1 / 64

Ключевые аспекты DDoS атак Технология Kaspersky DDoS prevention

Ключевые аспекты DDoS атак Технология Kaspersky DDoS prevention. Малышев Игорь. Региональный представитель ЗАО «Лаборатория Касперского» в ЮФО и СКФО. Введение в проблематику DDoS. Основная проблема – криминализация области IT. Кражи Мошенничество Вымогательство Конкурентная борьба

franz
Download Presentation

Ключевые аспекты DDoS атак Технология Kaspersky DDoS prevention

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ключевые аспекты DDoSатак • ТехнологияKaspersky DDoS prevention Малышев Игорь Региональный представитель ЗАО «Лаборатория Касперского» в ЮФО и СКФО

  2. Введение в проблематику DDoS

  3. Основная проблема – криминализация области IT Кражи Мошенничество Вымогательство Конкурентная борьба Прикрытие других атак Кибертерроризм Месть Выражения недовольства

  4. Определение Атака на отказ вОбслуживании (DDoS-атака, от англ. DistributedDenial of Service) - - атака насетевые ресурсы и сервисы с цельюприостановления их деятельности и/или затруднения доступа к ним

  5. Как это делается ? Центры управления bot-сетями Компьютеры, зараженный bot-вирусами

  6. Способы заработка на ботнетах

  7. Классификация DDoS атак

  8. КЛАССИФИКАЦИЯ DDOS АТАК По мотиву Конкурентная борьба Вымогательство Месть Выражения недовольства Привлечение чьего либо внимания Путем PR события, особенно, если кто-то возьмет на себя ответственность Путем атаки собственного ресурса для PR этого события Демонстрация возможностей Кибертерроризм … Прикрытие других атак или противоправных действий (тестирвоаниестрессоустойчивости сервиса)

  9. КЛАССИФИКАЦИЯ DDOS АТАК По источнику атак

  10. КЛАССИФИКАЦИЯ DDOS АТАК По пути атаки

  11. КЛАССИФИКАЦИЯ DDOS АТАК По целеуказанию DNS имя IP-адрес По цели Атаки, направленные на заполнение полосы пропускания Атаки, направленные на исчерпание ресурсов атакуемого сервиса Исчерпание ресурсов операционной системы Исчерпание ресурсов приложения Комплексные атаки (например, атака в рамках легитимного протокола и заполняет канал, и может вызвать исчерпание ресурсов) По использованию операции подмены адреса С подменой адреса отправителя пакета Без подмены адреса отправителя пакета

  12. По способу реализации Нелегитимный трафик на невостребованный протокол и/или порт Лавинные атаки на целевой сервис в рамках легитимных протоколов По используемым сетевым протоколам

  13. Реальные примеры DDoS атак

  14. Распределение DDoS атак по секторам экономики

  15. Письма счастья Добрый день! Сегодня - ДД.ММ.ГГ в ЧЧ:ММ Ваш сайт будет подвергнут ддос атаке. Если хотите, что бы Ваш сайт работал, оплатите 30 000 рублей на Яндекс кошелек 4…….1. В форме платежа, в примечании напишите адрес сайта. Чем раньше ВЫ произведете оплату, тем быстрее Ваш сайт заработает. Сейчас атака будет показательная и не очень сильна, т.к. не получится, мы имеем возможность усилить атаку до такой степени, что не справится никто! От атаки в 70 000 русских ботов нет защиты! Не нужно отвечать на это письмо, эту почту никто не читает. Мы будем проверять кошелек 4……….1 и как только там появится 30 000р. от Вас, атака остановится.

  16. Прикрытие несанкционированных финансовых транзакций Кража пароля к клиент-банку Перевод денежных средств на счета злоумышленников DDOS атака на сайт Клиент-банка не дать возможность обнаружить транзкцию не дать возможность заблокировать операции Распыление денежных средств по счетам злоумышленников Снятие денег в банкоматах в регионах России

  17. Примеры 10 февраля 2010 ! В Интернете прошла операция Titstorm в знак протеста против ужесточения интернет-цензуры в Австралии. Сайт парламента страны (www.aph.gov.au) был недоступен утром около часа, сообщает Reuters. Пострадал от DDoS-атаки и сайт австралийского министерства связи и электронной экономики (www.dbcde.gov.au). 17 января 2010 ! На сайт Украинского Национального экзит-пола была совершена хакерская атака. ! Пресс-служба Партии регионов Украины заявила о DDoS-атаке на сайт лидера партии, кандидата в президенты Виктора Януковича. Атака началась в ночь с 17 на 18 января примерно в 23:30.

  18. Примеры 23 декабря 2009 ! вечером в течение часа ряд крупных веб-ресурсов США, включая Amazon, были недоступны для пользователей. Как вскоре выяснилось, причиной этому послужила DDoS-атака на DNS-провайдера UltraDNS, сообщает CNET News. 17 декабря 2009 года ! Помимо DDoS-атаки на сайт "Ведомости", под удар попали DNS-сервера издательского дома IndependentMedia. В связи с этим пропал Интернет в офисе "Ведомостей" 16 декабря 2009 года ! DDoS -атаки на газету "Ведомости" 26 августа 2009 года ! Пресс-служба компании Imena.UA, крупнейшего регистратора доменных имён Украины, распространила сообщение о том, что недавно была зафиксирована самая крупная внутриукраинская DDoS-атака "за всю историю Уанета". Атака проводилась и была направлена на автономную систему Imena.UA/MiroHost.net.

