Qrator: 2012
2012 2011
• Нейтрализовано атак: 2628↑ (1972)
• Среднее атак в день: 9.18↑ (6.16)
• Макс. в день: 73↑ (32)
• Средний ботнет: 2070↑ (1886)
• Макс. размер ботнета: 148563↓ (239911)
• Макс. длительность: 83d↓ (253d)
• Средняя доступность: 99.8%
По дням недели.
0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
Пн Вт Ср Чт Пт Сб Вс
По дням.
0
10
20
30
40
50
60
70
80
01/01/12 01/02/12 01/03/12 01/04/12 01/05/12 01/06/12 01/07/12 01/08/12 01/09/12 01/10/12
По месяцам.
0.00%
2.00%
4.00%
6.00%
8.00%
10.00%
12.00%
14.00%
16.00%
18.00%
20.00%
Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь
Где живут ботнеты.(геопривязка)
0.00000%
0.50000%
1.00000%
1.50000%
2.00000%
2.50000%
3.00000%
1
DE
US
UA
CN
KZ
GB
??
FR
MD
CA
NL
IL
AZ
TR
LV
JP
BY
Скоростные атаки.
>=1Gbps 2.21%↓(58↑)
<1Gbps 97.79%
Типы атак.
Spoofed 45.32%↑
Full connect 54.68%↓
Зачем и Почему?
• Настроенный сервер – 600kpps
• Спец.конфигурация и настройки - 1Mpps
• Доступный инструментарий (i.e. netmap)
• Опорные сети, хостинги и IX пропускающие spoofed flood.
Что делать?
• BCP-38 (http://tools.ietf.org/html/bcp38)
• BCP-84* (http://tools.ietf.org/html/bcp84)
* С ограничениями.
Что еще интересного?
• BGP Flowspec* enabled networks (радуемся*)
• Google’s TFO (выдыхаем)
• DNS/DNSSEC – void (медитируем)
• RPKI – все так-же обсуждается (молимся)
• IPV6 – будет много «приключений»
• Обновили мировой рекорд:268Gbps/32Mpps
* RFC-5575
* Не все и не всегда.
Что нового в Qrator?
• TCP RAW сервисы• UDP RAW сервисы*• Увеличенные размеры POST данных• Новая система обнаружения аномалий• Новый функционал в API• SMS уведомления• Больше точек присутствия• Больше трафик-контрактов
* С ограничениями.
This presentation is HIJACKED.
Сами/Сусами?
Вводные данные.
• Packetrate
• Bitrate
• Восстановите контроль
• Access.log
• tcpdump –s0 –c1000000 –w attack.dump
У Вас есть Plan-B?
Plan B
• Не делайте глупостей
• Имейте запас производительности (2x)
• Сообщите характеристики атаки и список активных сетевых сервисов
• Примите меры по нейтрализации атаки
• Проконтролируйте результативность фильтров
One more thing.
Cisco ASA - это
СОВСЕМ
про
другое.
Вопросы?
Top Related