Click to edit Master title style • Click to edit Master text styles Ключевые – Second level аспекты DDoS атак • Third level – Fourth level Технология Kaspersky DDoS prevention » Fifth level Малышев Игорь Региональный представитель ЗАО «Лаборатория Касперского» в ЮФО и СКФО June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Введение в проблематику DDoS June 10th, 2009 Event details (title, place) Основная проблема – криминализация Click to edit Master title style области IT • • • • • • • • Кражи • Click to edit Master text styles Мошенничество – Second level Вымогательство • Third level Конкурентная борьба – Fourth level » Fifth levelатак Прикрытие других Кибертерроризм Месть Выражения недовольства June 10th, 2009 Event details (title, place) Определение Click to edit Master title style Атака на отказ в Обслуживании (DDoS-атака, от англ. Distributedtext Denial of Service) • Click to edit Master styles атака на сетевые ресурсы и сервисы с целью –-Second level приостановления их деятельности и/или • Third level – Fourth level затруднения доступа к ним » Fifth level June 10th, 2009 Event details (title, place) Как это делается ? Click to edit Master title style • Click to edit Master text styles – Second level • Third Центры управления level – Fourth level bot-сетями » Fifth level Компьютеры, зараженный bot-вирусами June 10th, 2009 Event details (title, place) Способы заработка на ботнетах Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Классификация DDoS атак June 10th, 2009 Event details (title, place) КЛАССИФИКАЦИЯ DDOS АТАК Click to edit Master title style По мотиву • • Конкурентная борьба text styles Click to edit Master • Вымогательство – Second level • Месть• Third level – Fourth level • Выражения недовольства » Fifth level • Привлечение чьего либо внимания – Путем PR события, особенно, если кто-то возьмет на себя ответственность – Путем атаки собственного ресурса для PR этого события • • • • Демонстрация возможностей Кибертерроризм … Прикрытие других атак или противоправных действий (тестирвоание стрессоустойчивости сервиса) June 10th, 2009 Event details (title, place) КЛАССИФИКАЦИЯ DDOS АТАК Click to edit Master title style По источнику атак • Click Тип to edit Master textДостоинства styles Недостатки Персональные компьютеры Зачастую – слабозащищенные Компьютеры пользователей компьютеры, наличие работают по слабо методов массового заражения, предсказуемому графику, • Third level следовательно, для поддержания постоянной – Fourth level мощности необходимо » Fifth level достаточно большое количество зараженных машин Сервера Постоянно включенные производительные компьютеры , подключенные к сети по широким каналам Коммутационное Огромное количество Малая функциональность оборудование устройств с типовыми устройств уязвимостями, постоянная подключенность к каналам связи Комплексные Используются сразу несколько ботнетов – Second level June 10th, 2009 Event details (title, place) КЛАССИФИКАЦИЯ DDOS АТАК Click to edit Master title style По пути атаки • Click to edit Master text styles Прямые – Second level Атака направлена непосредственно на целевой ресурс Рекурсивные Атака задействует сторонние ресурсы. Пример подобной атаки: некоторому третьему ресурсу – Fourth levelзлоумышеленником посылаются посылаются запросы от » Fifth level имени жертвы. Третий ресурс начинает отвечать жертве, загружая каналы к жертве своими ответами. • Third level Косвенные June 10th, 2009 Создание нагрузки на ресурсы собственно сети Интернет, что помешает пользователям получить доступ к запрашиваемому ресурсу. Чаще всего подобные атаки направляются на Активное сетевое оборудование (маршрутизаторы) DNS службу Event details (title, place) КЛАССИФИКАЦИЯ DDOS АТАК Click to edit Master title style По целеуказанию • • DNS имя • Click IP-адрес – Second level По цели• • • to edit Master text styles Third level Атаки, направленные заполнение полосы пропускания – Fourthна level Атаки, направленные наlevel исчерпание ресурсов атакуемого сервиса » Fifth – Исчерпание ресурсов операционной системы – Исчерпание ресурсов приложения • Комплексные атаки (например, атака в рамках легитимного протокола и заполняет канал, и может вызвать исчерпание ресурсов) По использованию операции подмены адреса • • С подменой адреса отправителя пакета Без подмены адреса отправителя пакета June 10th, 2009 Event details (title, place) Click to edit Master title style По способу реализации • • Нелегитимный трафик на невостребованный протокол и/или порт •Лавинные Click to edit text styles атаки на Master целевой сервис в рамках легитимных протоколов – Second