kaspersky d do s prevention — надежная защита и противодействие...
TRANSCRIPT
Kaspersky DDoS Prevention —
надежная защита и
противодействие DDoS-атакам
в банковской сфере
Алексей Афанасьев, Менеджер проектa DDoS Prevention Kaspersky Lab [email protected]
Заголовки новостных лент
Хакеры атаковали сайты 40 министерств Южной Кореи
Хакеры организовали DDoS-атаку на сайт "Единой России"
LiveJournal подвергся массированной DDoS атаке
Хакеры устроили мощную DDoS-атаку на WordPress
| 26 March 2012Kaspersky DDoS PreventionPAGE 2 |
| 26 March 2012Противостояние стихии по имени «DDoS»PAGE 3 |
Определение
| 26 March 2012PAGE 4 | Kaspersky DDoS Prevention
DoS-атака
Материал из Википедии — свободной энциклопедии
DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью довести еѐ до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднѐн.
Если атака выполняется
одновременно с большого числа
компьютеров, говорят о
DDoS-атаке (от англ. Distributed
Denial of Service,
распределённая атака типа
«отказ в обслуживании»).
DDoS. Как это делается ?
| 26 March 2012Kaspersky DDoS PreventionPAGE 5 |
Компьютеры,
зараженный bot-вирусами
Центры управления
bot-сетями
| 26 March 2012Доступ запрещенPAGE 6 |
Теневые бизнесы вокруг DDoS
Продажа софта
Заказные атаки
«Загрузки» ПО
Сдача сетей в аренду
Вымогательство
| 26 March 2012Kaspersky DDoS PreventionPAGE 7 |
На что направлены атаки
| 26 March 2012Kaspersky DDoS PreventionPAGE 8 |
Исчерпание полосы пропускания
Исчерпание мощностей
коммутационного оборудования
Исчерпание вычислительных
мощностей
• Исчерпание мощностей операционной
системы
• Исчерпание мощностей приложения
Комплексные атаки
Приложение
ОС
Полоса
пропускания
Вычислительные
мощности
Эволюция
2008
2011
| 26 March 2012Kaspersky DDoS PreventionPAGE 9 |
HTTP Flood
SYN Flood
ICMP Flood
UDP Flood
TCP Data Flood
HTTP Flood
SYN Flood
UDP Flood
ICMP Flood
TCP DATA flood
Эволюция Распределение целей DDoS-атак по именам сайтов и по IP-адресам. Q2 2011
| 26 March 2012Kaspersky DDoS PreventionPAGE 10 |
Возможный ущерб. Экономика
Простой сервиса (продажи, показы
рекламы), и, как результат, убыток
Вымогательство
Недовольство клиентов
Недовольство контрагентов
Срыв бизнес процессов (от почты до
банкоматов)
Отвлечение от главного (хищения)
Прямой ущерб (торговые площадки)
| 26 March 2012Kaspersky DDoS PreventionPAGE 11 |
Распределение атак
| 26 March 2012Kaspersky DDoS PreventionPAGE 12 |
Интернет-торговля
Игровые сайты
Банки, торговые площадки
Прочее
Платежные шлюзы
Порносайты
Блоги и форумы
СМИ
Прочие бизнес-сайты
Интернет-торговля ТОП
Государственные ресурсы
Один из мифов про DDoS
| 26 March 2012Kaspersky DDoS PreventionPAGE 13 |
0
10
20
30
40
50
60
менее 50 50-100 100-200 200-300 300-400 400-500 более 500
Средняя скорость – около 300 Мбит/с
История с закрытием Ex.uaПо материалам donbass.ua и др. интернет изданий
31 января 2012 Закрытие крупнейшего файлообменника Украины - EX.UA
(возбуждение уголовного дела по статье УК ―нарушение авторского права
и смежных прав‖)
1 февраля 2012 Недоступны сайты:
• prezident.gov.ua (официальный сайт президента Украины)
• rada.gov.ua (официальный сайт Верховной Рады )
• kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины)
• partyofregions.org.ua. (сайт Партии регионов)
1 февраля 2012 Потерян доступ к базе всех законодательных документов Украины:
(информационный ресурс zakon.rada.gov.ua)
2 февраля 2012
• В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA―
(только в одной из них более двадцати тысяч пользователей).
• Проводится голосование - какой web-ресурс "валить" следующим, а также
даются инструкции - как это сделать, обладая минимальным знаниями.
