Upload
positive-hack-days
View
2.925
Download
2
Embed Size (px)
DESCRIPTION
Отказ в обслуживании - оружие массового поражения? Стоит ли овчинка выделки? Сколько стоит защита от DDoS? Расследование DDoS. Теория и опыт.
Citation preview
| 13 April 2023Доступ запрещенPAGE 1 |
ДОСТУП ЗАПРЕЩЕН
Сегодня в программе
DDoS – реальность или миф?
Врага надо знать в лицо: погружение в DDoS
Пуля и броня – мы их или они нас
Когда атака – не атака?
На защитника надейся, а сам не плошай
Ищут пожарные, ищет милиция…
| 13 April 2023Доступ запрещенPAGE 3 |
DDoS – реальность или миф?
Определение
| 13 April 2023PAGE 5 | Доступ запрещен
DoS-атака
Материал из Википедии — свободной энциклопедии
DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
Если атака выполняется одновременно с большого числа компьютеров, говорят о
DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»).
Насколько это актуально
DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (Web Hacking Incident Database).
| 13 April 2023PAGE 6 | Доступ запрещен
Насколько это актуально
По материалам отчета Arbor Networks
| 13 April 2023Доступ запрещенPAGE 7 |
Заголовки новостных лент
Хакеры атаковали сайты 40 министерств Южной Кореи
Хакеры организовали DDoS-атаку на сайт "Единой России"
LiveJournal подвергся массированной DDoS атаке
Хакеры устроили мощную DDoS-атаку на WordPress
| 13 April 2023Доступ запрещенPAGE 8 |
| 13 April 2023Мифы и реалии
DDoS-угрозыPAGE 8 |
| 13 April 2023Доступ запрещенPAGE 9 |
Распределение атак
| 13 April 2023Доступ запрещенPAGE 10 |
Интернет-торговля
Игровые сайты
Банки, торговые площадки
Прочее
Платежные шлюзы
Порносайты
Блоги и форумы
СМИ
Прочие бизнес-сайты
Интернет-торговля ТОП
Государственные ресурсы
На что направлены атаки
| 13 April 2023Доступ запрещенPAGE 11 |
По материалам отчета Arbor Networks
И при чем тут я??
Простой сервиса (продажи, показы рекламы), и, как результат, убыток
Вымогательство
Недовольство клиентов
Недовольство контрагентов
Срыв бизнес процессов (от почты до банкоматов)
Отвлечение от главного (хищения)
Прямой ущерб (торговые площадки)
| 13 April 2023Доступ запрещенPAGE 12 |
Пример воздействия на рынки
| 13 April 2023Доступ запрещенPAGE 13 |
Европа
Турция / Греция
Россия
Стоимость тура
Тенденции
| 13 April 2023Доступ запрещенPAGE 14 |
Цель 2009 2010
Банки 42+(не 1 раз)
69+
Страховые компании
0 4
Торговые площадки
1 8+
Риторические вопросы
| 13 April 2023Доступ запрещенPAGE 15 |
Почему это происходит?
Что теперь делать?
Как можно защитится?
Подробнее об атаках
Классическая схема организации атаки
| 13 April 2023Доступ запрещенPAGE 17 |
На что направлены атаки
| 13 April 2023Доступ запрещенPAGE 18 |
Исчерпание полосы пропускания
Исчерпание мощностей коммутационного оборудования
Исчерпание вычислительных мощностей• Исчерпание мощностей операционной
системы• Исчерпание мощностей приложения
Комплексные атаки
Приложение
ОС
Полоса пропускания
Вычислительные мощности
Почему это получается
| 13 April 2023PAGE 19 | Доступ запрещен
Есть чего пугаться
| 13 April 2023Доступ запрещенPAGE 20 |
По материалам отчета Arbor Networks
Один из мифов про DDoS
ЗАЧЕМ СТОЛЬКО, ЕСЛИ
Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с
Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с
Приложение способно обработать всего 4 запроса в секунду
| 13 April 2023Доступ запрещенPAGE 21 |
Один из мифов про DDoS
| 13 April 2023Доступ запрещенPAGE 22 |
менее 50 50-100 100-200 200-300 300-400 400-500 более 5000
10
20
30
40
50
60
Средняя скорость – около 300 Мбит/с
Эволюция
2008
2011
| 13 April 2023Доступ запрещенPAGE 23 |
HTTP Flood SYN FloodICMP Flood UDP Flood TCP Data Flood
HTTP FloodSYN FloodUDP FloodICMP FloodTCP DATA flood
Врага надо знать в лицо
Откуда что пошло
| 13 April 2023Доступ запрещенPAGE 25 |
Монетизация
| 13 April 2023Доступ запрещенPAGE 26 |
Зачем это делаетсяМатериальный аспект
| 13 April 2023Доступ запрещенPAGE 27 |
Теневые бизнесы вокруг DDoS
Продажа софта
Заказные атаки
«Загрузки» ПО
Сдача сетей в аренду
Вымогательство
| 13 April 2023Доступ запрещенPAGE 28 |
Что надо для DDoS Атаки?