level сетевым протоколам По используемым • Third level Классификация атак по используемым протоколам – Fourth level » Fifth level Протоколы сетевого уровня TCP SIN flood Прикладные протоколы UDP ASC flood UDP flood ICMP DNS flood Прямой June 10th, 2009 HTTP GET POST CONNECTION Рекурсивный Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Реальные примеры DDoS атак June 10th, 2009 Event details (title, place) Распределение DDoS атак по секторам Click to edit Master title style экономики Интернет-торговля • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Финансовый сектор IT-компании Порносайты Игровые сайты Юридические компании СМИ Блоги и форумы Прочие бизнессайты Медицина June 10th, 2009 Event details (title, place) Письма счастья Click to edit Master title style Добрый день! • Click to edit Master text styles Сегодня - ДД.ММ.ГГ в ЧЧ:ММ Ваш сайт будет – Secondддос levelатаке. Если хотите, что бы Ваш сайт подвергнут работал, оплатите • Third level 30 000 рублей на Яндекс кошелек 4…….1. В –форме платежа, в примечании напишите адрес Fourth level » Fifth level сайта. Чем раньше ВЫ произведете оплату, тем быстрее Ваш сайт заработает. Сейчас атака будет показательная и не очень сильна, т.к. не получится, мы имеем возможность усилить атаку до такой степени, что не справится никто! От атаки в 70 000 русских ботов нет защиты! Не нужно отвечать на это письмо, эту почту никто не читает. Мы будем проверять кошелек 4……….1 и как только там появится 30 000р. от Вас, атака остановится. June 10th, 2009 Event details (title, place) Прикрытие несанкционированных Click to edit Master title style финансовых транзакций • •Кража пароля к клиент-банку Click to edit Master text styles • Перевод денежных средств на счета – Second level злоумышленников • Third level – Fourth • DDOS атака наlevel сайт Клиент-банка » Fifth level – не дать возможность обнаружить транзкцию – не дать возможность заблокировать операции • Распыление денежных средств по счетам злоумышленников • Снятие денег в банкоматах в регионах России June 10th, 2009 Event details (title, place) Примеры Click to edit Master title style • 10 февраля 2010 ! • Click to edit Master text styles В Интернете прошла операция Titstorm в знак протеста против – Second level ужесточения интернет-цензуры в Австралии. Сайт парламента страны • Third level (www.aph.gov.au) был недоступен утром около часа, сообщает Reuters. Fourth level и сайт австралийского министерства связи и Пострадал от– DDoS-атаки » Fifth level(www.dbcde.gov.au). электронной экономики • 17 января 2010 ! ! На сайт Украинского Национального экзит-пола была совершена хакерская атака. Пресс-служба Партии регионов Украины заявила о DDoS-атаке на сайт лидера партии, кандидата в президенты Виктора Януковича. Атака началась в ночь с 17 на 18 января примерно в 23:30. June 10th, 2009 Event details (title, place) Примеры Click to edit Master title style • 23 декабря 2009 ! вечером в течение часа ряд крупных веб-ресурсов США, включая Amazon, были недоступны дляMaster пользователей. Как вскоре выяснилось, причиной • Click to edit text styles этому послужила DDoS-атака на DNS-провайдера UltraDNS, сообщает Second level CNET–News. • 2009 Thirdгода level • 17 декабря ! Помимо DDoS-атаки сайт "Ведомости", под удар попали DNS-сервера – Fourthнаlevel » Fifth level издательского дома Independent Media. В связи с этим пропал Интернет в офисе "Ведомостей" • 16 декабря 2009 года ! DDoS -атаки на газету "Ведомости" • 26 августа 2009 года ! Пресс-служба компании Imena.UA, крупнейшего регистратора доменных имён Украины, распространила сообщение о том, что недавно была зафиксирована самая крупная внутриукраинская DDoS-атака "за всю историю Уанета". Атака проводилась и была направлена на автономную систему Imena.UA/MiroHost.net. June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Пара интересных фактов June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles HTTP Flood – Second level • Third level SYN Flood ICMP Flood UDP Flood TCP Data Flood – Fourth level » Fifth level DNS имя IP адрес Средняя мощность 250 Мбит/с June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Насколько все серьезно June 10th, 2009 Event details (title, place) В чем основная проблема? Click to edit Master title style Средства атак доступны и дешевы !!! • Click to edit Master text styles Спам-аналитики «Лаборатории Касперского» зафиксировали спам-рассылку следующего содержания: – Second level DDoS Сервис Начали давить конкуренты? Кто-то мешает Вашему бизнесу? – Fourth level Нужно вывести из строя сайт "противника"? • Third level » Fifth level 1 