Embed Size (px)
Citation preview
Kaspersky DDoS Prevention
Алексей Афанасьев, Менеджер проектa DDoS Prevention Kaspersky Lab Russia [email protected]
«Лаборатория Касперского» и защита от DDoS-атак
Мы антивирусная компания
Аналитический центр, работающий в
режиме 24х7
Уникальные технологии выявления бот-
сетей по статистическим и
поведенческим признакам
Команда,
профессионально
занимающаяся
защитой от DDoS-атак
Мощная распределенная
система очистки
| 02 August 2013 Kaspersky DDoS Prevention PAGE 2 |
Откуда такая осведомленность
| 02 August 2013 Kaspersky DDoS Prevention PAGE 3 |
Интернет
Информирование
об изменении статуса
Постоянный опрос
выявленных управляющих центров
Date Type Bot Arguments
[http] http://moscow-post.ru 2011.06.14 20:05:21
MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] http://moscow-post.ru/server/classes/class.db.php 2011.06.14 20:05:21
MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] www.9796024.ru 2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autoclimat.ru 2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autoklimat.ru 2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.autotavi.ru 2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
[http] www.climatavto.ru 2011.06.14 20:04:03
MSD
START skill.ddos/nyamazama.c
om
numthreads: 400
| 02 August 2013 PAGE 4 | Kaspersky DDoS Prevention
Статистика атак за 2012 г.
| 02 August 2013 Kaspersky DDoS Prevention PAGE 5 |
Средняя продолжительность атак
Максимальная мощность атак
Средняя мощность атак
Максимально продолжительная
атака (нацелена на сервер он-лайн
игры muforall.com)
1.
2.
3.
4.
Аналитические материалы по DDoS-атакам регулярно публикуются
экспертами Лаборатории Касперского на сайте http://www.securelist.com
2,9 Гбит/с
109 Мбит/с
94 дня 4 часа
58 минут
16 часов
24 минуты
Теневые бизнесы вокруг DDoS
Продажа софта
Заказные атаки
«Загрузки» ПО
Сдача бот-сетей в аренду
Вымогательство
| 02 August 2013 Kaspersky DDoS Prevention PAGE 6 |
Реальные примеры
| 02 August 2013 Kaspersky DDoS Prevention PAGE 7 |
Реальные примеры
| 02 August 2013 Kaspersky DDoS Prevention PAGE 8 |
| 02 August 2013 Противостояние стихии по имени «DDoS» PAGE 9 |
| 02 August 2013 Kaspersky DDoS Prevention PAGE 10 |
История с закрытием Ex.ua По материалам donbass.ua и др. интернет-изданий
31 января 2012 г. Закрытие крупнейшего файлообменника Украины EX.UA.
Возбуждено уголовное дело по статье УК “нарушение авторского права
и смежных прав”.
1 февраля 2012 г. Недоступны сайты:
• prezident.gov.ua (официальный сайт президента Украины)
• rada.gov.ua (официальный сайт Верховной Рады)
• kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины)
• partyofregions.org.ua (сайт Партии регионов)
1 февраля 2012 г. Потерян доступ к базе всех законодательных документов Украины
(информационный ресурс zakon.rada.gov.ua)
2 февраля 2012 г.
• В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA“
(только в одной из них более 20 тыс. пользователей).
• Проводится голосование какой веб-ресурс "валить" следующим; даются
инструкции, как это сделать, обладая минимальным знаниями.
• Звучат призывы "не валить сайты, а валить власть".
