Ключевые аспекты DDoS атак Технология Kaspersky DDoS prevention Малышев Игорь

реклама
Click to edit Master title style
• Click to edit Master text styles
Ключевые
– Second
level
аспекты DDoS атак
• Third level
– Fourth level
Технология Kaspersky DDoS
prevention
» Fifth level
Малышев Игорь
Региональный представитель
ЗАО «Лаборатория Касперского» в ЮФО и СКФО
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Введение в проблематику DDoS
June 10th, 2009
Event details (title, place)
Основная проблема – криминализация
Click to edit Master title style
области IT
•
•
•
•
•
•
•
•
Кражи
• Click to edit Master text styles
Мошенничество
– Second level
Вымогательство
• Third level
Конкурентная
борьба
– Fourth level
» Fifth levelатак
Прикрытие других
Кибертерроризм
Месть
Выражения недовольства
June 10th, 2009
Event details (title, place)
Определение
Click to edit Master title style
Атака на отказ в Обслуживании
(DDoS-атака,
от англ.
Distributedtext
Denial
of Service) • Click to
edit Master
styles
атака на
сетевые ресурсы и сервисы с целью
–-Second
level
приостановления
их деятельности и/или
• Third level
– Fourth level
затруднения
доступа к ним
» Fifth level
June 10th, 2009
Event details (title, place)
Как это делается ?
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third
Центры управления
level
– Fourth level
bot-сетями
» Fifth level
Компьютеры,
зараженный bot-вирусами
June 10th, 2009
Event details (title, place)
Способы заработка на ботнетах
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Классификация DDoS атак
June 10th, 2009
Event details (title, place)
КЛАССИФИКАЦИЯ DDOS АТАК
Click to edit Master title style
По мотиву
• • Конкурентная
борьба text styles
Click to edit Master
• Вымогательство
– Second level
• Месть• Third level
– Fourth
level
• Выражения
недовольства
» Fifth level
• Привлечение чьего либо внимания
– Путем PR события, особенно, если кто-то возьмет на себя
ответственность
– Путем атаки собственного ресурса для PR этого события
•
•
•
•
Демонстрация возможностей
Кибертерроризм …
Прикрытие других атак или противоправных действий
(тестирвоание стрессоустойчивости сервиса)
June 10th, 2009
Event details (title, place)
КЛАССИФИКАЦИЯ DDOS АТАК
Click to edit Master title style
По источнику атак
• Click Тип
to edit Master textДостоинства
styles
Недостатки
Персональные компьютеры
Зачастую – слабозащищенные Компьютеры пользователей
компьютеры, наличие
работают по слабо
методов массового заражения, предсказуемому графику,
• Third level
следовательно, для
поддержания постоянной
– Fourth level
мощности необходимо
» Fifth level
достаточно большое
количество зараженных машин
Сервера
Постоянно включенные
производительные
компьютеры , подключенные к
сети по широким каналам
Коммутационное
Огромное количество
Малая функциональность
оборудование
устройств с типовыми
устройств
уязвимостями, постоянная
подключенность к каналам
связи
Комплексные
Используются сразу несколько ботнетов
– Second level
June 10th, 2009
Event details (title, place)
КЛАССИФИКАЦИЯ DDOS АТАК
Click to edit Master title style
По пути атаки
• Click to edit Master text styles
Прямые
– Second
level
Атака направлена непосредственно на целевой ресурс
Рекурсивные
Атака задействует сторонние ресурсы.
Пример подобной атаки: некоторому третьему ресурсу
– Fourth levelзлоумышеленником посылаются посылаются запросы от
» Fifth level
имени жертвы. Третий ресурс начинает отвечать жертве,
загружая каналы к жертве своими ответами.
• Third level
Косвенные


June 10th, 2009
Создание нагрузки на ресурсы собственно сети Интернет, что
помешает пользователям получить доступ к запрашиваемому
ресурсу.