  19. Пара интересных фактов

  20. Средняя мощность 250 Мбит/с

  21. Насколько все серьезно

  22. В чем основная проблема? Спам-аналитики «Лаборатории Касперского» зафиксировали спам-рассылку следующего содержания: DDoS СервисНачали давить конкуренты?Кто-то мешает Вашему бизнесу?Нужно вывести из строя сайт "противника"?Мы готовы решить вашу делемму.Мы предлагаем услугу по устранению нежеланных для вас сайтов.Ботнет постоянно увеличивается!Наши боты находятся в разных часовых поясах, что позволяет держатьпостоянно в онлайнечисленную армию ботов, и в отличии от других сервисов - нашу атакунельзя закрыть по стране!Цены:1 час - 20$Cутки от 100$Крупные проекты - от 200$ в зависимости от сложности заказа.Делаем тест на 15 минут бесплатно! 1 час - 20$Cутки от 100$ Средства атак доступны и дешевы !!!

  23. В Сети обнаружен сайт, торгующий огромным ассортиментом вредоносных ботов В мае была обнаружила сеть, в которой продаются боты, специализирующиеся на социальных сетях и системах электронной почты, включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, Friendster, Gmail и Yahoo. К каждому боту прилагается объяснение цели создания данного бота: одновременное создание многочисленных аккаунтов в социальных сетях; кража персональных данных, друзей, поклонников и контактов; автоматическая отправка сообщений Сбор идентификаторов Отправка запросов на добавление в друзья Оставление сообщений и автоматических комментариев. Самый дешевый бот стоит от 95$, самый дорогой - 225$. Весь каталог ботов можно приобрести за 4500$. Создатели гарантируют, что ни одно решение безопасности не сможет обнаружить этих ботов.

  24. Мир Ботнетов Профессионалы 10% Сообщество 30% $5 000 Потребительский DDoS 60% $100 Мотивированныепрофессионалы Вооружены новейшиминструментарием Могут оплатитьмощнейшую атаку

  25. Поднаготная атак

  26. Схема организации атаки Программист Специалист по заражению Поиск уязвимостей Исполнитель Заказчик Жертва

  27. Стадии создания ботнета Создание вредоносного ПО Создание кода под заказ Покупка существующего кода Использование доступного инструментария для конструирования Создание/использование канала заражения Покупка загрузок бота Создание собственного канала Наличие центров управления Использование доступного инструментария Аренда абузоустойчивогохостинга

  28. Создание канала заражения Пункты раздачи вредоносного ПО (само тело или руткит) Взломанные сервера Распределение Трафика (например - географическое) Кража паролей к различнымсайтам (доступ по FTP), нахождение иных уязвимостей Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика Завлечение пользователей на взломанные сайты

  29. Хакеры инфицировали сайт крупной израильской газеты JerusalemPost вредоносным ПО Как отмечают эксперты, хакеры встроили опасные скрипты непосредственно в код сайта, а не в стороннюю рекламу, как это чаще всего бывает. В итоге они получили возможность распространять через сайт известной газеты вирусы для компьютеров под управлением ОС Windows..

  30. Сайты государственного казначейства США инфицируют компьютеры посетителей вредоносным ПО Веб-сайты, принадлежащие Государственному казначейству США, перенаправляют пользователей на сторонние ресурсы, которые, в свою очередь, пытаются установить на компьютеры посетителей вредоносные программы.

  31. Деблокер «Лаборатории Касперского» посетили пять миллионов раз Стоит отметить, что эти данные относятся к деблокеру на странице www.kaspersky.ru, однако сервис «Лаборатории Касперского» работает удаленно и на ряде других сайтов, поэтому общее количество посещений приближается к отметке в 10.000.000. На данный момент ежедневно появляется более сотни новых блокеров

  32. Провайдер Orange предоставил клиентам уязвимую антипиратскую программу Интернет-провайдер Orange предложил своим пользователям программу, блокирующую незаконный файлообмен, однако брешь в этой системе открыла компьютеры всех подписчиков услуги для злоумышленников. Выяснилось, что административный интерфейс системы доступен по логину "admin" с аналогичным паролем. По некоторым данным, при желании злоумышленник может модифицировать приложение и инфицировать компьютеры пользователей услуги вредоносным программным обеспечением.

