3. Сегодня в программе DDoS – реальность или миф? Врага надо знать в лицо: погружение в DDoS Пуля и броня – мы их или они нас Когда атака – не атака? На защитника надейся, а сам не плошай Ищут пожарные, ищет милиция… | 26 May 2011 Доступ запрещен PAGE 3 |
5. Определение | 26 May 2011 PAGE 5 | Доступ запрещен DoS-атака Материал из Википедии — свободной энциклопедии DoS-атака (от англ. DenialofService, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. DistributedDenialofService, распределённая атака типа «отказ в обслуживании»).
6. Насколько это актуально DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (WebHackingIncidentDatabase). | 26 May 2011 PAGE 6 | Доступ запрещен
7. Насколько это актуально По материалам отчета Arbor Networks | 26 May 2011 Доступ запрещен PAGE 7 |
8. Заголовки новостных лент Хакеры атаковали сайты 40 министерств Южной Кореи Хакеры организовали DDoS-атаку на сайт "Единой России" LiveJournal подвергся массированной DDoS атаке Хакеры устроили мощную DDoS-атаку на WordPress | 26 May 2011 Доступ запрещен PAGE 8 | | 26 May 2011 Мифы и реалии DDoS-угрозы PAGE 8 |
11. На что направлены атаки | 26 May 2011 Доступ запрещен PAGE 11 | По материалам отчета Arbor Networks
12. И при чем тут я?? Простой сервиса (продажи, показы рекламы), и, как результат, убыток Вымогательство Недовольство клиентов Недовольство контрагентов Срыв бизнес процессов (от почты до банкоматов) Отвлечение от главного (хищения) Прямой ущерб (торговые площадки) | 26 May 2011 Доступ запрещен PAGE 12 |
13. Пример воздействия на рынки | 26 May 2011 Доступ запрещен PAGE 13 | Европа Стоимость тура Турция / Греция Россия
14. Тенденции | 26 May 2011 Доступ запрещен PAGE 14 |
15. Риторические вопросы | 26 May 2011 Доступ запрещен PAGE 15 | Почему это происходит? Что теперь делать? Как можно защитится?
21. Есть чего пугаться | 26 May 2011 Доступ запрещен PAGE 20 | По материалам отчета Arbor Networks
22. Один из мифов про DDoS ЗАЧЕМ СТОЛЬКО, ЕСЛИ Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с Приложение способно обработать всего 4 запроса в секунду | 26 May 2011 Доступ запрещен PAGE 21 |
23. Один из мифов про DDoS | 26 May 2011 Доступ запрещен PAGE 22 | Средняя скорость – около 300 Мбит/с
24. Эволюция 2008 2011 | 26 May 2011 Доступ запрещен PAGE 23 |
39. Компоненты софта | 26 May 2011 Доступ запрещен PAGE 37 | Компоненты ботнета Панель администрирования Билдер Бот должен знать свой CC Бот должен знать период опроса (управляется в дальнейшем) Бот должен иметь идентификатор (исключает повторное заражение) Бот должен иметь метку(контроль загрузки)
40. Что надо для DDoS Атаки? Нужнаадминка – нужен хостинг Нужен софт = нужен программист
46. Что надо для DDoS Атаки? Нужен софт = нужен программист | 26 May 2011 Доступ запрещен PAGE 44 | Нужнаадминка – нужен хостинг Нужны боты = нужен специалист по заражению