Чаще всего подобные атаки направляются на
Активное сетевое оборудование (маршрутизаторы)
DNS службу
Event details (title, place)
КЛАССИФИКАЦИЯ DDOS АТАК
Click to edit Master title style
По целеуказанию
•
•
DNS
имя
• Click
IP-адрес
– Second level
По цели•
•
•
to edit Master text styles
Third level
Атаки, направленные
заполнение полосы пропускания
– Fourthна
level
Атаки, направленные
наlevel
исчерпание ресурсов атакуемого сервиса
» Fifth
– Исчерпание ресурсов операционной системы
– Исчерпание ресурсов приложения
•
Комплексные атаки (например, атака в рамках легитимного протокола и
заполняет канал, и может вызвать исчерпание ресурсов)
По использованию операции подмены адреса
•
•
С подменой адреса отправителя пакета
Без подмены адреса отправителя пакета
June 10th, 2009
Event details (title, place)
Click to edit Master title style
По способу реализации
•
•
Нелегитимный трафик на невостребованный протокол и/или порт
•Лавинные
Click to
edit
text styles
атаки
на Master
целевой сервис
в рамках легитимных протоколов
– Second level сетевым протоколам
По используемым
• Third level
Классификация атак по
используемым
протоколам
– Fourth level
» Fifth level
Протоколы
сетевого уровня
TCP
SIN flood
Прикладные
протоколы
UDP
ASC flood
UDP flood
ICMP
DNS flood
Прямой
June 10th, 2009
HTTP
GET
POST
CONNECTION
Рекурсивный
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Реальные примеры DDoS атак
June 10th, 2009
Event details (title, place)
Распределение DDoS атак по секторам
Click to edit Master title style
экономики
Интернет-торговля
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Финансовый
сектор
IT-компании
Порносайты
Игровые сайты
Юридические
компании
СМИ
Блоги и форумы
Прочие бизнессайты
Медицина
June 10th, 2009
Event details (title, place)
Письма счастья
Click to edit Master title style
Добрый день!
• Click to
edit Master
text styles
Сегодня
- ДД.ММ.ГГ
в ЧЧ:ММ
Ваш сайт будет
– Secondддос
levelатаке. Если хотите, что бы Ваш сайт
подвергнут
работал,
оплатите
• Third
level 30 000 рублей на Яндекс кошелек
4…….1. В –форме
платежа, в примечании напишите адрес
Fourth level
» Fifth level
сайта. Чем раньше
ВЫ произведете оплату, тем
быстрее Ваш сайт заработает. Сейчас атака будет
показательная и не очень сильна, т.к. не получится, мы
имеем возможность усилить атаку до такой степени,
что не справится никто! От атаки в 70 000 русских
ботов нет защиты! Не нужно отвечать на это письмо,
эту почту никто не читает. Мы будем проверять
кошелек 4……….1 и как только там появится 30 000р. от
Вас, атака остановится.
June 10th, 2009
Event details (title, place)
Прикрытие несанкционированных
Click to edit Master title style
финансовых транзакций
• •Кража
пароля
к клиент-банку
Click to
edit Master
text styles
• Перевод
денежных
средств на счета
– Second
level
злоумышленников
• Third level
– Fourth
• DDOS атака
наlevel
сайт Клиент-банка
» Fifth level
– не дать возможность обнаружить транзкцию
– не дать возможность заблокировать операции
• Распыление денежных средств по счетам
злоумышленников
• Снятие денег в банкоматах в регионах России
June 10th, 2009
Event details (title, place)
Примеры
Click to edit Master title style
• 10 февраля 2010
!
• Click to edit Master text styles
В Интернете прошла операция Titstorm в знак протеста против
– Second level
ужесточения интернет-цензуры в Австралии. Сайт парламента страны
• Third level
(www.aph.gov.au)
был недоступен утром около часа, сообщает Reuters.
Fourth level и сайт австралийского министерства связи и
Пострадал от– DDoS-атаки
» Fifth level(www.dbcde.gov.au).
электронной экономики
• 17 января 2010
!
!
На сайт Украинского Национального экзит-пола была совершена
хакерская атака.
Пресс-служба Партии регионов Украины заявила о DDoS-атаке на сайт
лидера партии, кандидата в президенты Виктора Януковича. Атака
началась в ночь с 17 на 18 января примерно в 23:30.
June 10th, 2009
Event details (title, place)
Примеры
Click to edit Master title style
• 23 декабря 2009
! вечером в течение часа ряд крупных веб-ресурсов США, включая Amazon,
были
недоступны
дляMaster
пользователей.