час - 20$ Cутки от 100$ Мы готовы решить вашу делемму. Мы предлагаем услугу по устранению нежеланных для вас сайтов. Ботнет постоянно увеличивается! Наши боты находятся в разных часовых поясах, что позволяет держать постоянно в онлайне численную армию ботов, и в отличии от других сервисов - нашу атаку нельзя закрыть по стране! Цены: 1 час - 20$ Cутки от 100$ Крупные проекты - от 200$ в зависимости от сложности заказа. Делаем тест на 15 минут бесплатно! June 10th, 2009 Event details (title, place) В Сети обнаружен сайт, торгующий огромным Click to edit Master title style ассортиментом вредоносных ботов В мае была обнаружила сеть, в которой продаются боты, специализирующиеся на социальных сетях и системах электронной почты, • Click to edit Master text styles включая Twitter, Facebook, Hi5, MySpace, MyYearBook, YouTube, Tuenti, – Second level Friendster, Gmail и Yahoo. К каждому боту прилагается объяснение цели создания данного бота: • Third level – Fourth level • одновременное создание многочисленных аккаунтов в » Fifth level социальных сетях; • кража персональных данных, друзей, поклонников и контактов; • автоматическая отправка сообщений • Сбор идентификаторов • Отправка запросов на добавление в друзья • Оставление сообщений и автоматических комментариев. Самый дешевый бот стоит от 95$, самый дорогой - 225$. Весь каталог ботов можно приобрести за 4500$. Создатели гарантируют, что ни одно решение безопасности не сможет обнаружить этих ботов. June 10th, 2009 Event details (title, place) Мир Ботнетов Click to edit Master title style • Профессионалы • Click to edit Master text styles 10% – Second level • Third level • • – Fourth level Мотивированные профессионалы Вооружены новейшим инструментарием Могут оплатить мощнейшую атаку » Fifth level Сообщество 30% $5 000 Потребительский DDoS 60% $100 June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Поднаготная атак June 10th, 2009 Event details (title, place) Схема организации атаки Click to edit Master title style Специалист по заражению Программист • Click to edit Master text styles Поиск уязвимостей – Second level • Third level – Fourth level » Fifth level Исполнитель Заказчик Жертва June 10th, 2009 Event details (title, place) Стадии создания ботнета Click to edit Master title style • Создание вредоносного ПО • –Click to edit Master text styles Создание кода под заказ – –Покупка существующего кода Second level – Использование • Third levelдоступного инструментария для конструирования – Fourth level » Fifth level • Создание/использование канала заражения – Покупка загрузок бота – Создание собственного канала • Наличие центров управления – Использование доступного инструментария – Аренда абузоустойчивого хостинга June 10th, 2009 Event details (title, place) Создание канала заражения Click to edit Master title style • Кража паролей к различным сайтам (доступ по FTP), нахождение иных уязвимостей • Click to edit Master text styles • Модификация WEB-страниц – вкладывание в них – Second level ссылок на центры распределения трафика • Third level – Fourth level » Fifth level Взломанные сервера Распределение Трафика (например - географическое) Пункты раздачи вредоносного ПО (само тело или руткит) • Завлечение пользователей на взломанные сайты June 10th, 2009 Event details (title, place) Хакеры инфицировали сайт крупной израильской Click to edit Master title style газеты Jerusalem Post вредоносным ПО • Click to edit Master text styles • Как отмечают эксперты, хакеры встроили опасные – Second level скрипты непосредственно в код сайта, а не в • Third level стороннюю рекламу, как это чаще всего бывает. В – Fourth level итоге они получили » Fifth level возможность распространять через сайт известной газеты вирусы для компьютеров под управлением ОС Windows.. June 10th, 2009 Event details (title, place) Сайты государственного казначейства США Click to editкомпьютеры Master title style инфицируют посетителей вредоносным ПО • Click to edit Master text styles • Веб-сайты, Государственному – Secondпринадлежащие level казначейству США, перенаправляют пользователей на • Third level сторонние– ресурсы, Fourth level которые, в свою очередь, » Fifth level пытаются установить на компьютеры посетителей вредоносные программы. June 10th, 2009 Event details (title, place) Деблокер «Лаборатории Касперского» Click to edit Master title styleраз посетили пять миллионов • Стоит отметить, что эти данные относятся к деблокеру на • Click towww.kaspersky.ru, edit Master text styles странице однако сервис «Лаборатории Касперского» работает удаленно и на ряде других сайтов, – Second level