| 02 August 2013 Kaspersky DDoS Prevention PAGE 11 |
История «Операции Абабиль»: сколько сезонов? По материалам интернет изданий
Cерия DDoS-атак на американские банки
Начало атак сентябрь 2012
Ответственность взяла исламистская группировка, именующая себя
«кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters)
Основные характерные черты:
• мощность DDoS-атак на пике 70-100 Гб/с
• высокий технический уровень нападающих и тщательный отбор основных мишеней
• мишени: хорошо защищенные банки, имеющие опыт самозащиты
• в большинстве случаев атаки имеют комплексный характер
| 02 August 2013 PAGE 12 | Kaspersky DDoS Prevention
«Операция Абабиль»: крайний сезон… По данным NBC News
| 02 August 2013 PAGE 13 |
За минувшие полтора месяца веб-сайты 15-ти крупнейших американских
банков были недоступны в совокупности 249 часов
• Для сравнения: год назад суммарный простой тех же объектов за тот же период
составил 140 часов
Только за март 2013 подверглись атаке:
• веб-сервис JPMorgan Chase
• сайты American Express
• онлайн-ресурс Wells Fargo
Основная цель атак по мнению Дуг Джонсона (Doug Johnson, вице-
президент АВА): атаки имеют целью дестабилизацию интернет-сервиса, а
не вторжение – «все равно как стучаться в закрытую дверь, не пробуя
войти»
По оценке Solutionary, поставщика управляемых систем безопасности, на
ликвидацию последствий современной DDoS атаки организации тратят до
6,5 тыс. долларов в час, без учета упущенной выгоды за время простоя
Kaspersky DDoS Prevention
История со Spamhaus По материалам интернет изданий
| 02 August 2013 PAGE 14 |
Первые проблемы у Spamhaus начались 15 марта 2013
Веб-сайт и почтовый сервер борцов со спамом “легли” под атакой на весь
уикенд, и подписчики вынуждены были прибегнуть к альтернативным
способам обновления черных списков
Мощность на пике превысила 300 Гб/с
Основной тип атаки DNS amplification
19-20 марта мощность DDoS-атаки колебалась в пределах 30-90 Гбит
Помимо CloudFlare и Spamhaus, попавших под раздачу, пострадала
лондонская LINX: 23 марта в пиковые часы трафик здесь упал вдвое против
обычного и держался на этом уровне более часа
Kaspersky DDoS Prevention
Возможный ущерб
Простой сервиса (продажи, показы
рекламы), и, как результат, убыток
Вымогательство
Недовольство клиентов
Недовольство контрагентов
Срыв бизнес процессов (от почты до
банкоматов)
Отвлечение от главного (хищения)
Прямой ущерб (торговые площадки)
| 02 August 2013 Kaspersky DDoS Prevention PAGE 15 |
| 02 August 2013 Kaspersky DDoS Prevention PAGE 17 |
Категории клиентов
Были под атакой
Ждут атаки
Сомневаются
или не верят
| 02 August 2013 Kaspersky DDoS Prevention PAGE 18 |
На что направлены атаки
| 02 August 2013 Kaspersky DDoS Prevention PAGE 19 |
Исчерпание полосы пропускания
Исчерпание мощностей
коммутационного оборудования
Исчерпание вычислительных
мощностей
• Исчерпание мощностей операционной
системы
• Исчерпание мощностей приложения
Комплексные атаки
Приложение
ОС
Полоса
пропускания
Вычислительные
мощности
Из мифотворчества
Наверняка вы слышали об атаках
мощностью 1, 2, 5, 10, 20 и более Гигабит
ЗАЧЕМ СТОЛЬКО? ЕСЛИ
Типовое подключение организации к интернету – 2 канала по
100 Мбит/с = 200 Мбит/с
Коммутационное оборудование «ложится» от потока в 50 000
пакетов в секунду = 19 Мбит/с
Приложение способно обработать всего 4 запроса в секунду
Сколько будет достаточно для вашего ресурса?
Где ваше слабое звено?
| 02 August 2013 Kaspersky DDoS Prevention PAGE 20 |
Где установить защиту?
| 02 August 2013 PAGE 21 | Kaspersky DDoS Prevention
Недостатки типовых методов защиты
Межсетевые экраны
Не спасают от атаки на исчерпание полосы пропускания канала.
Маршрутизация в «черные дыры»
Только помогают хакеру достичь своей цели.
Системы IDS/IPS
Не спасают от атаки на исчерпание полосы пропускания канала.
Бессильны против большинства DDoS атак, которые не используют уязвимости.
Оптимизация настроек ресурсов
Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно
несущественно, для отражения серьезной атаки, зачастую требуется не менее 1000
процентов «запаса».
Многократное резервирование
Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.-
слишком затратные. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше,
чем расходы на такую защиту.