• Звучат призывы "не валить сайты, а валить власть"
| 26 March 2012Kaspersky DDoS PreventionPAGE 14 |
DDoS-атака против конкурентовhttp://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda
История:
Во время проведения компанией «Аэрофлот» тендера на выбор платежной системы
были проведены DDoS-атаки на сервис Assist
Результат:
Система Assist была недоступна в момент принятия решения по тендеру.
В июне 2012 в России судебная система заинтересовалась DDoS-атаками и за
организацию этой атаки предъявила обвинения Павлу Врублевскому
Отметим:
Павел Врублевский владелец компании Chronopay — крупнейшей процессинговой
фирмы России конкурирующий с сервисом Assist
• P.S. Cчитается, что Павел Врублевский является организатором одной из крупнейших
спамерских парнерок «Rx-promotion».
| 26 March 2012Kaspersky DDoS PreventionPAGE 15 |
| 26 March 2012Противостояние стихии по имени «DDoS»PAGE 16 |
Варианты решений защиты от DDoS-атак
Самостоятельно построить защиту
Обратиться к сервис провайдеру
Использовать функции защиты входящие в
программные комплексы для электронного банкинга
Может обратиться к профессионалам?
Подключение к специализированным сервисам,
осуществляющим защиту от DDoS-атак
| 26 March 2012Kaspersky DDoS PreventionPAGE 17 |
Откуда такая осведомленность
| 26 March 2012Kaspersky DDoS PreventionPAGE 18 |
Интернет
Информирование
о изменении статуса
Постоянный опрос
выявленных управляющих центров
Date Type Bot Arguments
[http] http://moscow-post.ru2011.06.14 20:05:21
MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] http://moscow-post.ru/server/classes/class.db.php2011.06.14 20:05:21
MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] www.9796024.ru2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autoclimat.ru2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autoklimat.ru2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autotavi.ru2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.climatavto.ru2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400
| 26 March 2012PAGE 19 | Мифы и реалии DDoS угрозы
Где установить защиту?
| 26 March 2012PAGE 20 | Kaspersky DDoS Prevention
Kaspersky DDoS Prevention
| 26 March 2012Защита от DDoS-атакPAGE 21 |
ѐ
Без атаки
Во время
атаки
Методы выявления паразитного трафика
PAGE 22 |
Статические - черные/белые списки фильтрации
Статистические – анализ характеристик трафика,
проверка по профилю
Поведенческие – работа со спецификой протокола,
наблюдение за реакций источника запросов на различные
нетиповые ситуации
Сигнатурные - индивидуальные особенности бот-сетей
• Список выявленных IP адресов
• Особенности генерируемых сетевых пакетов
| 26 March 2012Защита от DDoS-атак
Архитектура системы
| 26 March 2012Kaspersky DDoS PreventionPAGE 23 |
Список аномалий на контролируемых ресурсах пользователя
| 26 March 2012Защита от DDoS-атакPAGE 24 |
Текущее состояние ресурса
| 26 March 2012Kaspersky DDoS PreventionPAGE 25 |
Детализация информации по отдельным параметрам
| 26 March 2012Kaspersky DDoS PreventionPAGE 26 |
Отчеты
| 26 March 2012Kaspersky DDoS PreventionPAGE 27 |
Архитектура системы
| 26 March 2012Kaspersky DDoS PreventionPAGE 28 |
Результаты работы системы
| 26 March 2012Kaspersky DDoS PreventionPAGE 29 |
Сертификат качества
Гарантии по времени
обнаружения аномалий и
оповещению
Гарантии по качеству
фильтрации
Гарантии реагирования
| 26 March 2012Kaspersky DDoS PreventionPAGE 30 |
Уровни сотрудничества
PAGE 31 | Kaspersky DDoS Prevention
Тарифный
план
Функционал системы
МониторингРезерв полосы
пропускания
Объем
обеспечения
защиты
Время
хранения
журналов
Предоставление
отчетов
Basic + - - - -
Standart + 2 Гбит/с3 дня в
месяц - -
Advanced + 5 Гбит/с3 дня в
месяц1 год -
Ultimate + 5 Гбит/сБез
ограничений3 года +
| 26 March 2012
Ключевые особенности Kaspersky DDoS Prevention
Защита любых сервисов и приложений
Собственная технологическая платформа
5 лет опыта
Единое решение, не зависящее от текущих поставщиков Интернет-услуг
Глобальная распределенная система фильтрации
Внедрение без инфраструктурных изменений
Мониторинг аномалий в режиме 24х7
Аналитическое сопровождение атаки
PAGE 32 | Kaspersky DDoS Prevention | 26 March 2012
Thank You
Савельев Михаил
Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA