Анатомия и метрологияDoS/DDoS

Alexander Lyamin<la@qrator.net>

Почему?Таким образом, DoS атаки, направленные на исчерпание ограниченных ресурсов системы, также могут быть поделены на две категории:• Атаки на каналы связи• Атаки на конечные системы

Почему?Типы DDoS-атак • Атаки 4-го уровня

– – в основном направлены на канал – (UDP Flood, ICMP Flood) – – могут быть направлены на исчерпание ограниченного

количества соединении, поддерживаемого отдельными узлами или сетевым оборудованием (SYN Flood и т.д.)

• Атаки 7-го уровня– направлены на ресурс (сервис прикладного уровня)

Почему?

• TCP SYN Flood• TCP SYN-ACK Reflection

Flood (DRDoS)• TCP Spoofed SYN Flood• TCP ACK Flood• TCP IP Fragmented Attack… sockstress забыли!

• HTTP and HTTPS Flood Attacks

• INTELLIGENT HTTP and HTTPS Attacks

• ICMP Echo Request Flood• UDP Flood Attack• DNS Amplification Attacks

Почему?“Есть несколько видов атак. Мы выделяем два типа — атака трафиком и атака на приложения. Pavel отлично работает с атаками на приложения.”

Почему?“Ожидания оправдались в достаточнои мере. Fedor хорош при защите от tcp-syn и других логических атак. С атаками трафиком мы боремся другими способами.”

Почему ?

… нет (вежливых) слов.

Gbps

Mpps

krps

Botnet size

Экзотичные метрики

Проблема

Как должно быть

(6aR,9R)- N,N- diethyl- 7-methyl- 4,6,6a,7,8,9- hexahydroindolo- [4,3-fg] quinoline- 9-carboxamide

N-methyl-1-phenylpropan-2-amino

N.B.“Yeah! Sc1ence, beatch!”

Решение

Классификация

Канальная емкость

PURE. SIMPLE. CONSUMED.

BANDWIDTH

Канальная емкость

Инфраструктура сети

Fragmentation+Stateful+Routing = Control Plane

Инфраструктура сети

Инфраструктура сетиRouting

• (dynamic) Route loops• Prefix hijacking• Amplifiers

http://radar.qrator.net

Cетевой стек

Сетевой стекЗапросы Ответы

Cетевой стек

Cетевой стек

Приложение

L7 σημαντικός

ПриложениеЗапросы Ответы

ПриложениеОшибки Стоп-лист

Сhangelog• DNS (и другие не-TCP протоколы)• TCP-протоколы для которых мы не

являемся endpoint• Умные enterprise-заказчики• И большие сети с 100+ приложений • Говорящих на 10+ (custom) протоколах

Как сделать мир статистику лучше?

Помнить про эту картинку!

Cтатистика 2.0

Статистика 2.0

Канальная емкость 2.0

• Чем именно занят канал?• Транспортные протоколы• Приложения

Cетевая инфраструктура 2.0

• Сколько потоков?• Какова их динамика?• Какие из них наиболее

активны?

Сетевой стэк 2.0TCP• Состояния соединений• Динамика состояний

Приложение 2.0Запросы

• Статика• Динамика• Самые популярные URL

Приложение 2.0Ответы

• Топ-5 ? • Топ-10 ?• Кластеризация ?

Приложение 2.0Ошибки 500,501,503,504

• Топ ?• Кластеризация ?

Приложение 2.0502 – диагностика пути ?

Идеи закончились.

… Вопросы остались.

Приложение 2.0

А что делать с !HTTP ?

Приложение 2.0

• А как ПРАВИЛЬНО провести сэмплинг поведения ботнета ?

А что такое ботнет?a) Множество зараженныхb) Общность кодаc) Единый контроль

C нашей точки зренияa) Множество адресовb) Сходная техникаc) Общие цели

C нашей точки зренияa) DomainID+время первой регистрацииb) Пересечение по IPc) Используемые техники

Более лучше

Вместо заключения