lyamin ya.roundtable2014
DESCRIPTION
TRANSCRIPT
Взаимодействие операторов
Концепция коллективной безопасности
Цитата
“Почему построили такое ####### - я много раз отвечал, потому что, когда его строили даже и в мыслях не было о возможности существования evil nodes.Все участники сети предполагались кооперативными... За что сейчас и огребаем уже десятилетиями (начав с SMTP, далее везде )И это именно потому произошло, что сеть строили технари для себя. Как только в ней появились другие участники - все стало плохо, сеть для них не была приспособлена по принципу построения.” -- AlterEgo
DDoS классификатор
• Сетевое приложение
DDoS классификатор
• Сетевой стэк конечной системы• Сетевое приложение
DDoS классификатор
• Сетевая инфраструктура• Сетевой стэк конечной системы• Сетевое приложение
DDoS классификатор
• Полоса пропускания• Сетевая инфраструктура• Сетевой стэк конечной системы• Сетевое приложение
2013: Что-то пошло (снова) не так?
+ DNS
2014: Что-то пошло не так?
+ DNS
+ NTP
«Что-то не так» на ближайшие 5 лет…
+ DNS
+ NTP• SNMP• Bittorrent• …любой другой публичный UDP сервис
… как например SIP ?
Ну и традиционные ботнеты никто не отменял…
Цель - сервис.
2012 2013 процент роста 12-13
Магические услуги 132.5 339.3 156%
Правительство 36.4 36.0 -1%
Интернет-магазины 28.7 30.8 7%
Купоны 23.7 49.0 107%
Недвижимость 23.5 50.5 115%
СМИ 22.5 22.7 1%
Биржи и Forex 22.1 117.5 431%
Инфо-услуги 21.0 26.0 24%
Платежные системы 20.9 41.0 97%
Игры и развлечения 19.2 22.6 18%
Сайты-визитки 11.8 16.0 36%
Банки 11.3 14.7 30%
Туристические фирмы 11.1 30.1 170%
Страховые компании 2.8 25.0 798%
Общий итог 24.8 33.3 34%
Пострадавшие
• Клиент оператора
Пострадавшие
• Клиент оператора• Другие клиенты оператора
Пострадавшие
• Клиент оператора• Другие клиенты оператора• Оператор
Пострадавшие
• Клиент оператора• Другие клиенты оператора• Оператор• Поставщик оператора ?
Пострадавший – социум.
(Особенно для Volumetric DDoS)
21
Феодальное мышление ВРЕДНО
22
Что можно сделать?
• Как перестать пропускать spoofed traffic?
23
Что можно сделать?
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?
24
Что можно сделать?
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?• Набор минимально необходимых BGP-
community?
25
Что можно сделать?
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?• Набор минимально необходимых BGP-
community?• Обмен BGP-flowspec?
26
Что можно сделать?
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?• Набор минимально необходимых BGP-
community?• Обмен BGP-flowspec?• Чистка сетей от амплификаторов?
27
Чем можем помочь?
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?• Набор минимально необходимых BGP-
community?• Обмен BGP-flowspec?• Чистка сетей от амплификаторов?
Чем может помочь Qrator Radar?
AS Relations Security Issues
Security Issues
30
На горизонте
• Все другие известные DDoS Amplifires
• Drop detection• API
31
Чем может помочь Yandex
• Laboratory/Testbed• Best practices• Whatever…
32
Но как именно – решит только Community
• Как перестать пропускать spoofed traffic?• Как быть с multihomed-AS ?• Набор минимально необходимых BGP-
community?• Обмен BGP-flowspec?• Чистка сетей от амплификаторов?