поэтому• общее количество посещений приближается к Third level отметке в 10.000.000. – Fourth level » Fifth level • На данный момент ежедневно появляется более сотни новых блокеров June 10th, 2009 Event details (title, place) Провайдер Orange предоставил клиентам Click to edit Master title style уязвимую антипиратскую программу • Интернет-провайдер Orange предложил своим • Click to edit Master text styles пользователям программу, блокирующую незаконный файлообмен, однако брешь в этой системе открыла – Second level компьютеры всех подписчиков услуги для • Third level – Fourth level злоумышленников. » Fifth level • Выяснилось, что административный интерфейс системы доступен по логину "admin" с аналогичным паролем. По некоторым данным, при желании злоумышленник может модифицировать приложение и инфицировать компьютеры пользователей услуги вредоносным программным обеспечением. June 10th, 2009 Event details (title, place) Уровень заражения Click to edit Master title style • В четвертом квартале 2009 года было в общей сложности 5,5 миллионов • инфицировано Click to edit Master text styles веб-страниц, располагавшихся более чем на 560 – Second level тысячах сайтов. • Third level • Основная тенденция последних месяцев – – Fourth level Fifth level написание »злоумышленниками менее заметных эксплоитов. • По состоянию на конец года в среднем на компьютер жертвы устанавливалось 2,8 вредоносной программы По данным опубликованному калифорнийской компанией Dasient отчету за четвертый квартал 2009 года June 10th, 2009 Event details (title, place) Еще примеры Click to edit Master title style • Эпидемия сетевого червя Net-Worm.Win32.Kido (Conficker, • Click to 1-м editкавартале Master 2009 text года styles Downadup)в ~5’000’000 заражённых компьютеров. апреля 2009 года червь содержит функциолнал – SecondС level BotNet • Third level • Десятки миллионов персональных компьютеров в США являются – Fourthантивирусов level жертвами ложных (rogueware), которые не только не » Fifth level защищают пользователя от вредоносных атак, но и делают компьютер более уязвимым для проникновения другого зловредного ПО. В течение последнего года такие приложения были скачаны доверчивыми пользователями около 43 млн. раз. По материалам сайтов http://webplanet.ru http://www.xakep.ru June 10th, 2009 Event details (title, place) Еще примеры Click to edit Master title style • Одна из моделей маршрутизаторов, которые устанавливает своим клиентам американский провайдер Road Runner High Speed Online, • Click серьёзную to edit Master text styles содержит уязвимость, позволяющую атакующему легко получить доступ level к меню администратора этого устройства. Модель – Second SMC8014 стоит примерно у 65-67 тысяч человек. • Third level – Fourth level • Ботнетостроитель Net-Worm.Linux.Psyb0t.a (~80’000 заражённых » Fifth level компьютеров) Атакует сетевое оборудование под управлением ОС Linux (уязвимые домашние маршрутизаторы и DSL-модемы на процессорах MIPS) • В феврале 2010 года Исследователи из университета имени Масарика, обнаружили новый ботнет, который инфицирует плохо настроенные роутеры и DSL-модемы (ботнет Чак Нориса). По материалам сайта Вебпланета http://webplanet.ru June 10th, 2009 Event details (title, place) И социальная инженерия … Click to edit Master title style • Пользователям Mac OS X, соблазнившимся пиратским ПО, угрожает неприятность в виде нового трояна, предупреждает антивирусная компания Intego. Вредоносная программа OSX.Trojan.iServices.A идёт в качестве нагрузки к гуляющему по торрент-сетям дистрибутиву офисного пакета iWork '09. – Second level дистрибутив iWork '09 с сюрпризом скачало с торрентов По состоянию на 21 января уже по крайней мере 20 000 любителей халявы. Точной информации о том, сколько • Third level из них запустили инсталляцию офисного пакета и, соответственно, заразили свои – но Fourth level компьютеры, нет, можно смело предположить, что таких подавляющее большинство. » Fifth level • Click to edit Master text styles • Silent Hunter 5 кишит руткитами Игроки, ищущие в Сети взломанные копии игр, рискуют загрузить вместе с ними целый коктейль вредоносных приложений. • Лаборатория PandaLabs сообщила о появлении нового червя FTLog.A, который распространяется через популярный веб-сайт социальной сети Fotolog. На этом портале размещают фотографии более 30 миллионов пользователей по всему миру. По материалам сайтов http://webplanet.ru http://www.xakep.ru June 10th, 2009 Event details (title, place) Тенденции Click to edit Master title style • Интеллектуальные боты • Click to edit Master text styles • Переход количества в качество (за счет качества – Second level бота) • Third level • Прыгающие управляющие центры, текстовые – Fourth level центры (например, через Твиттер) » Fifth level • … June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Kaspersky DDoS Prevention June 10th, 2009 Event details (title, place) Мы хотим защитить мир от Киберугроз Click to edit Master title style • Ваши ресурсы будут всегда доступны легальным пользователям, т.