Нужен софт = нужен программист
ВИДЫ СОФТА
«Паблик»• Это устаревшие версии• Билдер и админка находятся в общем
доступе• Код не поддерживается• Возможно детектирование
«Закрытый»• Новый функционал (меньше ботов)
• Авторское сопровождение
| 13 April 2023Доступ запрещенPAGE 30 |
Реальные примеры
| 20 апреля 2011Эффективное противодействие DDoS атакамPAGE 31 |
Реальные примеры
| 20 апреля 2011Эффективное противодействие DDoS атакамPAGE 32 |
Реальные примеры
| 20 апреля 2011Эффективное противодействие DDoS атакамPAGE 33 |
Реальные примеры
| 13 April 2023Доступ запрещенPAGE 34 |
Реальные примеры
| 13 April 2023Доступ запрещенPAGE 35 |
Реальные примеры
| 13 April 2023Доступ запрещенPAGE 36 |
Компоненты софта
| 13 April 2023Доступ запрещенPAGE 37 |
Компоненты ботнета
Панель администрирования
Билдер• Бот должен знать свой CC• Бот должен знать период опроса
(управляется в дальнейшем)• Бот должен иметь идентификатор
(исключает повторное заражение)• Бот должен иметь метку(контроль
загрузки)
Что надо для DDoS Атаки?
Нужен софт = нужен программист Нужна админка – нужен хостинг
Схема организации управления ботнетом
| 13 April 2023Доступ запрещенPAGE 39 |
Покупка софта
| 13 April 2023Доступ запрещенPAGE 40 |
| 13 April 2023Доступ запрещенPAGE 41 |
Пример комплексной атаки
| 13 April 2023Доступ запрещенPAGE 42 |
IP АДРЕСА
ПАКЕТЫ
ОБЪЕМ ДАННЫХ
Пример комплексной атаки
| 13 April 2023Доступ запрещенPAGE 43 |
Что надо для DDoS Атаки?
Нужен софт = нужен программист
| 13 April 2023Доступ запрещенPAGE 44 |
Нужны боты = нужен специалист по заражению
Нужна админка – нужен хостинг
| 13 April 2023Доступ запрещенPAGE 45 |
| 13 April 2023Доступ запрещенPAGE 46 |
| 13 April 2023Доступ запрещенPAGE 47 |
| 13 April 2023Доступ запрещенPAGE 48 |
Откуда что берется
Кража паролей к различным сайтам (доступ по FTP), нахождение иных уязвимостей
Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика
Завлечение пользователей на взломанные сайты
| 13 April 2023Доступ запрещенPAGE 49 |
Взломанные
сервера
Распределение
Трафика
(например - географическое)
Пункты раздачи
вредоносного ПО
(само тело или руткит)
Сколько ботов покупать
30 ботов загружают форум средней посещаемости
300 ботов - средний сайт
1000 ботов - крупный сайт
5000 кластер с сайтом, даже при использовании анти ддос, блокировки и прочих приблуд.