51. Откуда что берется Кража паролей к различнымсайтам (доступ по FTP), нахождение иных уязвимостей Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика Завлечение пользователей на взломанные сайты | 26 May 2011 Доступ запрещен PAGE 49 | Пункты раздачи вредоносного ПО (само тело или руткит) Взломанные сервера Распределение Трафика (например - географическое)
52. Сколько ботов покупать 30 ботов загружают форум средней посещаемости 300 ботов - средний сайт 1000 ботов - крупный сайт 5000 кластер с сайтом, даже при использовании анти ддос, блокировки и прочих приблуд. 15-20 тысяч ботов, теоретически могут уложить "вконтакте.ру" | 26 May 2011 Доступ запрещен PAGE 50 | Типовая сеть для заказного DDoS - 2000 – 3000 ботов «Профи» - 20 000 – 30 000 ботов
53. Арифметика загрузки Процент отклика: 12 % Процент ботов на связи: 15% Для 1000 постоянно активных ботов – необходимо 55 000 реальных загрузок Надо купить – 500 000 загрузок На хорошем потоке – до 100 000 уникальных IP в день | 26 May 2011 Доступ запрещен PAGE 51 |
54. После покупки загрузки | 26 May 2011 Доступ запрещен PAGE 52 | Первый сеанс связи Доложиться о процессе заражения (прислать метку) Доложиться о своем окружении Получить идентификатор (в дальнейшем – основа управления)
55. Протокол общения Первые боты общались по HTTP HTTP/1.1 200 OK Date: DAY, DD MMM YYYY HH:MM:SS GMT Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 PHP/5.2.3 mod_ssl/2.0.59 OpenSSL/0.9.7e-p1 X-Powered-By: PHP/5.2.3 Content-Length: 80 Connection: close Content-Type: text/html MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3dhaXQjMTAjeENSMl8yN Все последующие – используют шифрование | 26 May 2011 Доступ запрещен PAGE 53 |
58. Что надо для DDoS Атаки? Осталось найти заказчика | 26 May 2011 Доступ запрещен PAGE 56 | Нужнаадминка – нужен хостинг Нужны боты = нужен специалист по заражению
60. Диалог по заказу Алиса: Ку Алиса: нужен дос Алиса: прием ВОВ: да ВОВ: покажите сайт Алиса: ---------.ru ВОВ: на какой срок? Алиса: 12 часов Алиса: если все ровно продлим ВОВ: ещё на 12?)) Алиса: посмотрим Алиса: не хочу попусту болтать Алиса: все меняется, обещания дорогого стоят ВОВ: 50$ за 12 часов Алиса: тест? ВОВ: цена норм? Алиса: почему нет, если качественно исполняешь ВОВ: видишь тест? Алиса: когда стартовал? ВОВ: сейчас Алиса: 16-20? Алиса: тест минут 15? ВОВ: 10 думаю хватит Алиса: ну ок смотрим | 26 May 2011 Доступ запрещен PAGE 58 |
63. Ботнет – это навсегда? Проблемы сохранения сети Регулярное перекриптование бота Abuse-устойчивость хостингаСС Возобновление сети В день атаки ботнет может терять до 25% своих членов | 26 May 2011 Доступ запрещен PAGE 61 |
64. И так сколько же это все стоит Ну давай считать: софт – от 600 у.е. разово Загрузки – 2000 у.е. разово Нагон ботов – от 100 у.е. в день по необходимости Перекриптование ботов – раз в 2-3 дня – 20$ - 200$ в месяц Атака – от $100 - 150в сутки Окупаемость – от 30 атак | 26 May 2011 Доступ запрещен PAGE 62 |
65. Что умеет бот | 26 May 2011 Доступ запрещен PAGE 63 | Выполнить команду на атаку Модифицировать параметры атаки Изменить частоту опроса СС Изменить СС Загрузить обновление/модуль Удалить себя с компьютера жертвы Упраление модулями: Красть пароли и т.п.
69. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 67 | Семейство Black Energy 2007 год Семейство Black Energy 22008год Шифрованный обмен данными, модульная структура (в т.ч. Плагин эмуляции браузера)
70. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 68 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год многопоточность
71. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 69 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год DirtJumper - новое название последующих версий RussKill 2010 год Появляются возможности атак методом POST
72. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 70 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год DirtJumper - новое название последующих версий RussKill 2010 год DDoS-Engeneer2010год G-bot,G-BotakaPiranha 2010 год Optimaон же Darkness, G-Bot, изначально – 2008 год
73. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 71 |
75. Какие атаки генерируют боты? SYN-Flood - множество BOT-ов направляют на атакуемый узел большое количество запросов на установление соединений. При этом на атакуемом сервере через короткое время исчерпывается количество возможных соединений и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – т.е. в прекращении взаимодействия в процессе установления соединения, или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию. UDP-Flood- затопление канала жертвы большим количеством «больших» UDP- пакетов. UDP протокол более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер перестаёт отвечать. | 26 May 2011 Доступ запрещен PAGE 73 |
76. Какие атаки генерируют боты? ICMP Flood или PingFlood– затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом, атакуемая система должна ответить на каждый такой запрос/пакет, тем самым с одной стороны создаётся большое количество ответных пакетов, которые снижают производительность (пропускную способность) канала, а с другой стороны загружаются ресурсы сервера. HTTP flood- Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами. Downloadingflood- позволяет забить канал жертвы трафиком.Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема. POST/GETflood– вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Например, это могу быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых и т.п. запросов, что вызывает нагрузку на сервер приложений и базы данных. | 26 May 2011 Доступ запрещен PAGE 74 |
77. Какие атаки генерируют боты? | 26 May 2011 Доступ запрещен PAGE 75 | Slowloris– Исчерпание лимита HTTP или TCP соединений за счет открытия и удержания сессии на границе таймаутов за счет очень низкой активности в рамках соединения Подвержены Apache 1.x Apache 2.x dhttpd GoAheadWebServer Устойчивы IIS6.0 IIS7.0 lighttpd Squid nginx Cherokee Netscaler Cisco CSS
78. slowloris | 26 May 2011 Доступ запрещен PAGE 76 |
79. Какие атаки генерируют боты? | 26 May 2011 Доступ запрещен PAGE 77 | Lowrate, ddoslimit– Исчерпание лимита соединений за счет открытия небольшого числа соединений с большого количества ботов. Более 1 500 000 IP в блок-листах Бот выходит на связь 1 раз в 2 часа при постоянном потоке в 2000 адресов в минуту
80. О подготовке к атаке Исследование ресурса Исследование возможностей защиты | 26 May 2011 Доступ запрещен PAGE 78 |
81. Еще о неприятных тенденциях | 26 May 2011 DDoS-атаки как средство кибертерроризма PAGE 79 |
83. По деньгам – они… защита стоит на порядок дороже Правда- за нами! Защита - заставляет DDoS–еров возвращать деньги | 26 May 2011 Доступ запрещен PAGE 81 |
84. Недостатки типовых методов защиты Межсетевые экраны Не спасают от атаки на исчерпание полосы пропускания канала. Маршрутизация в «черные дыры» Только помогают хакеру достичь своей цели. Системы IDS|IPS Не спасают от атаки на исчерпание полосы пропускания канала. бессильны против 99% DDoS атак, которые не используют уязвимости. Оптимизация настроек ресурсов Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса». Многократное резервирование Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту. | 26 May 2011 Доступ запрещен PAGE 82 |
85. Общая концепция противодействия | 26 May 2011 Доступ запрещен PAGE 83 | Информированности о угрозе, включающая Информированность о типичных схемах и целях использования того или иного инструментария информированность специалистов по безопасности о самой возможности что-то противопоставить злоумышленнику; информированности о порядке действий в случае тех или иных инцидентов. Технические средства защиты Правовое противодействие злоумышленникам
