Upload
denis-makrushin
View
3.724
Download
0
Embed Size (px)
DESCRIPTION
Материалы презентации, продемонстрированной во время доклада на семинаре «Информационная безопасность открытых систем» в Национальном исследовательском ядерном университете МИФИ.
Citation preview
Распределенный Распределенный беспределбеспределСети распределенных вычислений в атаках типа «отказ в
обслуживании»
Денис Макрушин http://defec.ru
Содержание Сети распределенных
вычислений Концепция grid Ботнеты и варианты их
использования «Отказ в обслуживании» Демонстрационная часть Вопросы
Предмет анализа
Распределенные вычисления - способ решения трудоёмких вычислительных задач с использованием двух или более компьютеров, объединённых в сеть.
Grid
Грид-вычисления (от англ. «grid» - сеть, решетка) - форма распределенных вычислений, в которой группа компьютеров, объединенных каналами связи, выполняет большой объем работ.
Botnet
Ботнет (англ. botnet от robot и network) — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением.
Примеры
Проекты распределенных вычисленийБиология и медицина (World Community Grid), математика и криптография (RainbowCrack), прочие проекты (поиск внеземных цивилизаций)
БотнетыКиберпреступность
Классификация сетей
Архитектура C&C
Недостатки С&C
плохая масштабируемость (с ростом числа зараженных хостов растет нагрузка на командный центр и увеличивается вероятность осуществления атаки типа «отказ в обслуживании» на сервер, передающий задания)
централизованное управление (высокая вероятность изолирования командного центра, что немедленно «парализует» весь ботнет)
Архитектура P2P
Недостатки P2P уведомление каждого бота о
существовании других зараженных машин
дополнительные порты для получения/передачи команд
время, затраченное на передачу задания от бота к боту
трудность ведения статистики
Классификация C&C
Применение ботнетовКардингФишингСмапDDoSBulletproof-хостинги etc.
Классика жанра
Распределенный DoS DDoS-атака (от англ. Distributed
Denial of Service, распределенный отказ в обслуживании) — распределенная атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён.
Ресурсы
Канал связиКлючевой фактор: «ширина» канала
связи на стороне сервера Вычислительные ресурсы
сервераКлючевой фактор:
производительность сервера
Атака Slow HTTP POST
Уязвимость протокола HTTP. Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем «Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо.
Методы обнаружения DDoSСигнатурныеВ потоке сетевых данных производится качественный анализ и поиск определенных пакетов, свойственных DDoS-флуду. Малоэффективен против новых типов атак.
СтатистическиеКоличественный анализ сетевых данных с целью выявления аномалий, свойственных DDoS. Недостаток – наличие ложных срабатываний и недостаточная эффективность.
Гибридные
Лирическое отступление
Как злоумышленники сохраняют ботнет
Защита команд
Масштабируемость
Генератор доменов
Генератор доменовГенератор псевдослучайных чисел имеет одну особенность, которая является ключевой для бот-мастера: получая на вход параметр в виде фиксированного значения, ГПЧ генерирует случайную последовательность, которая будет одинакова на различных рабочих станциях при условии получения их генераторами этого параметра.
Список использованных ресурсов http://wikipedia.org
http://defec.ru/zombie_art
http://defec.ru/hackerskii_raspredel
http://defec.ru/kitchen_of_distributed_computing
http://www.xakep.ru/magazine/xa/128/056/1.asp