15-20 тысяч ботов, теоретически могут уложить "вконтакте.ру"
| 13 April 2023Доступ запрещенPAGE 50 |
Типовая сеть для заказного DDoS - 2000 – 3000 ботов
«Профи» - 20 000 – 30 000 ботов
Арифметика загрузки
Процент отклика: 12 %
Процент ботов на связи: 15%
Для 1000 постоянно активных ботов – необходимо
55 000 реальных загрузок
Надо купить – 500 000 загрузок
На хорошем потоке – до 100 000 уникальных IP в день
| 13 April 2023Доступ запрещенPAGE 51 |
После покупки загрузки
| 13 April 2023Доступ запрещенPAGE 52 |
Первый сеанс связи
Доложиться о процессе заражения (прислать метку)
Доложиться о своем окружении
Получить идентификатор (в дальнейшем – основа управления)
Протокол общения
Первые боты общались по HTTP
HTTP/1.1 200 OK
Date: DAY, DD MMM YYYY HH:MM:SS GMT
Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 PHP/5.2.3
mod_ssl/2.0.59 OpenSSL/0.9.7e-p1
X-Powered-By: PHP/5.2.3
Content-Length: 80
Connection: close
Content-Type: text/html
MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3dhaXQjMTAjeENSMl8yN
Все последующие – используют шифрование
| 13 April 2023Доступ запрещенPAGE 53 |
| 13 April 2023Доступ запрещенPAGE 54 |
| 13 April 2023Доступ запрещенPAGE 55 |
Что надо для DDoS Атаки?
Осталось найти заказчика
| 13 April 2023Доступ запрещенPAGE 56 |
Нужны боты = нужен специалист по заражению
Нужна админка – нужен хостинг
| 13 April 2023Доступ запрещенPAGE 57 |
Диалог по заказу
Алиса: Ку
Алиса: нужен дос
Алиса: прием
ВОВ: да
ВОВ: покажите сайт
Алиса: ---------.ru
ВОВ: на какой срок?
Алиса: 12 часов
Алиса: если все ровно продлим
ВОВ: ещё на 12?))
Алиса: посмотрим
Алиса: не хочу попусту болтать
Алиса: все меняется, обещания дорогого стоят
ВОВ: 50$ за 12 часов
Алиса: тест?
ВОВ: цена норм?
Алиса: почему нет, если качественно исполняешь
ВОВ: видишь тест?
Алиса: когда стартовал?
ВОВ: сейчас
Алиса: 16-20?
Алиса: тест минут 15?
ВОВ: 10 думаю хватит
Алиса: ну ок смотрим
| 13 April 2023Доступ запрещенPAGE 58 |
Диалог по заказу
ВОВ: da
ВОВ: ddos nyhen ?
ВОВ: ssulky na sait dai
ВОВ: skagu cenu za sutki
Алиса: ------.ru
ВОВ: sek
ВОВ: skagu
ВОВ: vu tyt >? ya test sdelay posmotrite
Алиса: ataka nuzna utrom
Алиса: v 11-00
ВОВ: proverte
ВОВ: sait sei4as
ВОВ: eto test
ВОВ: 4tobu vu posmotreli
ВОВ: proverili?
ВОВ: yge prosnuls9 sait
ВОВ: skolko vu plotite za sutki ataki ? WMZ
Алиса: ego ne smogli polozit segodna
ВОВ: nu ya smog
Алиса: davai koshelok i nachinai ataku v 11-00
ВОВ: wac plotish?
Алиса: da
Алиса: 50%
Алиса: 50% posle nachala ataki v 11-00
ВОВ: skolko plotit bydew v sutki
ВОВ: nu na4nem v 11
Алиса: ti mne skazi
ВОВ: 150 wmz za sutki
| 13 April 2023Доступ запрещенPAGE 59 |
Как выглядит тест
| 13 April 2023Доступ запрещенPAGE 60 |
Ботнет – это навсегда?
Проблемы сохранения сети• Регулярное перекриптование бота• Abuse-устойчивость хостинга СС
Возобновление сети
В день атаки ботнет может терять до 25% своих членов
| 13 April 2023Доступ запрещенPAGE 61 |
И так сколько же это все стоит
Ну давай считать:
софт – от 600 у.е. разово
Загрузки – 2000 у.е. разово
Нагон ботов – от 100 у.е. в день по необходимости
Перекриптование ботов – раз в 2-3 дня – 20$ - 200$ в месяц
Атака – от $100 - 150 в сутки
Окупаемость – от 30 атак| 13 April 2023Доступ запрещенPAGE 62 |
Что умеет бот
| 13 April 2023Доступ запрещенPAGE 63 |
Выполнить команду на атаку
Модифицировать параметры атаки
Изменить частоту опроса СС
Изменить СС
Загрузить обновление/модуль
Удалить себя с компьютера жертвы
Упраление модулями:
Красть пароли и т.п.