  33. Уровень заражения В четвертом квартале 2009 года было инфицировано в общей сложности 5,5 миллионов веб-страниц, располагавшихся более чем на 560 тысячах сайтов. Основная тенденция последних месяцев – написание злоумышленниками менее заметных эксплоитов. По состоянию на конец года в среднем на компьютер жертвы устанавливалось 2,8 вредоносной программы По данным опубликованному калифорнийской компанией Dasient отчету за четвертый квартал 2009 года

  34. Еще примеры По материалам сайтов http://webplanet.ru http://www.xakep.ru Эпидемия сетевого червя Net-Worm.Win32.Kido (Conficker, Downadup)в 1-м кавартале 2009 года ~5’000’000 заражённых компьютеров. С апреля 2009 года червь содержит функциолналBotNet Десятки миллионов персональных компьютеров в США являются жертвами ложных антивирусов (rogueware), которые не только не защищают пользователя от вредоносных атак, но и делают компьютер более уязвимым для проникновения другого зловредного ПО. В течение последнего года такие приложения были скачаны доверчивыми пользователями около 43 млн. раз.

  35. Еще примеры По материалам сайта Вебпланета http://webplanet.ru Одна из моделей маршрутизаторов, которые устанавливает своим клиентам американский провайдер Road Runner High Speed Online, содержит серьёзную уязвимость, позволяющую атакующему легко получить доступ к меню администратора этого устройства. Модель SMC8014 стоит примерно у 65-67 тысяч человек. Ботнетостроитель Net-Worm.Linux.Psyb0t.a (~80’000 заражённых компьютеров) Атакует сетевое оборудование под управлением ОС Linux (уязвимые домашние маршрутизаторы и DSL-модемы на процессорах MIPS) В феврале 2010 года Исследователи из университета имени Масарика, обнаружили новый ботнет, который инфицирует плохо настроенные роутеры и DSL-модемы (ботнет Чак Нориса).

  36. И социальная инженерия … По материалам сайтов http://webplanet.ru http://www.xakep.ru Пользователям Mac OS X, соблазнившимся пиратским ПО, угрожает неприятность в виде нового трояна, предупреждает антивирусная компания Intego. Вредоносная программа OSX.Trojan.iServices.A идёт в качестве нагрузки к гуляющему по торрент-сетям дистрибутиву офисного пакета iWork '09. По состоянию на 21 января дистрибутив iWork '09 с сюрпризом скачало с торрентов уже по крайней мере 20 000 любителей халявы. Точной информации о том, сколько из них запустили инсталляцию офисного пакета и, соответственно, заразили свои компьютеры, нет, но можно смело предположить, что таких подавляющее большинство. Silent Hunter 5 кишит руткитами Игроки, ищущие в Сети взломанные копии игр, рискуют загрузить вместе с ними целый коктейль вредоносных приложений. Лаборатория PandaLabs сообщила о появлении нового червя FTLog.A, который распространяется через популярный веб-сайт социальной сети Fotolog. На этом портале размещают фотографии более 30 миллионов пользователей по всему миру.

  37. Тенденции Интеллектуальные боты Переход количества в качество (за счет качества бота) Прыгающие управляющие центры, текстовые центры (например, через Твиттер) …

  38. Kaspersky DDoS Prevention

  39. Мы хотим защитить мир от Киберугроз Мы дарим спокойствие и уверенность в защищенности своих ресурсов Ваши ресурсы будут всегда доступны легальным пользователям, т.е. Ваш бизнес будет нормально работать в сети Вы не станете объектами шантажа со стороны кибер-преступников

  40. Техническая суть Без атаки Во время атаки

  41. Базис услуги Команда, профессионально занимающаяся защитой от DDOS Мощная, распределенная система очистки Аналитический центр, работающий в режиме 24/7 Уникальные технология выявления BOT-сетей по статистическим и поведенческим признакам Мы антивирусная компания

  42. Архитектура системы

  43. Критерии фильтрации Статистические Основа – вычисленные параметры поведения типового пользователя Статические Черные/белые списки фильтрации Поведенческие Основа – умение работать в соответствии со спецификацией протокола Сигнатурные Индивидуальные особенности Ботнета Список выявленных IP адресов Особенности генерируемых сетевых пакетов Работа

  44. Архитектура системы

  45. Выявление аномалий Профиль обнаружения аномалий — совокупность пороговых значений некоторой величины, описывающих нормальный трафик ресурса. Состоит из следующих полей: день недели час пороговое значение множитель порогового значения указатель направления пересечения порогового значения

  46. Основной экран пользователя

  47. Дополнительно: соотношение протоколов НОРМА Пример аномалии

  48. Форма просмотра детальной информации по контролируемому параметру

  49. Архитектура системы

  50. Профиль фильтрации ВСЕГО БОЛЕЕ 40 ПАРАМЕТРОВ!!! Профиль фильтрации — совокупность пороговых значений описывающих пользователя ресурса Клиента. Предназначен для выявления в массе пользователей тех, чьи параметры трафика существенно отличаются от расчетного нормального трафика пользователя ресурса. Профиль фильтрации рассчитывается индивидуально для ресурса Клиента. Профиль фильтрации ресурса Клиента представляет собой совокупность следующих пороговых значений, например: полученные пакеты в секунду; полученные байты в секунду; отправленные пакеты в секунду; отправленные байты в секунду; полученные TCP-пакеты с единственным установленным флагом «SYN» в секунду.

More Related