1 / 42

Классификация DDoS-атак

Классификация DDoS-атак. Александр Лямин, Highload Lab. Метрики. Gbps. Метрики. Mpps. Метрики. kRps. Метрики. Размер ботнета ?. Метрики. ?? ?. Классификация. DDoS distributed * (an explicit attempt to prevent legitimate users from using service) Один принцип. Классификация.

erica-sullivan
Download Presentation

Классификация DDoS-атак

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Классификация DDoS-атак Александр Лямин, Highload Lab

  2. Метрики Gbps

  3. Метрики Mpps

  4. Метрики kRps

  5. Метрики Размер ботнета?

  6. Метрики ???

  7. Классификация DDoS distributed * (an explicit attempt to prevent legitimate users from using service) Один принцип.

  8. Классификация DDoS TCP SYN Flood, TCP SYN-ACK Reflection Flood (DRDoS), TCP Spoofed SYN Flood, TCP ACK Flood, TCP IP Fragmented Attack, HTTP and HTTPS Flood Attacks, INTELLIGENT HTTP and HTTPS Attacks, ICMP Echo Request Flood, UDP Flood Attack, DNS Amplification Attacks * Различные техникиисполнения. * Классификация DDoS атак, предлагаемая нашими зарубежными коллегами.

  9. Классификация .

  10. Классификация • Зачем классифицировать: • Обнаружение атаки • Понимание принципа работы • Адекватное противодействие • Способность отличать атаку отразладкисистемы

  11. Классификация Уровень инфраструктуры • Канальная емкость • Сетевая инфраструктура • Стек протоколов • Приложение

  12. Мощность атаки Какова была мощность атаки на LiveJournal?

  13. Мощность атаки

  14. Мощность атаки • Как измерять? • Объем ботнета • Атака на ЖЖ?

  15. Мощность атаки • Как измерять? • Объем ботнета • Атака на ЖЖ • Объем ботнета – не мера атаки • То же самое с остальными параметрами

  16. Мощность атаки ON|OFF

  17. Мощность атаки Доступность сервиса • Единственныйдействительно важный критерий • Позволяет избежать измерения удава в попугаях

  18. Мощность атаки Доступность сервиса Теперь измеряем в попугаях Шредингера. Доступен для пользователей – недоступен для ботов.

  19. Метрики 2.0 Новые цели • Обнаружить начало атаки • Быстро классифицировать • Оценить масштабы бедствия • Принять контрмеры

  20. Метрики 2.0 • Трафик (rx/acpt) • Пакеты (rx/acpt) • Запросы • Ответы • Ошибки • Стоп-лист

  21. Пример 1

  22. Пример 1

  23. Пример 1

  24. Пример 1 • Что интересно ? • Почему просто ? • Почему сложно ? • Чем опасно ?

  25. Пример 2

  26. Пример 2

  27. Пример 2

  28. Пример 2 Дьявол в деталях

  29. Пример 2 • Что интересно ? • Почему просто ? • Чем неприятно ? • Чем опасно ?

  30. Пример 3

  31. Пример 3

  32. Пример 3

  33. Пример 3 • ????

  34. Пример 3 • Телереклама!

  35. Пример 4

  36. Пример 4

  37. Пример 4

  38. Пример 4

  39. Пример 4 • Что интересно? • Что осталось за кадром ? • Почему ?

  40. Фильтрация атак • Канальная ёмкость • Атаки прикладного уровня • «0-day exploits» • Интеллектуальные организаторы • Аутсорсинг компетенций • Расследование инцидентов?

  41. Расследование • «Типичное преступление – это когда у юридического лица крадут ключи, по ним формируют платежные поручения. Чтобы клиент не понял, что у него списана большая сумма со счета, на банк начинают DDoS-атаку»

  42. Спасибо! • Вопросы? • Alexander Lyamin <al@highloadlab.com>

More Related