Врага надо знать в лицоОБЗОР СОФТА
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 65 |
Семейство Black Energy 2007 годArchive: BlackEnergy DDoS Bot.zipLength Date Time Name-------- ---- ---- ----0 09-30-07 07:58 BlackEnergy DDoS Bot/0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe-------- -------191489 17 files
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 66 |
Семейство Black Energy 2007 годArchive: BlackEnergy DDoS Bot.zipLength Date Time Name-------- ---- ---- ----0 09-30-07 07:58 BlackEnergy DDoS Bot/0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe-------- -------191489 17 files
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 67 |
Семейство Black Energy 2007 год
Семейство Black Energy 2 2008 годШифрованный обмен данными,
модульная структура (в т.ч. Плагин эмуляции браузера)
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 68 |
Семейство Black Energy 2007 год
Семейство Black Energy 2 2008 год
RussKill 2009 год
многопоточность
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 69 |
Семейство Black Energy 2007 год
Семейство Black Energy 2 2008 год
RussKill 2009 год
DirtJumper - новое название последующих версий RussKill 2010 год
Появляются возможности атак методом POST
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 70 |
Семейство Black Energy 2007 год
Семейство Black Energy 2 2008 год
RussKill 2009 год
DirtJumper - новое название последующих версий RussKill 2010 год
DDoS-Engeneer 2010 год
G-bot,G-Bot aka Piranha 2010 год
Optima он же Darkness, G-Bot, изначально – 2008 год
Какой же есть софт
| 13 April 2023Доступ запрещенPAGE 71 |
| 13 April 2023Доступ запрещенPAGE 72 |
Какие атаки генерируют боты?
SYN-Flood - множество BOT-ов направляют на атакуемый узел большое количество запросов на установление соединений. При этом на атакуемом сервере через короткое время исчерпывается количество возможных соединений и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – т.е. в прекращении взаимодействия в процессе установления соединения, или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию.
UDP-Flood - затопление канала жертвы большим количеством «больших» UDP- пакетов. UDP протокол более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер перестаёт отвечать.
| 13 April 2023Доступ запрещенPAGE 73 |
Какие атаки генерируют боты?
ICMP Flood или Ping Flood – затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом, атакуемая система должна ответить на каждый такой запрос/пакет, тем самым с одной стороны создаётся большое количество ответных пакетов, которые снижают производительность (пропускную способность) канала, а с другой стороны загружаются ресурсы сервера.
HTTP flood - Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами.
Downloading flood - позволяет забить канал жертвы трафиком.Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема.
POST/GET flood – вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Например, это могу быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых и т.п. запросов, что вызывает нагрузку на сервер приложений и базы данных.
| 13 April 2023Доступ запрещенPAGE 74 |
Какие атаки генерируют боты?
| 13 April 2023Доступ запрещенPAGE 75 |
Slowloris – Исчерпание лимита HTTP или TCP соединений за счет открытия и удержания сессии на границе таймаутов за счет очень низкой активности в рамках соединения
ПодверженыApache 1.x Apache 2.x dhttpd
GoAhead WebServer
УстойчивыIIS6.0 IIS7.0 lighttpd Squid nginx CherokeeNetscaler Cisco CSS
slowloris
| 13 April 2023Доступ запрещенPAGE 76 |
Какие атаки генерируют боты?
| 13 April 2023Доступ запрещенPAGE 77 |
Lowrate, ddoslimit – Исчерпание лимита соединений за счет открытия небольшого числа соединений с большого количества ботов.
Более 1 500 000 IP в блок-листах
Бот выходит на связь 1 раз в 2 часа при постоянном потоке в 2000 адресов в минуту
О подготовке к атаке
Исследование ресурса
Исследование возможностей защиты
| 13 April 2023Доступ запрещенPAGE 78 |
Еще о неприятных тенденциях
| 13 April 2023DDoS-атаки как средство кибертерроризмаPAGE 79 |
Тип Преимущества метода Недостатки метода
Персональные компьютеры
Слабо защищены, есть методы массового заражения
Компьютеры пользователей работают по слабо предсказуемому графику, следовательно, для поддержания постоянной мощности необходимо достаточно большое количество зараженных машин
Сервера
Постоянно включенные производительные компьютеры , подключенные к сети по широким каналам
Коммутационное оборудование
Огромное количество устройств с типовыми уязвимостями, постоянная подключенность к каналам связи
Малая функциональность устройств
Комплексные атаки Используются сразу несколько ботнетов
Мы их или они нас?
По деньгам – они… защита стоит на порядок дороже
Правда- за нами!
Защита - заставляет DDoS–еров возвращать деньги
| 13 April 2023Доступ запрещенPAGE 81 |
Недостатки типовых методов защиты
Межсетевые экраны
Не спасают от атаки на исчерпание полосы пропускания канала.
Маршрутизация в «черные дыры»
Только помогают хакеру достичь своей цели.
Системы IDS|IPS
Не спасают от атаки на исчерпание полосы пропускания канала.
бессильны против 99% DDoS атак, которые не используют уязвимости.
Оптимизация настроек ресурсов
Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса».
Многократное резервирование
Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту.
| 13 April 2023Доступ запрещенPAGE 82 |
Общая концепция противодействия
| 13 April 2023Доступ запрещенPAGE 83 |
Информированности о угрозе, включающая• Информированность о типичных схемах и целях
использования того или иного инструментария• информированность специалистов по безопасности о
самой возможности что-то противопоставить злоумышленнику;
• информированности о порядке действий в случае тех или иных инцидентов.
Технические средства защиты
Правовое противодействие злоумышленникам
Варианты аппаратной защиты
| 13 April 2023Доступ запрещенPAGE 84 |
Варианты сервисной защиты
| 13 April 2023PAGE 85 |
ё
Без атаки
Во время
атаки
Критерии фильтрации
| 13 April 2023Мифы и реалии DDoS-угрозыPAGE 86 |
Статистические
Основа – вычисленные параметры поведения типового пользователя
Статические
Черные/белые списки фильтрации
Поведенческие
Основа – умение работать в соответствии со спецификацией протокола
Сигнатурные
Индивидуальные особенности Ботнета
Особенности генерируемых сетевых пакетов
Что беспокоит владельцев ресурсов?
Как переключать ресурс на систему защиты?
А у меня шифрованный трафик!
Что еще надо, помимо изменения анонсов?
Сколько время занимает переключение?
А если атакуют по IP?
Задержка какая будет?
Насколько оперативно возможно помочь?
Можно ли заддосить защитника?
Это что же, защитник увидит весь мой трафик?
Как протестировать систему защиты?| 13 April 2023Доступ запрещенPAGE 87 |
Что беспокоит владельцев ресурсов?
Как переключать ресурс на систему защиты?
А у меня шифрованный трафик!
Что еще надо, помимо изменения анонсов?–Использование возможностей протокола DNS –Использование возможностей протокола BGP–Внутренние протоколы маршрутизации
| 13 April 2023Доступ запрещенPAGE 88 |
Что беспокоит владельцев ресурсов?
Сколько время занимает переключение?
–Использование возможностей протокола DNS - 20-30 минут–Использование возможностей протокола BGP - 2-3 минуты–Внутренние протоколы маршрутизации - почти мгновенно
| 13 April 2023Доступ запрещенPAGE 89 |
Что беспокоит владельцев ресурсов?
А если атакуют по IP?
Закрываем весь трафик, кроме тоннелей…
| 13 April 2023Доступ запрещенPAGE 90 |
по IP адресу
по DNS имени
Что беспокоит владельцев ресурсов?
Задержка какая будет?
Вот информация под атакой
Результат Время ответа Cкорость
отдачи, КБ/сек
Полученные результаты: 81 Ok 1 Ошибка(ок) Average: 0.91 sec 4.55
Полученные результаты: 81 Ok Average: 1.42 sec 23.77
(вторая строчка соответствует замеру в пик атаки)
А вот статистика, когда атаки нет
Результат Время ответа Cкорость
отдачи, КБ/сек
Полученные результаты: 80 Ok 1 Ошибка(ок) Average: 0.80 sec 42.67
| 13 April 2023Доступ запрещенPAGE 91 |
Что беспокоит владельцев ресурсов?
Задержка какая будет?
Ресурс без атаки, трафик идет через систему Kaspersky DDoS Prevention
17:09:06 Полученные результаты: 58 Ok Average: 0.75 sec 45.91
17:15:32 Полученные результаты: 65 Ok Average: 0.78 sec 43.91
Ресурс без атаки, трафик идет напрямую на ресурс
17:38:23 Полученные результаты: 62 Ok Average: 1.17 sec 29.42
17:43:25 Полученные результаты: 62 Ok Average: 0.77 sec 44.40
| 13 April 2023Доступ запрещенPAGE 92 |
Что беспокоит владельцев ресурсов?
