Upload
hll
View
942
Download
2
Embed Size (px)
DESCRIPTION
Артем Гавриченков (ximaera), ведущий разработчик сети фильтрации трафика Qrator, проводит обзор DDoS-атак за последние полтора года в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва). Отчетную статью по докладу читайте на Хабрахабре: http://habrahabr.ru/company/highloadlab/blog/145137/
Citation preview
14 мая 2012
DDoS-атаки в 2011 году: характер и тенденции
Артём Гавриченков,ведущий разработчик[email protected]
2
Статистика● более 2500 атак за 2011-2012 гг.● около 18% – сетевой/транспортный
уровень● около 40 атак > 1 Гбит/с
3
Статистика● Максимальная продолжительность
атаки до декабря 2011 г.: 486 часов
4
5
6
Статистика● Максимальная продолжительность
атаки за период: 1228 часов
7
8
Статистика● Максимальная мощность (трафик):
56 Гбит/с (июль 2011 г.)● Максимальный объём ботнета:
● 127000 ботов (июль 2011 г.)● около 200000 машин (декабрь 2011 г.)
9
10
Воскресенье
Суббота
Пятница
Четверг
Среда
Вторник
Понедельник
0 50 100 150 200 250 300
11
В выходные техподдержка ISPработает менее
усердно
12
Основные проблемы (пока) не с ISP,
а с IXP
13
To: info@*^#$^*.net
«Today we faced several Gbps of DoSfrom your exchange (and at this time ithasn't stopped yet).
It is ICMP traffic with spoofed source addresses. Our suggestion is that one of your
clients uses IPs from other ASes,connected to *^#$^*-IX.»
14
From: info@*^#$^*.net
«*^#$^*-IX only operates the L2 exchange fabric. We are not involved in routing issues ourselves. Please ask your upstream(s) to contact their relevant peers on the exchange in order to investigate this.
One idea is that you could add a null route at the border?»
15
Сентябрь
Август
Июль
Июнь
Май
Апрель
Март
Февраль
Январь
0 50 100 150 200 250 300 350 400 450 500
16
Get the facts● Самая продолжительная атака:
интернет-магазин кедровых бочек● Наибольший суммарный трафик атаки:
интернет-магазин магнитных игрушек
17
18
Цели атакующих● Деньги● Политика● Реклама● Принципы+ B1TC01N$
19
Реклама
http://habrahabr.ru ● Повторная атака спустя 30 минут после
опубликования статьи
20http://www.nic.ly
22
Биткойны
BKDR_BTMINE.DDOS«Used to perform DDoS attacks and aids
other component malware in stealing Bitcoins from targeted entities»
23
Тенденция● Network level Application Level→● Гигабиты – не показатель● Показатели:
● Трафик● Пакеты● Запросы● Объём ботнета
= Производимый эффект