е. Ваш • Click to edit Master textбизнес styles будет нормально работать в сети – Second level • Third level – Fourth level • Вы не станете объектами шантажа со стороны » Fifth level кибер-преступников Мы дарим спокойствие и уверенность в защищенности своих ресурсов June 10th, 2009 Event details (title, place) Техническая суть Click to edit Master title style • Click to edit Master text styles Без атаки – Second level • Third level – Fourth level » Fifth level Во время атаки June 10th, 2009 Event details (title, place) Базис услуги Click to edit Master title style • Команда, профессионально занимающаяся от DDOS • защитой Click to edit Master text styles – Second level • Third level • Мощная, распределенная система очистки – Fourth level » Fifth level • Аналитический центр, работающий в режиме 24/7 • Уникальные технология выявления BOT-сетей по статистическим и поведенческим признакам • Мы антивирусная компания June 10th, 2009 Event details (title, place) Архитектура системы Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Критерии фильтрации Click to edit Master title style • Статистические – Основа – вычисленные параметры поведения типового пользователя • Click to edit Master text styles – Second level • Статические • Third level – Черные/белые списки фильтрации – Fourth level • Поведенческие » Fifth level – Основа – умение работать в соответствии со спецификацией протокола • Сигнатурные – Индивидуальные особенности Ботнета • Список выявленных IP адресов • Особенности генерируемых сетевых пакетов • Работа June 10th, 2009 Event details (title, place) Архитектура системы Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Выявление аномалий Click to edit Master title style • Профиль обнаружения аномалий — совокупность пороговых значений некоторой величины, описывающих нормальный трафик ресурса. • Click to edit Master Состоит из следующих полей: text styles •– день недели Second level • час • Third level • пороговое значение – Fourth level • множитель»порогового значения Fifth level • указатель направления пересечения порогового значения June 10th, 2009 Event details (title, place) Основной экран пользователя Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Дополнительно: соотношение протоколов Click to edit Master title style • Click to edit Master text styles – Second level • Third level НОРМА – Fourth level » Fifth level Пример аномалии June 10th, 2009 Event details (title, place) Форма просмотра детальной информации to edit Master title style поClick контролируемому параметру • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Архитектура системы Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Профиль фильтрации Click to edit Master title style • Профиль фильтрации — совокупность пороговых значений описывающих пользователя ресурса Клиента. Предназначен для выявления чьи параметры трафика • Click вtoмассе editпользователей Master textтех, styles существенно отличаются от расчетного нормального трафика – Second level пользователя ресурса. • Third level • Профиль фильтрации рассчитывается индивидуально для ресурса – Fourth level Клиента. » Fifth level Профиль фильтрации ресурса Клиента представляет собой совокупность следующих пороговых значений, например: • • • • • ВСЕГО БОЛЕЕ полученные пакеты в секунду; 40 полученные байты в секунду; ПАРАМЕТРОВ!!! отправленные пакеты в секунду; отправленные байты в секунду; полученные TCP-пакеты с единственным установленным флагом «SYN» в секунду. June 10th, 2009 Event details (title, place) Архитектура системы Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Варианты сбора статистической Click to edit Master title style информации для построения профилей • Зеркальный отвод трафика на Сенсор, • Click to edit Master text styles – Second level трафика на Сенсор, размещенный • Перенаправление удаленно (проксированием для протокола http/https или • Third level – Fourth level по GRE-туннелю для других протоколов). Настраивается » Fifth level направление трафика на сенсор (DNS, BGP) который проксирует трафик на сервер клиента. • Направление на Сенсор, размещенный удаленно, статистики по протоколу NetFlow, собранной оборудованием клиента. June 10th, 