88. Критерии фильтрации | 26 May 2011 Мифы и реалии DDoS-угрозы PAGE 86 | Статистические Основа – вычисленные параметры поведения типового пользователя Статические Черные/белые списки фильтрации Поведенческие Основа – умение работать в соответствии со спецификацией протокола Сигнатурные Индивидуальные особенности Ботнета Особенности генерируемых сетевых пакетов
89. Что беспокоит владельцев ресурсов? Как переключать ресурс на систему защиты? А у меня шифрованный трафик! Что еще надо, помимо изменения анонсов? Сколько время занимает переключение? А если атакуют по IP? Задержка какая будет? Насколько оперативно возможно помочь? Можно ли заддосить защитника? Это что же, защитник увидит весь мой трафик? Как протестировать систему защиты? | 26 May 2011 Доступ запрещен PAGE 87 |
90. Что беспокоит владельцев ресурсов? Как переключать ресурс на систему защиты? А у меня шифрованный трафик! Что еще надо, помимо изменения анонсов? Использование возможностей протокола DNS Использование возможностей протокола BGP Внутренние протоколы маршрутизации | 26 May 2011 Доступ запрещен PAGE 88 |
91. Что беспокоит владельцев ресурсов? Сколько время занимает переключение? Использование возможностей протокола DNS - 20-30 минут Использование возможностей протокола BGP - 2-3 минуты Внутренние протоколы маршрутизации - почти мгновенно | 26 May 2011 Доступ запрещен PAGE 89 |
92. Что беспокоит владельцев ресурсов? А если атакуют по IP? Закрываем весь трафик, кроме тоннелей… | 26 May 2011 Доступ запрещен PAGE 90 |
93. Что беспокоит владельцев ресурсов? Задержка какая будет? Вот информация под атакой Результат ВремяответаCкорость отдачи, КБ/сек Полученные результаты: 81Ok 1 Ошибка(ок) Average:0.91 sec4.55 Полученныерезультаты: 81 Ok Average:1.42 sec23.77 (вторая строчка соответствует замеру в пик атаки) А вот статистика, когда атаки нет РезультатВремяответаCкорость отдачи, КБ/сек Полученные результаты: 80Ok 1 Ошибка(ок) Average:0.80 sec42.67 | 26 May 2011 Доступ запрещен PAGE 91 |
94. Что беспокоит владельцев ресурсов? Задержка какая будет? Ресурс без атаки, трафик идет через систему Kaspersky DDoS Prevention 17:09:06 Полученные результаты: 58Ok Average: 0.75 sec 45.91 17:15:32 Полученные результаты: 65Ok Average: 0.78 sec43.91 Ресурс без атаки, трафик идет напрямую на ресурс 17:38:23 Полученные результаты: 62 Ok Average: 1.17 sec 29.42 17:43:25 Полученные результаты: 62 Ok Average: 0.77 sec 44.40 | 26 May 2011 Доступ запрещен PAGE 92 |
96. Что беспокоит владельцев ресурсов? Насколько оперативно возможно помочь? Можно ли заддосить защитника? Это что же, защитник увидит весь мой трафик? Как протестировать систему защиты? | 26 May 2011 Доступ запрещен PAGE 94 |
97. Еще немного ГЕО-фильтрация… Мониторинг… Проблема совмещенной защиты – можно ли попробовать сразу 2 решения? | 26 May 2011 Доступ запрещен PAGE 95 |
101. Люди делятся… Были под атакой Ждут атаки Сомневаются или не верят | 26 May 2011 Kaspersky DDoS Prevention PAGE 99 |
102. Виды заблуждений Пораженческие Эти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасности Чрезмерно оптимистичные Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности | 26 May 2011 Kaspersky DDoS Prevention PAGE 100 |
103. Пораженческие От DDOS невозможно защититься В общем же случае, речь идет о противостоянии людей и техники, а людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту. Все равно мне забьют канал… | 26 May 2011 Kaspersky DDoS Prevention PAGE 101 |
104. Оптимистичные Я читал о том, как можно настроить сервер, чтобы он устоял Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса». Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна. Я арендовал достаточный канал Это поможет, но лишь отчасти. Например, теперь, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений. | 26 May 2011 Kaspersky DDoS Prevention PAGE 102 |
107. Сам себезлобный DDoS-ер Ошибки в клиент серверной архитектуре или неверные оценки требуемых мощностей часто приводят к тому, что клиенты становятся оружием, похлеще бот сетей. | 26 May 2011 Доступ запрещен PAGE 105 |
108. DDoS или не DDoS | 26 May 2011 Доступ запрещен PAGE 106 |
110. Еще из мифов : защита – плевое дело Противодействие возможно??? – ДА!!! Защита от DDoS - плод совместных усилий Жертвы и Защитника Волшебной пилюли не существует | 26 May 2011 Доступ запрещен PAGE 108 |
116. Кто меня DDoS-ил??? Хотите привлечь этих …. к ответственности? Необходимо задокументироватьатаку!!! Списки ботов, география ботов, тип атаки и как можно больше другой информации. Нужны компьютеры, которые реально атакуют систему!!! Их необходимо искать во время атаки!!! Обращайтесь как можно раньше!!! | 26 May 2011 Доступ запрещен PAGE 112 |
117. ВСТРЕЧАЙТЕ DDOS НА ПОДГОТОВЛЕННЫХ ПОЗИЦИЯХ !!! | 26 May 2011 Доступ запрещен PAGE 113 |
118. Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA