1 / 49

Анатомия и метрология DoS /DDoS

Анатомия и метрология DoS /DDoS. Alexander Lyamin < la@qrator.net >. Почему?. Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории: • Атаки на каналы связи • Атаки на конечные системы . Почему?. Типы DDoS-атак

kanan
Download Presentation

Анатомия и метрология DoS /DDoS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Анатомия и метрологияDoS/DDoS Alexander Lyamin <la@qrator.net>

  2. Почему? Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории:• Атаки на каналы связи• Атаки на конечные системы

  3. Почему? Типы DDoS-атак • Атаки 4-го уровня • –  в основном направлены на канал • (UDP Flood, ICMP Flood) • –  могут быть направлены на исчерпание ограниченного количества соединений, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.) • Атаки 7-го уровня– направлены на ресурс (сервис прикладного уровня)

  4. Почему? HTTP and HTTPS Flood Attacks INTELLIGENT HTTP and HTTPS Attacks ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks • TCP SYN Flood • TCP SYN-ACK Reflection Flood (DRDoS) • TCP Spoofed SYN Flood • TCP ACK Flood • TCP IP Fragmented Attack …sockstressзабыли!

  5. Почему? “Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”

  6. Почему? “Ожидания оправдались в достаточной мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”

  7. Почему ?

  8. … нет (вежливых) слов.

  9. Gbps

  10. Mpps

  11. krps

  12. Botnet size

  13. Экзотичные метрики

  14. Проблема

  15. Как должно быть N-methyl-1-phenylpropan-2-amino N.B. “Yeah! Sc1ence, beatch!” (6aR,9R)- N,N- diethyl- 7-methyl- 4,6,6a,7,8,9- hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide

  16. Решение

  17. Классификация

  18. Канальная емкость PURE. SIMPLE. CONSUMED. BANDWIDTH

  19. Канальная емкость

  20. Инфраструктура сети Fragmentation+Stateful+Routing= Control Plane

  21. Инфраструктура сети

  22. Инфраструктура сети Routing http://radar.qrator.net • (dynamic) Route loops • Prefix hijacking • Amplifiers

  23. Cетевой стек

  24. Сетевой стек Запросы Ответы

  25. Cетевой стек

  26. Cетевой стек

  27. Приложение L7 σημαντικός

  28. Приложение Запросы Ответы

  29. Приложение Ошибки Стоп-лист

  30. Сhangelog • DNS (и другие не-TCP протоколы) • TCP-протоколы для которых мы не являемся endpoint • Умныеenterprise-заказчики • И большие сети с 100+ приложений • Говорящих на 10+ (custom) протоколах

  31. Как сделать мир статистику лучше?

  32. Помнить про эту картинку!

  33. Cтатистика2.0

  34. Статистика 2.0

  35. Канальная емкость 2.0 Чем именно занят канал? Транспортные протоколы Приложения

  36. Cетевая инфраструктура 2.0 Сколько потоков? Какова их динамика? Какие из них наиболее активны?

  37. Сетевой стэк 2.0 TCP Состояния соединений Динамика состояний

  38. Приложение 2.0 Запросы Статика Динамика Самые популярные URL

  39. Приложение 2.0 Ответы Топ-5 ? Топ-10 ? Кластеризация ?

  40. Приложение 2.0 Ошибки 500,501,503,504 Топ ? Кластеризация ?

  41. Приложение 2.0 502 – диагностика пути ?

  42. Идеи закончились. … Вопросы остались.

  43. Приложение 2.0 А что делать с !HTTP ?

  44. Приложение 2.0 А какПРАВИЛЬНО провести сэмплинг поведения ботнета ?

  45. А что такое ботнет? • Множество зараженных • Общность кода • Единый контроль

  46. C нашей точки зрения • Множество адресов • Сходная техника • Общие цели

  47. C нашей точки зрения • DomainID+время первой регистрации • Пересечение по IP • Используемые техники

  48. Более лучше

  49. Вместо заключения

More Related