации

b) Пересечение по IP

c) Используемые техники

Более лучше

Вместо заключения