1. Анатомия и метрология
DoS/DDoS
Alexander Lyamin
<la@qrator.net>

2. Почему?
Таким образом, DoS атаки, направленные на
исчерпание ограниченных ресурсов
системы, также могут быть поделены на
две категории:
• Атаки на каналы связи
• Атаки на конечные системы

3. Почему?
Типы DDoS-атак
• Атаки 4-го уровня
– – в основном направлены на канал
– (UDP Flood, ICMP Flood)
– – могут быть направлены на исчерпание ограниченного
количества соединений, поддерживаемого отдельными
узлами или сетевым оборудованием (SYN Flood и т.д.)
• Атаки 7-го уровня
– направлены на ресурс (сервис прикладного уровня)

4. Почему?
• TCP SYN Flood
• TCP SYN-ACK Reflection
Flood (DRDoS)
• TCP Spoofed SYN Flood
• TCP ACK Flood
• TCP IP Fragmented Attack
… sockstress забыли!
• HTTP and HTTPS Flood
Attacks
• INTELLIGENT HTTP and
HTTPS Attacks
• ICMP Echo Request Flood
• UDP Flood Attack
• DNS Amplification Attacks

5. Почему?
“Есть несколько видов атак. Мы выделяем
два типа — атака трафиком и атака на
приложения. Pavel отлично работает с
атаками на приложения.”

6. Почему?
“Ожидания оправдались в достаточной
мере. Fedor хорош при защите от tcp-syn и
других логических атак. С атаками
трафиком мы боремся другими способами.”

7. Почему ?

8. … нет (вежливых) слов.

9. Gbps

10. Mpps

11. krps

12. Botnet size

13. Экзотичные метрики

14. Проблема

15. Как должно быть
(6aR,9R)- N,N- diethyl- 7methyl- 4,6,6a,7,8,9hexahydroindolo- [4,3-fg]
quinoline- 9-carboxamide
N-methyl-1-phenylpropan-2amino
N.B.
“Yeah! Sc1ence, beatch!”

16. Решение

17. Классификация

18. Канальная емкость
PURE. SIMPLE. CONSUMED.
BANDWIDTH

19. Канальная емкость

20. Инфраструктура сети
Fragmentation+Stateful+Routing = Control Plane

21. Инфраструктура сети

22. Инфраструктура сети
Routing
• (dynamic) Route loops
• Prefix hijacking
• Amplifiers
http://radar.qrator.net

23. Cетевой стек

24. Сетевой стек
Запросы
Ответы

25. Cетевой стек

26. Cетевой стек

27. Приложение
L7 σημαντικός

28. Приложение
Запросы
Ответы

29. Приложение
Ошибки
Стоп-лист

30. Сhangelog
• DNS (и другие не-TCP протоколы)
• TCP-протоколы для которых мы не
являемся endpoint
• Умные enterprise-заказчики
• И большие сети с 100+ приложений
• Говорящих на 10+ (custom) протоколах

31. Как сделать мир статистику лучше?

32. Помнить про эту картинку!

33. Cтатистика 2.0

34. Статистика 2.0

35. Канальная емкость 2.0
• Чем именно занят канал?
• Транспортные протоколы
• Приложения

36. Cетевая инфраструктура 2.0
• Сколько потоков?
• Какова их динамика?
• Какие из них наиболее
активны?

37. Сетевой стэк 2.0
TCP
• Состояния соединений
• Динамика состояний

38. Приложение 2.0
Запросы
• Статика
• Динамика
• Самые популярные URL

39. Приложение 2.0
Ответы
• Топ-5 ?
• Топ-10 ?
• Кластеризация ?

40. Приложение 2.0
Ошибки
500,501,503,504
• Топ ?
• Кластеризация ?

41. Приложение 2.0
502 – диагностика пути ?

42. Идеи закончились.
… Вопросы остались.

43. Приложение 2.0
А что делать с !HTTP
?

44. Приложение 2.0
• А как ПРАВИЛЬНО
провести сэмплинг
поведения ботнета ?

45. А что такое ботнет?
a) Множество зараженных
b) Общность кода
c) Единый контроль

46. C нашей точки зрения
a) Множество адресов
b) Сходная техника
c) Общие цели

47. C нашей точки зрения
a) DomainID+время первой регистрации
b) Пересечение по IP
c) Используемые техники

48. Более лучше

49. Вместо заключения