Распределенный Распределенный беспределбеспределСети распределенных вычислений в атаках типа «отказ в

обслуживании»

Денис Макрушин http://defec.ru

Содержание Сети распределенных

вычислений Концепция grid Ботнеты и варианты их

использования «Отказ в обслуживании» Демонстрационная часть Вопросы

Предмет анализа

Распределенные вычисления - способ решения трудоёмких вычислительных задач с использованием двух или более компьютеров, объединённых в сеть.

Grid

Грид-вычисления (от англ. «grid» - сеть, решетка) - форма распределенных вычислений, в которой группа компьютеров, объединенных каналами связи, выполняет большой объем работ.

Botnet

Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением.

Примеры

Проекты распределенных вычисленийБиология и медицина (World Community Grid), математика и криптография (RainbowCrack), прочие проекты (поиск внеземных цивилизаций)

БотнетыКиберпреступность

Классификация сетей

Архитектура C&C

Недостатки С&C

плохая масштабируемость (с ростом числа зараженных хостов растет нагрузка на командный центр и увеличивается вероятность осуществления атаки типа «отказ в обслуживании» на сервер, передающий задания)

централизованное управление (высокая вероятность изолирования командного центра, что немедленно «парализует» весь ботнет)

Архитектура P2P

Недостатки P2P уведомление каждого бота о

существовании других зараженных машин

дополнительные порты для получения/передачи команд

время, затраченное на передачу задания от бота к боту

трудность ведения статистики

Классификация C&C

Применение ботнетовКардингФишингСмапDDoSBulletproof-хостинги etc.

Классика жанра

Распределенный DoS DDoS-атака (от англ. Distributed

Denial of Service, распределенный отказ в обслуживании) — распределенная атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.

Ресурсы

Канал связиКлючевой фактор: «ширина» канала

связи на стороне сервера Вычислительные ресурсы

сервераКлючевой фактор:

производительность сервера

Атака Slow HTTP POST

Уязвимость протокола HTTP. Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем «Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо.

Методы обнаружения DDoSСигнатурныеВ потоке сетевых данных производится качественный анализ и поиск определенных пакетов, свойственных DDoS-флуду. Малоэффективен против новых типов атак.

СтатистическиеКоличественный анализ сетевых данных с целью выявления аномалий, свойственных DDoS. Недостаток – наличие ложных срабатываний и недостаточная эффективность.

Гибридные

Лирическое отступление

Как злоумышленники сохраняют ботнет

Защита команд

Масштабируемость

Генератор доменов

Генератор доменовГенератор псевдослучайных чисел имеет одну особенность, которая является ключевой для бот-мастера: получая на вход параметр в виде фиксированного значения, ГПЧ генерирует случайную последовательность, которая будет одинакова на различных рабочих станциях при условии получения их генераторами этого параметра.

Список использованных ресурсов http://wikipedia.org

http://defec.ru/zombie_art

http://defec.ru/hackerskii_raspredel

http://defec.ru/kitchen_of_distributed_computing

http://www.xakep.ru/magazine/xa/128/056/1.asp

Спасибо за внимание!

codifesa@gmail.comtwitter.com/difezza