| 02 August 2013 DDoS-атаки как средство кибертерроризма PAGE 22 |
Kaspersky DDoS Prevention
| 02 August 2013 Kaspersky DDoS Prevention PAGE 23 |
ѐ
Без атаки
Во время
атаки
Архитектура системы
| 02 August 2013 Kaspersky DDoS Prevention PAGE 24 |
Архитектура системы
| 02 August 2013 Kaspersky DDoS Prevention PAGE 26 |
Список аномалий на контролируемых ресурсах пользователя
| 02 August 2013 Kaspersky DDoS Prevention PAGE 27 |
Детализация информации по отдельным параметрам
| 02 August 2013 Kaspersky DDoS Prevention PAGE 28 |
Текущее состояние ресурса
| 02 August 2013 Kaspersky DDoS Prevention PAGE 29 |
Возможность анализировать трафик
| 02 August 2013 Kaspersky DDoS Prevention
PAGE 30 |
Результаты работы системы (демо)
| 02 August 2013 Kaspersky DDoS Prevention PAGE 31 |
Отчеты (демо)
| 02 August 2013 Kaspersky DDoS Prevention PAGE 32 |
Реальный пример защиты: заказная атака на СМИ Хронология событий по Новой Газете
| 02 August 2013 PAGE 33 |
31.03.2013 22:00 Мощность до 300Мбит/сек, SYN-flood
01.04.2013 мощность атаки плавно возрастает, достигая 700Мбит SYN-flood
01.04.2013 в 15:00 профиль атаки сменился на DNS amplification,
общая мощность атаки превысила 40Гбит/сек
01.04.2013 в 15:25 профиль атаки сменился на (атака типа DNS amplification
завершилась)
02.03.2013 16:00 начало атаки DNS amplification,
общая мощность не ниже 60Гбит/сек
02.03.2013 17:20 вышестоящие провайдеры производят блекхол маршрутов
02.03.2013 с 19:00 производится анонсирование маршрута в пределах
MSK-IX. (сайт Новой
Газеты доступен
из сетей провайдеров,
имеющих пиринг
на MSK-IX)
Реальный пример защиты: заказная атака на СМИ Хронология событий (продолжение)
| 02 August 2013 PAGE 34 |
03.04.2013 с 12:00 устанавливаем UDP-фильтра на транзитный трафик
включаются маршруты до сети, в которой находится сайт Новой Газеты
03.04.2013 13:05 атака типа RST-flood + HTTP flood незначительной
мощности
03.04.2013 14:40 атака типа RST-flood + HTTP flood закончилась
03.04.2013 15:00 началась атака DNS amplification.
В гео-распределении трафика Россия практически отсутствует.
Пик атаки имеет мощность более 5Гбит/сек
атака дополняется типа SYN-flood мощностью более 3.3M пакетов/сек
03.04.2013 15:30 атака прекратилась
03.04.2013 15:40 - 17:00 комбинированная атака с изменением профиля
каждые 5-6 минут. Различиные варианты атак типа RST flood, SYN flood,
ACK flood, http flood.
Ни один из вариантов не оказывает на работу сайта Новой Газеты никакого
влияния
03.04.2013 17:10 массовые попытки вывести сайт Новой Газеты из строя
прекращаются
Реальный пример защиты: заказная атака на СМИ Хронология событий (продолжение)
| 02 August 2013 PAGE 35 |
После 04.04.2013 попытки одиночные, но имеют место…
Варианты решений по защите от DDoS-атак
Самостоятельно построить защиту
– В стоимости проекта учтите модификацию текущего подключения, стоимость
оборудования, сервис контракта (годовые подписки на сигнатуры и т.п.), зарплата
сотрудников и ….
– Вы готовы всегда сами себя оперировать, даже если Вы врач-хирург?
Обратиться к сервис-провайдеру
– Спросите у провайдера по предлагаемой услуге SLA, а есть ли личный кабинет и
система мониторинга не всего канала, а лично Вашего ресурса?
– Вы готовы доверить ветеринару лечить Вашего ребенка?
Использовать функции защиты, реализованные в
программных комплексах для ………
– У Вас есть набор ресурсов, приложений, площадок... Ваша ответственность за
все ресурсы, все это должно работать, а не только часть или один из ресурсов.
– Вы предпочитаете искать надо где потеряли, или где светло?
Может обратиться к профессионалам?
| 02 August 2013 Kaspersky DDoS Prevention PAGE 36 |
Мы предлагаем клиенту уверенность
Ресурсы клиента будут всегда доступны легальным
пользователям, т.е. бизнес будет нормально работать
Клиент не станет объектом шантажа со стороны
кибер-преступников
| 02 August 2013 Kaspersky DDoS Prevention PAGE 37 |
Сертификат качества
Гарантии по времени
обнаружения аномалий и
оповещению
Гарантии по качеству
фильтрации
Гарантии реагирования
| 02 August 2013 Kaspersky DDoS Prevention PAGE 38 |
Ключевые особенности Kaspersky DDoS Prevention
Защита любых сервисов и приложений
Собственная технологическая платформа
Опыт отражения сложных атак
Единое решение, не зависящее от текущих поставщиков интернет-услуг
Глобальная распределенная система фильтрации
Внедрение без инфраструктурных изменений
Мониторинг аномалий в режиме 24х7
Аналитическое сопровождение атаки
PAGE 39 | Kaspersky DDoS Prevention | 02 August 2013