| 13 April 2023Доступ запрещенPAGE 93 |
Сеть оператора связи клиента
Сеть оператора связи 2
Сеть оператора связи 1
Сеть оператора связи 3Сенсор системы KDP
Проксирующий сервер
ФМ
ФМ
- Лигитимный пользователь системы
- Злоумышленник
- Трафик лигитимных пользователей
Доставка очищенного трафика
Защищаемый Ресурс
- Трафик атаки
Сеть оператора связи клиента
Сеть оператора связи 2
Сеть оператора связи 1
Сеть оператора связи 3Сенсор системы KDP
Проксирующий сервер
ФМ
ФМ
- Лигитимный пользователь системы
- Злоумышленник
- Трафик лигитимных пользователей
Доставка очищенного трафика
Защищаемый Ресурс
- Трафик атаки
Что беспокоит владельцев ресурсов?
Насколько оперативно возможно помочь?
Можно ли заддосить защитника?
Это что же, защитник увидит весь мой трафик?
Как протестировать систему защиты?
| 13 April 2023Доступ запрещенPAGE 94 |
Еще немного
ГЕО-фильтрация…
Мониторинг…
Проблема совмещенной защиты – можно ли попробовать сразу 2 решения?
| 13 April 2023Доступ запрещенPAGE 95 |
Работа с заблуждениями
Для провайдеров DDoS тоже проблема
| 13 April 2023Доступ запрещенPAGE 97 |
Для провайдеров DDoS тоже проблема
| 13 April 2023Доступ запрещенPAGE 98 |
Люди делятся…
Были под атакой
Ждут атаки
Сомневаются или не верят
| 13 April 2023Kaspersky DDoS PreventionPAGE 99 |
Виды заблуждений
ПораженческиеЭти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасности
Чрезмерно оптимистичныеЭти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности
| 13 April 2023Kaspersky DDoS PreventionPAGE 100 |
Пораженческие
От DDOS невозможно защититьсяВ общем же случае, речь идет о противостоянии людей и техники, а
людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту.
Все равно мне забьют канал…
| 13 April 2023Kaspersky DDoS PreventionPAGE 101 |
Оптимистичные
Я читал о том, как можно настроить сервер, чтобы он устоял
Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса».
Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер
Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна.
Я арендовал достаточный канал
Это поможет, но лишь отчасти. Например, теперь, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений.
| 13 April 2023Kaspersky DDoS PreventionPAGE 102 |
Когда атака – не атака
Хабраэффект
Пример удачно стартовавшей рекламной компании
| 13 April 2023Доступ запрещенPAGE 104 |
Сам себе злобный DDoS-ер
Ошибки в клиент серверной архитектуре или неверные оценки требуемых мощностей часто приводят к тому, что клиенты становятся оружием, похлеще бот сетей.
| 13 April 2023Доступ запрещенPAGE 105 |
DDoS или не DDoS
| 13 April 2023Доступ запрещенPAGE 106 |
На защитника надейся, а сам не плошай
Еще из мифов : защита – плевое дело
Противодействие возможно??? – ДА!!!
Защита от DDoS - плод совместных усилий Жертвы и Защитника
Волшебной пилюли не существует
| 13 April 2023Доступ запрещенPAGE 108 |
Типовые проблемы в процессе защиты
| 13 April 2023Доступ запрещенPAGE 109 |
Готовность – залог успеха Пароли от панелей управления DNS
Наличие админов, способных управлять настройками оборудования и приложений
Работать надо вместе, спать не
придется
Невозможно защитить «пустоту»
Типовые проблемы в процессе защиты
| 13 April 2023Доступ запрещенPAGE 110 |
Невозможно защитить «дыру»Microsoft Security Bulletin MS09-048 - Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
Published: September 08, 2009 | Updated: September 10, 2009
Ресурсы требуют оптимизации
Ищут пожарные, ищет милиция…
Кто меня DDoS-ил???
Хотите привлечь этих …. к ответственности?
Необходимо задокументировать атаку!!! Списки ботов, география ботов, тип атаки и как можно больше другой информации.
Нужны компьютеры, которые реально атакуют систему!!!
Их необходимо искать во время атаки!!!
Обращайтесь как можно раньше!!!
| 13 April 2023Доступ запрещенPAGE 112 |
ВСТРЕЧАЙТЕ DDOS НА
ПОДГОТОВЛЕННЫХ ПОЗИЦИЯХ !!!
| 13 April 2023Доступ запрещенPAGE 113 |
Thank You
Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA