View
861
Download
3
Category
Preview:
Citation preview
Signed-off-by: "Artyom Gavrichenkov" <ximaera@highloadlab.com>
DDoS-атаки в 2011 году:характер и тенденции
#include <statistics.h>
int ATTACK_COUNT=1563
int SPOOF_ATTACKS_COUNT=275
int GBPS_ATTACKS_COUNT=23
// >=1 GBPS
#include <statistics.h>
int MAX_DURATION=486 // hours
#include <statistics.h>
int MAX_TRAFFIC=56 // Gbps
#include <statistics.h>
int MAX_BOTNET_COUNT=127486
// http://highloadlab.com
#include <distribution.h>
enum weekly {
MONDAY = 218,
TUESDAY = 244,
WEDNESDAY = 225,
THURSDAY = 245,
FRIDAY = 241,
SATURDAY = 201,
SUNDAY = 189
};
Воскресенье
Суббота
Пятница
Четверг
Среда
Вторник
Понедельник
0 50 100 150 200 250 300
В выходные техподдержка ISPработает менее усердно
Основные проблемы (пока) не с ISP,а с IXP
To: info@*^#$^*.net
«
Today we faced several Gbps of DoSfrom your exchange (and at this time ithasn't stopped yet).
It is ICMP traffic with spoofed source addresses.
Our suggestion is that one of yourclients uses IPs from other ASes,connected to *^#$^*-IX.
»
From: info@*^#$^*.net
«
*^#$^*-IX only operates the L2 exchange fabric. We are not involved in routing issues ourselves. Please ask your upstream(s) to contact their relevant peers on the exchange in order to investigate this.
One idea is that you could add a null route at the border?
»
From: info@*^#$^*!net
1. Устанавливаем сервер на IX
2. Производим мультигигабитные атаки
3. …
4. PROFIT
#include <distribution.h>
enum yearly {
JANUARY = 437,
FEBRUARY = 392,
MARCH = 303,
APRIL = 87,
MAY = 22,
JUNE = 85,
JULY = 103,
AUGUST = 88,
SEPTEMBER = 46
};
Сентябрь
Август
Июль
Июнь
Май
Апрель
Март
Февраль
Январь
0 50 100 150 200 250 300 350 400 450 500
Ждем Нового года!
Самая продолжительная атака?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
Самая продолжительная атака?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
Наибольший суммарный трафик атаки?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
Наибольший суммарный трафик атаки?
● Сайт туристической фирмы● http://www.highloadlab.com● Магазин магнитных игрушек● http://www.habrahabr.ru● Магазин кедровых бочек● http://www.diary.ru
Среди узкоспециализированных компаний – высокая конкуренция.
DDoS – это метод конкурентной борьбы.
Цели атакующих
● Деньги● Политика● Реклама● Принципы● + B1TC01N$
Реклама
http://habrahabr.ru● Повторная атака спустя 30 минут после
опубликования статьи
B1TC01N$
BKDR_BTMINE.DDOS
«
Used to perform DDoS attacks and aids other component malware in stealing Bitcoins from targeted entities.
»
Тенденция
● Network level → Application Level● Гигабиты – не метрика● Метрики:
● Трафик● Пакеты● Запросы● Объём ботнета
= Производимый эффект
Что нужно помнить
● Не все боты одинаково вредны● http://en.wikipedia.org/wiki/User:RFC_bot● http://www.opera.com/browser/turbo/● Важна корреляция!
● Не все иностранцы одинаково вредны● http://www.letoile.ru
Questions?
Recommended