1. DDoS-атаки в
России: 2014
Александр Лямин
<la@qrator.net>

2. UDP-пакеты салом не пахнут

3. Главный слайд №1
2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑
Среднее атак в день: 21 ↑ 18 ↑
Макс. в день: 93 ↓ 151 ↑
Средний ботнет: 2 066 ↑ 1 540 ↓
Макс. ботнет: 420 489 ↑ 281 060 ↑
Сред. время, часы: 8 ↓ 9 ↓
Макс. время, дни: 91 ↑ 23 ↓
Spoofed атак: 56,69% ↓ 58,45% ↑
Атак более 1Gbps: 6,04% ↑ 2,58% ↓
Атак более 10Gbps: 2,62% ↑ 0,70% ↓
Атак более 100Gbps: 1,29% ↑ 0,10% ↑

4. Главный слайд №1
2014 2013
Нейтрализовано атак: 5 909 ↓ 6 732 ↑
Среднее атак в день: 21 ↑ 18 ↑
Макс. в день: 93 ↓ 151 ↑
Средний ботнет: 2 066 ↑ 1 540 ↓
Макс. ботнет: 420 489 ↑ 281 060 ↑
Сред. время, часы: 8 ↓ 9 ↓
Макс. время, дни: 91 ↑ 23 ↓
Spoofed атак: 3350 ↓ 3935 ↑
Атак более 1Gbps: 357 ↑ 174 ↓
Атак более 10Gbps: 155 ↑ 47 ↓
Атак более 100Gbps: 76 ↑ 7 ↑

5. Распределение по дням
160
140
120
100
80
60
40
20
0
01/01/12
01/02/12
01/03/12
01/04/12
01/05/12
01/06/12
01/07/12
01/08/12
01/09/12
01/10/12
01/11/12
01/12/12
2014
2013

6. Почти год назад

7. Почти год назад

8. Почти год назад

9. Коэфф. Амплификации: DNS
14000
12000
10000
8000
6000
4000
2000
0
35
90
145
200
255
310
365
420
475
530
585
640
695
750
805
860
915
970
1025
1080
1135
1190
1245
1300
1355

10. Коэфф. Амплификации: NTP
160000
140000
120000
100000
80000
60000
40000
20000
0
13
14
15
16
18
19
20
21
23
24
25
26
28
29
30
31
33
34
35
36
38
39
40
41
43
44
45
46
47
49
50
51
52
54
55
56
57
59
60

11. Коэфф. Амплификации: Chargen
400
350
300
250
200
150
100
50
0
12
23
34
45
56
67
78
89
100
111
122
133
144
155
166
177
188
200
211
222
233
244
255

12. Коэфф. Амплификации: SNMP
300000
250000
200000
150000
100000
50000
0
30
32
34
37
39
41
43
46
48
50
53
55
57
59
62
64
66
69
71
73
75
78
80

13. Коэфф. Амплификации: SSDP
400000
350000
300000
250000
200000
150000
100000
50000
0
60
63
66
69
72
75
78
81
84
87
90
93
96
99
102
105
108
111
114
117
120
123
126
128
131
134
137
140
143
146
149
152
155
158
161
164
167
170
173
176
179

14. Пять проблем, одна семья
User Datagram Protocol
• DNS ( x35 )
• NTP ( x1300 )
• SSDP ( x150 )
• SNMP ( x50 )
• Chargen ( x200 )

15. Динамика DNS
250000000
200000000
150000000
100000000
50000000
0

16. Динамика NTP
35000000
30000000
25000000
20000000
15000000
10000000
5000000
0

17. Динамика амплификаторов
1.8E+09
1.6E+09
1.4E+09
1.2E+09
1E+09
800000000
600000000
400000000
200000000
0
Chargen
NTP
DNS
SNMP
SSDP
Total

18. SSDP

19. SSDP Победила топология

20. Топологии - они везде

21. Топологии – могут вас убить

22. Топологии – это важно

23. Топологии – это важно

24. Очень-очень важно!

25. Важно: конфиденциальность
[13:21:17] melanor9 hll: парни! гасите все
IP сразу, а не по одному
[13:21:29] Person1: там их гора
[27/03/14] melanor9 hll: очевидно же
что вас уже "Пописали”

26. Еще важно: оперативность
[14:18:07] Person2: в общем новости из
каравана: отключены все ip всех
фронтов кроме хабра
[14:18:26] Person2: хабр вроде ожил
[14:18:38] Person2: сейчас поднимаем
фронты на новых ip

27. Еще важно: DNS
Сколько времени займет изменение
root servers ?

28. Еще важно
ЗДРАВЫЙ СМЫСЛ

29. Еще важно
Память
и
Внимательность

30. Еще важно

31. </whine>
Ok, что дальше?

32. Назад в будущее
Размер
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+

33. Здесь живут Amplifications
Размер
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+

34. Здесь живут ботнеты
Размер
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+

35. + трафик-генераторы
Размер
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+

36. Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)

37. Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)

38. Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
+ Shellshock

39. Трафик-генераторы
• Netmap (Luigi Rizzo)
• DPDK (Intel)
• PF_RING DNA (ntop)
+ Shellshock
+ Habrahabr

41. А здесь живут Драконы
Размер
б о т н е т а
Исчерпание канальной емкости 1 0 0 k +
Инфраструктура сети 10k+
Сетевой стек системы 1k+
Приложение 100+

42. Пример
inetnum: 188.44.56.0 - 188.44.63.255
netname: dorm
descr: Lomonosov Moscow State University
descr: Hostel network, GZ-B,V
country: RU
admin-c: MSU-RIPE
tech-c: MSU-RIPE
status: ASSIGNED PA
mnt-by: MSU-MNT

43. Пример: НОРМА
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.134 ms 0.189 ms 0.183 ms
2 msk06.transtelecom.net (217.150.47.234) 0.919 ms 1.239 ms 1.304 ms
3 router.transtelecom.net (193.232.245.177) 0.209 ms * *
4 m9-ix.msk.runnet.ru (193.232.244.44) 1.567 ms 1.151 ms 1.555 ms
5 msu.msk.runnet.ru (194.190.254.118) 1.199 ms 1.672 ms 1.191 ms
6 93.180.0.172 (93.180.0.172) 1.870 ms 2.322 ms 1.961 ms
7 188.44.33.41 (188.44.33.41) 2.527 ms 2.529 ms 2.518 ms
8 188.44.33.22 (188.44.33.22) 2.331 ms 2.317 ms 1.837 ms
9 93.180.4.12 (93.180.4.12) 2.817 ms 2.344 ms 2.346 ms
[dd]
Пакет достиг университетской сети.

44. Пример: АНОМАЛИЯ
traceroute to 188.44.63.0 (188.44.63.0), 30 hops max, 60 byte packets
1 192.168.200.100 (192.168.200.100) 0.104 ms 0.095 ms 0.096 ms
2 msk06.transtelecom.net (217.150.47.234) 0.932 ms 1.326 ms 1.399 ms
3 212.73.250.154 (212.73.250.154) 22.529 ms 22.658 ms 22.726 ms
4 212.73.250.153 (212.73.250.153) 24.388 ms 22.191 ms 22.192 ms
5 * * *
6 * * *
7 ae-45-45.ebr3.Frankfurt1.Level3.net (4.69.143.166) 48.677 ms
ae-46-46.ebr3.Frankfurt1.Level3.net (4.69.143.170) 46.511 ms
ae-48-48.ebr3.Frankfurt1.Level3.net (4.69.143.178) 48.677 ms
[dd]
… дальше было много транс-атлантики.

45. Всем удачного Halloween