Как вскоре выяснилось, причиной
• Click
to edit
text styles
этому послужила DDoS-атака на DNS-провайдера UltraDNS, сообщает
Second level
CNET–News.
• 2009
Thirdгода
level
• 17 декабря
! Помимо DDoS-атаки
сайт "Ведомости", под удар попали DNS-сервера
– Fourthнаlevel
» Fifth
level
издательского дома
Independent
Media. В связи с этим пропал Интернет в
офисе "Ведомостей"
• 16 декабря 2009 года
!
DDoS -атаки на газету "Ведомости"
• 26 августа 2009 года
!
Пресс-служба компании Imena.UA, крупнейшего регистратора доменных
имён Украины, распространила сообщение о том, что недавно была
зафиксирована самая крупная внутриукраинская DDoS-атака "за всю
историю Уанета". Атака проводилась и была направлена на автономную
систему Imena.UA/MiroHost.net.
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Пара интересных фактов
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
HTTP Flood
– Second level
• Third level
SYN Flood
ICMP Flood
UDP Flood
TCP Data Flood
– Fourth level
» Fifth level
DNS имя
IP адрес
Средняя мощность
250 Мбит/с
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Насколько все серьезно
June 10th, 2009
Event details (title, place)
В чем основная проблема?
Click to edit Master title style
Средства атак доступны и дешевы !!!
• Click to edit Master text styles
Спам-аналитики «Лаборатории Касперского» зафиксировали спам-рассылку следующего
содержания:
– Second level
DDoS Сервис
Начали давить конкуренты?
Кто-то мешает Вашему бизнесу?
– Fourth level
Нужно вывести из строя сайт "противника"?
• Third level
» Fifth level
1 час - 20$
Cутки от 100$
Мы готовы решить вашу делемму.
Мы предлагаем услугу по устранению нежеланных для вас сайтов.
Ботнет постоянно увеличивается!
Наши боты находятся в разных часовых поясах, что позволяет держать
постоянно в онлайне
численную армию ботов, и в отличии от других сервисов - нашу атаку
нельзя закрыть по стране!
Цены:
1 час - 20$
Cутки от 100$
Крупные проекты - от 200$ в зависимости от сложности заказа.
Делаем тест на 15 минут бесплатно!
June 10th, 2009
Event details (title, place)
В Сети обнаружен сайт, торгующий огромным
Click to edit Master title style
ассортиментом вредоносных ботов
В мае была обнаружила сеть, в которой продаются боты,
специализирующиеся на социальных сетях и системах электронной почты,
• Click to edit Master text styles
включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti,
– Second
level
Friendster,
Gmail и Yahoo.
К каждому боту
прилагается
объяснение цели создания данного бота:
• Third
level
– Fourth level
• одновременное
создание многочисленных аккаунтов в
» Fifth
level
социальных
сетях;
• кража персональных данных, друзей, поклонников и контактов;
• автоматическая отправка сообщений
• Сбор идентификаторов
• Отправка запросов на добавление в друзья
• Оставление сообщений и автоматических комментариев.
Самый дешевый бот стоит от 95$, самый дорогой - 225$. Весь каталог
ботов можно приобрести за 4500$. Создатели гарантируют, что ни одно
решение безопасности не сможет обнаружить этих ботов.
June 10th, 2009
Event details (title, place)
Мир Ботнетов
Click to edit Master title style
•
Профессионалы
• Click to edit Master text styles
10%
– Second level
• Third level
•
•
– Fourth level
Мотивированные
профессионалы
Вооружены новейшим
инструментарием
Могут оплатить мощнейшую
атаку
» Fifth level
Сообщество
30%
$5 000
Потребительский DDoS
60%
$100
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Поднаготная атак
June 10th, 2009
Event details (title, place)
Схема организации атаки
Click to edit Master title style
Специалист по заражению
Программист
• Click to edit Master text styles
Поиск
уязвимостей
– Second level
• Third level
– Fourth level
» Fifth level
Исполнитель
Заказчик
Жертва
June 10th, 2009
Event details (title, place)
Стадии создания ботнета
Click to edit Master title style
• Создание вредоносного ПО
• –Click
to edit
Master
text styles
Создание
кода
под заказ
– –Покупка
существующего
кода
Second
level
– Использование
• Third levelдоступного инструментария для
конструирования
– Fourth level
» Fifth level
• Создание/использование
канала заражения
– Покупка загрузок бота
– Создание собственного канала
• Наличие центров управления
– Использование доступного инструментария
– Аренда абузоустойчивого хостинга
June 10th, 2009
Event details (title, place)
Создание канала заражения
Click to edit Master title style
• Кража паролей к различным сайтам (доступ по FTP),
нахождение иных уязвимостей
• Click to edit Master text styles
• Модификация WEB-страниц – вкладывание в них
– Second level
ссылок на центры распределения трафика
• Third level
– Fourth level
» Fifth level
Взломанные
сервера
Распределение
Трафика
(например - географическое)
Пункты раздачи
вредоносного ПО
(само тело или руткит)
• Завлечение пользователей на взломанные сайты
June 10th, 2009
Event details (title, place)
Хакеры инфицировали сайт крупной израильской
Click to edit Master title style
газеты Jerusalem Post вредоносным ПО
• Click to edit Master text styles
• Как отмечают эксперты, хакеры встроили опасные
– Second
level
скрипты
непосредственно
в код сайта, а не в
• Third level
стороннюю
рекламу, как это чаще всего бывает. В
– Fourth level
итоге они получили
» Fifth level возможность распространять
через сайт известной газеты вирусы для
компьютеров под управлением ОС Windows..
June 10th, 2009
Event details (title, place)
Сайты государственного казначейства США
Click to editкомпьютеры
Master title style
инфицируют
посетителей
вредоносным ПО
• Click to edit Master text styles
• Веб-сайты,
Государственному
– Secondпринадлежащие
level
казначейству
США, перенаправляют пользователей на
• Third level
сторонние– ресурсы,
Fourth level которые, в свою очередь,
» Fifth level
пытаются установить
на компьютеры посетителей
вредоносные программы.
June 10th, 2009
Event details (title, place)
Деблокер «Лаборатории Касперского»
Click to edit
Master
title styleраз
посетили
пять
миллионов
• Стоит отметить, что эти данные относятся к деблокеру на
• Click towww.kaspersky.ru,
edit Master text styles
странице
однако сервис «Лаборатории
Касперского»
работает удаленно и на ряде других сайтов,
– Second level
поэтому• общее
количество посещений приближается к
Third level
отметке в 10.000.000.
– Fourth level
» Fifth level
• На данный момент
ежедневно появляется более сотни
новых блокеров
June 10th, 2009
Event details (title, place)
Провайдер Orange предоставил клиентам
Click to edit
Master title style
уязвимую
антипиратскую
программу
• Интернет-провайдер Orange предложил своим
• Click to edit Master
text styles
пользователям
программу,
блокирующую незаконный
файлообмен,
однако брешь в этой системе открыла
– Second level
компьютеры
всех подписчиков услуги для
• Third level
– Fourth level
злоумышленников.
» Fifth level
• Выяснилось, что административный интерфейс
системы доступен по логину "admin" с аналогичным
паролем. По некоторым данным, при желании
злоумышленник может модифицировать приложение и
инфицировать компьютеры пользователей услуги
вредоносным программным обеспечением.
June 10th, 2009
Event details (title, place)
Уровень заражения
Click to edit Master title style
• В четвертом квартале 2009 года было
в общей
сложности 5,5 миллионов
• инфицировано
Click to edit Master
text styles
веб-страниц,
располагавшихся более чем на 560
– Second level
тысячах
сайтов.
• Third level
• Основная
тенденция
последних месяцев –
– Fourth
level
Fifth level
написание »злоумышленниками
менее заметных
эксплоитов.
• По состоянию на конец года в среднем на
компьютер жертвы устанавливалось 2,8
вредоносной программы
По данным опубликованному калифорнийской компанией Dasient
отчету за четвертый квартал 2009 года
June 10th, 2009
Event details (title, place)
Еще примеры
Click to edit Master title style
• Эпидемия сетевого червя Net-Worm.Win32.Kido (Conficker,
• Click to 1-м
editкавартале
Master 2009
text года
styles
Downadup)в
~5’000’000 заражённых
компьютеров.