2009 Event details (title, place) Варианты переключения трафика на Click to edit Master title style систему очистки • Переключение трафика методом изменения IP-адреса в • Click to edit Master text styles DNS-записи – Second level • Third level • Анонсирование автономной системы заказчика за – Fourth level «Лаборатории Касперского» автономной системой » Fifth level • Подключение ресурса Заказчика к Системе на постоянной основе методом изменения IP-адреса в DNS-записи • Компонент подсистемы фильтрации устанавливается непосредственно перед защищаемым ресурсом Заказчика June 10th, 2009 Event details (title, place) Типовая схема подключения клиента по DNS Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Типовая схема подключения клиента по DNS Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Тестируемая схема подключения по BGP Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Достоинства системы June 10th, 2009 Event details (title, place) Наши достоинства Click to edit Master title style • Статистические и поведенческие! методы защиты • Click to edit Master text styles • Построение индивидуальных статистических профилей – Second level • Скорость обновлений • Third level – Fourth level • Провайдер защищает » Fifth level только своих клиентов, мы – всех • Наша система – распределенная • Мы – антивирусная компания • Участие аналитиков в отражении атак • Возможность эффективного противодействия уже идущей атаке June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level » Fifth level Работа с заблуждениями June 10th, 2009 Event details (title, place) Недостатки типовых методов защиты Click to edit Master title style • Межсетевые экраны Не спасают от атаки на исчерпание полосы пропускания канала. • Click to edit вMaster text styles • Маршрутизация «черные дыры» – Second levelдостичь своей цели. Только помогают хакеру • Системы IDS|IPS • Third level не спасают от атаки на исчерпание полосы пропускания канала. – Fourth level » FifthDDoS level бессильны против 99% атак, которые не используют уязвимости. • Оптимизация настроек ресурсов Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса». • Многократное резервирование Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту. June 10th, 2009 Event details (title, place) Виды заблуждений Click to edit Master title style • • Пораженческие Click to edit Master text styles заблуждения заставляют опускать руки даже –Эти Second level грамотных телекоммуникационных инженеров и • Third level специалистов по безопасности – Fourth level » Fifth level • Чрезмерно оптимистичные Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности June 10th, 2009 Event details (title, place) Пораженческие Click to edit Master title style • От DDOS невозможно защититься В общем же случае, речь идет о противостоянии людей и техники, а • Click to edit Master text styles людям свойственно ошибаться. Это выражается в том, что у атак есть – Second почерк (типовые level пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту. • Third level • Защитить от– DDOS могут только провайдеры Fourth level » Fifth level Да, действительно, провайдеры могут помочь в отражении атаки. Но это не их бизнес. Услуги по защите от DDoS скорее направлены на защиту собственной инфраструктуры. В остальном, зачастую, провайдеры используют типовые методы защиты, основанные на общесетевой статистике. • Все равно мне забьют канал… Это вполне возможно. Но наша система защиты – это несколько распределенных точек, которые подключены к сети Интернет настолько производительными каналами связи, что может вобрать в себя атаку любой сложности. June 10th, 2009 Event details (title, place) Оптимистичные Click to edit Master title style • Я читал о том, как можно настроить сервер, чтобы он устоял • Click to edit Master text styles Да, такие рекомендации существуют. Они действительно повышают – Second level устойчивость сервера к атакам на 200-300 %. Но требуется не менее • Third «запаса». level 1000 процентов – Fourth level • Я распределил ресурсы, арендовал несколько IP» Fifth level адресов и создал производительный кластер Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна. • Я арендовал достаточный канал Это поможет, но лишь отчасти. Например, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений. June 10th, 2009 Event details (title, place) Click to edit Master title style • Click to edit Master text styles – Second level • Third level – Fourth level Спасибо за Внимание! » Fifth level Малышев Игорь Региональный представитель ЗАО «Лаборатория Касперского» в ЮФО и СКФО June 10th, 2009 Event details (title, place)