beyond the botnet
DESCRIPTION
Alex Lyamin's speech on ZeroNights 2012TRANSCRIPT
Beyond the botnet.
Александр Лямин<[email protected]>
Qrator: 2012
2012 2011• Нейтрализовано атак: 2628↑ (1972)• Среднее атак в день:9.18↑ (6.16)• Макс. в день: 73↑ (32)• Средний ботнет: 2070↑ (1886)• Макс. размер ботнета: 148563↓ (239911)• Макс. длительность: 83d↓ (253d)• Средняя доступность: 99.71%
По дням недели.
Пн Вт Ср Чт Пт Сб Вс0%
2%
4%
6%
8%
10%
12%
14%
16%
18%
По дням.
01/01/1
2
08/01/1
2
15/01/1
2
22/01/1
2
29/01/1
2
05/02/1
2
12/02/1
2
19/02/1
2
26/02/1
2
04/03/1
2
11/03/1
2
18/03/1
2
25/03/1
2
01/04/1
2
08/04/1
2
15/04/1
2
22/04/1
2
29/04/1
2
06/05/1
2
13/05/1
2
20/05/1
2
27/05/1
2
03/06/1
2
10/06/1
2
17/06/1
2
24/06/1
2
01/07/1
2
08/07/1
2
15/07/1
2
22/07/1
2
29/07/1
2
05/08/1
2
12/08/1
2
19/08/1
2
26/08/1
2
02/09/1
2
09/09/1
2
16/09/1
2
23/09/1
2
30/09/1
2
07/10/1
2
14/10/1
2
21/10/1
20
10
20
30
40
50
60
70
80
По месяцам.
Январь Февраль Март Апрель Май Июнь Июль Август Сентябрь Октябрь0.00%
2.00%
4.00%
6.00%
8.00%
10.00%
12.00%
14.00%
16.00%
18.00%
20.00%
Где живут ботнеты.(геопривязка)
10.00000%
2.00000%
4.00000%
6.00000%
8.00000%
10.00000%
12.00000%
RUDEUSUACNKZGB??FRMDCANLILAZTRLVJPBYKRCZ
Скоростные атаки.
>=1Gbps 2.21%↓
(58↑)
<1Gbps 97.79%
>=10Gbps 28
Типы атак.
Spoofed 45.32%↑
Full connect 54.68%↓
Типы атак Q1 2012
Spoofed29.67%
Full connect70.33%
Типы атак 2011.
Spoofed 14.96%
Full connect 85.04%
И снова о скоростях.
PPS
Защищающаяся сторона.
• Доступные L7 контр-меры
VS• Настроенный сервер – 600kpps• Спец.конфигурация и настройки - 1Mpps
Нападение.
• Конкуренция за ботнет.• Эффективные L7 контрмеры.
VS• Доступный инструментарий (i.e. netmap)• Опорные сети, хостинги и IX пропускающие
spoofed flood.
Специфика ботнетов.
• Посредственная связность.• Ограниченность ресурсов.• Ограниченность возможностей.
Old and busted.
Сетевая топология.
• Протоколы маршрутизации.• Проколы маршрутизации ;)• Индуцируемые проколы маршрутизации.
TCP стэк.
• Состояния.• Таймауты.• (Неспецифицированные) переходы.
Helping hand – IPV6
IPV6
• Размеры структур данных.• Плотность адресации.
Что еще интересного?
• BGP Flowspec* enabled networks (радуемся**)• Google’s TFO (выдыхаем)• DNS/DNSSEC – void (медитируем)• RPKI – все так-же обсуждается (молимся)• IPV6 – будет много «приключений»• Обновили мировой рекорд:268Gbps/32Mpps
* RFC-5575** Не все и не всегда.
Вопросы?