апреля 2009 года червь содержит функциолнал
– SecondС level
BotNet
• Third level
• Десятки миллионов персональных компьютеров в США являются
– Fourthантивирусов
level
жертвами ложных
(rogueware), которые не только не
» Fifth level
защищают пользователя от вредоносных атак, но и делают
компьютер более уязвимым для проникновения другого зловредного
ПО. В течение последнего года такие приложения были скачаны
доверчивыми пользователями около 43 млн. раз.
По материалам сайтов http://webplanet.ru
http://www.xakep.ru
June 10th, 2009
Event details (title, place)
Еще примеры
Click to edit Master title style
• Одна из моделей маршрутизаторов, которые устанавливает своим
клиентам американский провайдер Road Runner High Speed Online,
• Click серьёзную
to edit Master
text styles
содержит
уязвимость,
позволяющую атакующему легко
получить
доступ level
к меню администратора этого устройства. Модель
– Second
SMC8014 стоит примерно у 65-67 тысяч человек.
• Third level
– Fourth level
• Ботнетостроитель
Net-Worm.Linux.Psyb0t.a
(~80’000 заражённых
» Fifth
level
компьютеров) Атакует сетевое оборудование под управлением ОС Linux
(уязвимые домашние маршрутизаторы и DSL-модемы на процессорах
MIPS)
• В феврале 2010 года Исследователи из университета имени Масарика,
обнаружили новый ботнет, который инфицирует плохо настроенные
роутеры и DSL-модемы (ботнет Чак Нориса).
По материалам сайта Вебпланета http://webplanet.ru
June 10th, 2009
Event details (title, place)
И социальная инженерия …
Click to edit Master title style
•
Пользователям Mac OS X, соблазнившимся пиратским ПО, угрожает неприятность
в виде нового трояна, предупреждает антивирусная компания Intego. Вредоносная
программа OSX.Trojan.iServices.A идёт в качестве нагрузки к гуляющему по
торрент-сетям дистрибутиву офисного пакета iWork '09.
– Second
level дистрибутив iWork '09 с сюрпризом скачало с торрентов
По состоянию
на 21 января
уже по крайней мере 20 000 любителей халявы. Точной информации о том, сколько
• Third level
из них запустили инсталляцию офисного пакета и, соответственно, заразили свои
– но
Fourth
level
компьютеры, нет,
можно
смело предположить, что таких подавляющее
большинство.
» Fifth level
• Click to edit Master text styles
•
Silent Hunter 5 кишит руткитами
Игроки, ищущие в Сети взломанные копии игр, рискуют загрузить вместе с ними
целый коктейль вредоносных приложений.
•
Лаборатория PandaLabs сообщила о появлении нового червя FTLog.A, который
распространяется через популярный веб-сайт социальной сети Fotolog. На этом
портале размещают фотографии более 30 миллионов пользователей по всему
миру.
По материалам сайтов http://webplanet.ru
http://www.xakep.ru
June 10th, 2009
Event details (title, place)
Тенденции
Click to edit Master title style
• Интеллектуальные боты
• Click to edit Master text styles
• Переход количества в качество (за счет качества
– Second level
бота)
• Third level
• Прыгающие
управляющие центры, текстовые
– Fourth level
центры (например,
через Твиттер)
» Fifth level
• …
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Kaspersky DDoS Prevention
June 10th, 2009
Event details (title, place)
Мы хотим защитить мир от Киберугроз
Click to edit Master title style
• Ваши ресурсы будут всегда доступны легальным
пользователям,
т.е. Ваш
• Click to edit Master
textбизнес
styles будет нормально
работать
в сети
– Second
level
• Third level
– Fourth level
• Вы не станете
объектами шантажа со стороны
» Fifth level
кибер-преступников
Мы дарим спокойствие и
уверенность в
защищенности своих
ресурсов
June 10th, 2009
Event details (title, place)
Техническая суть
Click to edit Master title style
• Click to edit Master text styles Без атаки
– Second level
• Third level
– Fourth level
» Fifth level
Во время
атаки
June 10th, 2009
Event details (title, place)
Базис услуги
Click to edit Master title style
• Команда, профессионально занимающаяся
от DDOS
• защитой
Click to edit
Master text styles
– Second level
• Third
level
• Мощная,
распределенная
система очистки
– Fourth level
» Fifth level
• Аналитический центр, работающий в режиме 24/7
• Уникальные технология выявления BOT-сетей по
статистическим и поведенческим признакам
• Мы антивирусная компания
June 10th, 2009
Event details (title, place)
Архитектура системы
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Критерии фильтрации
Click to edit Master title style
• Статистические
– Основа – вычисленные параметры поведения типового пользователя
• Click to edit Master text styles
– Second level
• Статические
• Third level
– Черные/белые
списки фильтрации
– Fourth level
• Поведенческие
» Fifth level
– Основа – умение работать в соответствии со спецификацией протокола
• Сигнатурные
– Индивидуальные особенности Ботнета
• Список выявленных IP адресов
• Особенности генерируемых сетевых пакетов
• Работа
June 10th, 2009
Event details (title, place)
Архитектура системы
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Выявление аномалий
Click to edit Master title style
•
Профиль обнаружения аномалий — совокупность пороговых значений
некоторой величины, описывающих нормальный трафик ресурса.
• Click
to edit Master
Состоит
из следующих
полей: text styles
•– день
недели
Second
level
• час
• Third level
• пороговое значение
– Fourth level
• множитель»порогового
значения
Fifth level
• указатель направления пересечения порогового значения
June 10th, 2009
Event details (title, place)
Основной экран пользователя
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Дополнительно: соотношение протоколов
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
НОРМА
– Fourth level
» Fifth level
Пример аномалии
June 10th, 2009
Event details (title, place)
Форма просмотра детальной информации
to edit Master title
style
поClick
контролируемому
параметру
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Архитектура системы
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Профиль фильтрации
Click to edit Master title style
•
Профиль фильтрации — совокупность пороговых значений
описывающих пользователя ресурса Клиента. Предназначен для
выявления
чьи параметры трафика
• Click вtoмассе
editпользователей
Master textтех,
styles
существенно отличаются от расчетного нормального трафика
– Second
level
пользователя
ресурса.
• Third level
•
Профиль фильтрации
рассчитывается индивидуально для ресурса
– Fourth level
Клиента.
» Fifth level
Профиль фильтрации ресурса Клиента представляет собой совокупность
следующих пороговых значений, например:
•
•
•
•
•
ВСЕГО БОЛЕЕ
полученные пакеты в секунду;
40
полученные байты в секунду;
ПАРАМЕТРОВ!!!
отправленные пакеты в секунду;
отправленные байты в секунду;
полученные TCP-пакеты с единственным установленным
флагом «SYN» в секунду.
June 10th, 2009
Event details (title, place)
Архитектура системы
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Варианты сбора статистической
Click to edit Master title style
информации для построения профилей
• Зеркальный отвод трафика на Сенсор,
• Click to edit Master text styles
– Second level трафика на Сенсор, размещенный
• Перенаправление
удаленно
(проксированием
для протокола http/https или
• Third
level
– Fourth level
по GRE-туннелю
для других протоколов). Настраивается
» Fifth level
направление трафика
на сенсор (DNS, BGP) который
проксирует трафик на сервер клиента.
• Направление на Сенсор, размещенный удаленно,
статистики по протоколу NetFlow, собранной
оборудованием клиента.
June 10th, 2009
Event details (title, place)
Варианты переключения трафика на
Click to edit Master title style
систему очистки
• Переключение трафика методом изменения IP-адреса в
• Click to edit Master text styles
DNS-записи
– Second level
• Third level
• Анонсирование
автономной системы заказчика за
– Fourth
level «Лаборатории Касперского»
автономной
системой
» Fifth level
• Подключение ресурса Заказчика к Системе на постоянной
основе методом изменения IP-адреса в DNS-записи
• Компонент подсистемы фильтрации устанавливается
непосредственно перед защищаемым ресурсом Заказчика
June 10th, 2009
Event details (title, place)
Типовая схема подключения клиента по DNS
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Типовая схема подключения клиента по DNS
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Тестируемая схема подключения по BGP
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Достоинства системы
June 10th, 2009
Event details (title, place)
Наши достоинства
Click to edit Master title style
• Статистические и поведенческие! методы защиты
• Click to edit Master text styles
• Построение индивидуальных статистических профилей
– Second level
• Скорость
обновлений
• Third
level
– Fourth level
• Провайдер защищает
» Fifth level только своих клиентов, мы – всех
• Наша система – распределенная
• Мы – антивирусная компания
• Участие аналитиков в отражении атак
• Возможность эффективного противодействия уже
идущей атаке
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
» Fifth level
Работа с заблуждениями
June 10th, 2009
Event details (title, place)
Недостатки типовых методов защиты
Click to edit Master title style
• Межсетевые экраны
Не спасают от атаки на исчерпание полосы пропускания канала.
