Lyamin press2015

DDoS – кто

следующий ?

Alexander Lyamin

<la@qrator.net>

Факты и цифры

WWW.QRATOR.NET

2014 2013

Нейтрализовано атак: 9 519↑ 6 732↑

Среднее атак в день: 28↑ 18↑

Макс. в день: 135↓ 151↑

Средний ботнет: 1 962↑ 1 540↓

Макс. ботнет: 420 489↑ 281 060↑

Сред. время, часы: 7↓ 9↓

Макс. время, дни: 122↑ 23↓

Spoofed атак: 62,12%↑ 58,45%↑

Атак более 1Gbps: 5,47%↑ 2,58%↓

Атак более 10Gbps: 2,72%↑ 0,70%↓

Атак более 100Gbps: 1,32%↑ 0,10%↑

2014 в гигабитах* — феноменально!

WWW.QRATOR.NET

*усреднено на интервале 24 часа

100+ Gbps в абсолюте

WWW.QRATOR.NET

2014 2013

Нейтрализовано атак: 9 519↑ 6 732↑

Среднее атак в день: 28↑ 18↑

Макс. в день: 135↓ 151↑

Средний ботнет: 1 962↑ 1 540↓

Макс. ботнет: 420 489↑ 281 060↑

Сред. время, часы: 7↓ 9↓

Макс. время, дни: 122↑ 23↓

Spoofed атак: 5 913↑ 3935↑

Атак более 1Gbps: 521↑ 174↓

Атак более 10Gbps: 259↑ 47↓

Атак более 100Gbps: 126↑ 7↑

Пять проблем, одна семья

User Datagram Protocol

• DNS

• NTP

• SSDP

• SNMP

• Chargen

WWW.QRATOR.NET

Замерим

А как в меняется интегральная сумма амплификаторов «проблемных»

протоколов в IPv4 адресном пространстве?

WWW.QRATOR.NET

Замерим – сумма множителей

WWW.QRATOR.NET

0.00E+00

2.00E+08

4.00E+08

6.00E+08

8.00E+08

1.00E+09

1.20E+09

1.40E+09

1.60E+09

1.80E+09

2014-06-01 2014-07-01 2014-08-01 2014-09-01 2014-10-01 2014-11-01 2014-12-01 2015-01-01 2015-02-01

Chargen

NTP

DNS

SNMP

SSDP

Total

Амплификаторы — дело закрыто?

WWW.QRATOR.NET

Что дальше?

WWW.QRATOR.NET

Р а з м е р

б о т н е т а

Исчерпание канальной емкости 1 0 0 k +

Инфраструктура сети 10k+

Сетевой стек системы 1k+

Приложение 100+

Здесь живут Amplification

WWW.QRATOR.NET

Р а з м е р

б о т н е т а

Исчерпание канальной емкости 1 0 0 k +

Инфраструктура сети 10k+

Сетевой стек системы 1k+

Приложение 100+

Здесь живут ботнеты

WWW.QRATOR.NET

Р а з м е р

б о т н е т а

Исчерпание канальной емкости 1 0 0 k +

Инфраструктура сети 10k+

Сетевой стек системы 1k+

Приложение 100+

А здесь живут драконы…

WWW.QRATOR.NET

Р а з м е р

б о т н е т а

Исчерпание канальной емкости 1 0 0 k +

Инфраструктура сети 10k+

Сетевой стек системы 1k+

Приложение 100+

Примеры

WWW.QRATOR.NET

Крупнейший оператор Европы. Несколько часов даунтайма для сотен тысяч пользователей в Стокгольме.

“DDoS of unprecedented scale stops Sweeden working”

-- Zdnet

Один крупнейших провайдеров услуг Managed DNS поддерживающий миллионы доменных имен.

“The volume of the attack was approximately 25gb/s sustained traffic across our networks, with around 50 million packets per second. In this case, the traffic was sufficient enough to overwhelm the 4 DDoS devices we had placed in our data centers after a previous attack.”

-- DNS Simple

А здесь живут драконы…

WWW.QRATOR.NET

• SNMP

• TELNET

• SSH

• NETCONF

• Протоколы маршрутизации

Пример

WWW.QRATOR.NET

inetnum: 188.44.56.0 - 188.44.63.255

netname: dorm

descr: Lomonosov Moscow State University

descr: Hostel network, GZ-B,V

country: RU

admin-c: MSU-RIPE

tech-c: MSU-RIPE

status: ASSIGNED PA

mnt-by: MSU-MNT

source: RIPE # Filtered

Пример: норма

WWW.QRATOR.NET

traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets

1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms

2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms

3 router.transtelecom.net (193.232.245.177) 0.209 ms * *

4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms

5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms

6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms

7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms

8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms

9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms

[dd]

Пакет достиг университетской сети.

Пример: аномалия

WWW.QRATOR.NET

traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets

1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms

2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms

3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms

4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms

5 * * *

6 * * *

7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms

8 * * *

9 * * *

[dd]

… дальше было много транс-атлантики.

Решение для будущих вызовов

WWW.QRATOR.NET

2014 – в двух столбцах

Уязвимости

• Heartbleed

• Shellshock

• GHOST

Инструментарий

• Intel DPDK

• PF_RING/DNA

• Netmap

WWW.QRATOR.NET

2015?

WWW.QRATOR.NET

• Злоумышленники получили контроль над большим

количеством хорошо присоединенного оборудования.

• Потенциал для DDoS-атак: 100 миллионов пакетов в

секунду – легко.

Тут к ботнетам подселили

трафик-генераторы

WWW.QRATOR.NET

Р а з м е р

б о т н е т а

Исчерпание канальной емкости 1 0 0 k +

Инфраструктура сети 10k+

Сетевой стек системы 1k+

Приложение 100+

Чему же мы научились?

WWW.QRATOR.NET

Спасибо за

внимание.