• Click to edit вMaster
text
styles
• Маршрутизация
«черные
дыры»
– Second
levelдостичь своей цели.
Только помогают
хакеру
• Системы
IDS|IPS
• Third
level
не спасают от атаки
на исчерпание
полосы пропускания канала.
– Fourth
level
» FifthDDoS
level
бессильны против 99%
атак, которые не используют уязвимости.
• Оптимизация настроек ресурсов
Правильная настройка сервера равносильна 200-300% запасы его
ресурсов, что абсолютно несущественно, ибо для отражения серьезной
атаки, зачастую требуется не менее 1000 процентов «запаса».
• Многократное резервирование
Кластеризация, распределение ресурсов, аренда производительных
каналов связи и т.п.- слишком затратны. Расходы на увеличение
мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту.
June 10th, 2009
Event details (title, place)
Виды заблуждений
Click to edit Master title style
• • Пораженческие
Click to edit Master text styles
заблуждения
заставляют опускать руки даже
–Эти
Second
level
грамотных телекоммуникационных инженеров и
• Third level
специалистов
по безопасности
– Fourth level
» Fifth level
• Чрезмерно оптимистичные
Эти заблуждения расхолаживают и вселяют чувство
ложной уверенности в своей защищенности
June 10th, 2009
Event details (title, place)
Пораженческие
Click to edit Master title style
• От DDOS невозможно защититься
В общем же случае, речь идет о противостоянии людей и техники, а
• Click to edit Master text styles
людям свойственно ошибаться. Это выражается в том, что у атак есть
– Second
почерк
(типовые level
пакеты, типовые обращения), а это значит, что их
можно выявлять
и на этом строить защиту.
• Third level
• Защитить от– DDOS
могут только провайдеры
Fourth level
» Fifth
level
Да, действительно,
провайдеры
могут помочь в отражении атаки. Но это
не их бизнес. Услуги по защите от DDoS скорее направлены на защиту
собственной инфраструктуры.
В остальном, зачастую, провайдеры используют типовые методы
защиты, основанные на общесетевой статистике.
• Все равно мне забьют канал…
Это вполне возможно. Но наша система защиты – это несколько
распределенных точек, которые подключены к сети Интернет настолько
производительными каналами связи, что может вобрать в себя атаку
любой сложности.
June 10th, 2009
Event details (title, place)
Оптимистичные
Click to edit Master title style
• Я читал о том, как можно настроить сервер, чтобы
он
устоял
• Click
to edit Master text styles
Да, такие рекомендации существуют. Они действительно повышают
– Second level
устойчивость сервера к атакам на 200-300 %. Но требуется не менее
• Third «запаса».
level
1000 процентов
– Fourth level
• Я распределил
ресурсы, арендовал несколько IP» Fifth level
адресов и создал производительный кластер
Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того,
в случае атаки на полосу пропускания, кластеризация любая
вычислительная мощность сервера будет бесполезна.
• Я арендовал достаточный канал
Это поможет, но лишь отчасти. Например, мощность канала может
оказаться достаточной для того, чтобы исчерпать ресурсы сервера
приложений.
June 10th, 2009
Event details (title, place)
Click to edit Master title style
• Click to edit Master text styles
– Second level
• Third level
– Fourth level
Спасибо за Внимание!
» Fifth level
Малышев Игорь
Региональный представитель
ЗАО «Лаборатория Касперского» в ЮФО и СКФО
June 10th, 2009
Event details (title, place)
Скачать