1. Организация защиты для
распределенных интеллектуальных
ресурсов и облачных сервисов
Алексей Афанасьев,
Менеджер проектa DDoS Prevention Kaspersky Lab Russia
Alexey.Afanasyev@kaspersky.com
2. «Лаборатория Касперского»
Один из крупнейших производителей решений для обеспечения
информационной безопасности
Лидер российского рынка
Защита почти 300 миллионов рабочих мест
Почти 10 миллионов активаций продуктов в месяц
220 патентов по всему миру
Более 2300 сотрудников, из них 800 в R&D
Более 130 OEM-партнеров
PAGE 2 | | 07 June 2012
3. Защита сетевой инфраструктуры любой компании
Простое Защита Защита Защита
управление виртуальной физической мобильных
среды инфраструктуры устройств
Единая консоль Автоматическая Защита в Защита данных
защита реальном времени при утере/краже
Применение
политик Высокая Мощные Поддерживаемые
производительность инструменты ОС:
Понятный контроля Android, Blackberry,
интерфейс Максимальная Windows, Symbian
эффективность Поддержка
Подробные большинства
отчеты Прозрачность платформ
PAGE 3 | | 07 June 2012
4. Kaspersky Security для виртуальных сред
Ключевые преимущества
Антивирусное ядро, удостоенное
многочисленных наград
Централизованное управление
Минимальное влияние на
производительность
Исключение ситуаций «шквального»
сканирования и обновления
Автоматическая защита новых
виртуальных машин
Высокий уровень технической поддержки
Высокая плотность ВМ
Быстрая окупаемость
PAGE 4 | | 07 June 2012
5. Откуда такая осведомленность
Постоянный опрос
выявленных управляющих центров
Интернет
Информирование
о изменении статуса
PAGE 5 | | 07 June 2012
6. Date Type Bot Arguments
[http] http://moscow-post.ru
2011.06.14 20:05:21 START skill.ddos/xzrw0q.com numthreads: 100
MSD
[http] http://moscow-post.ru/server/classes/class.db.php
2011.06.14 20:05:21 START skill.ddos/xzrw0q.com numthreads: 100
MSD
[http] www.9796024.ru
2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400
MSD om
[http] www.autoclimat.ru
2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400
MSD om
[http] www.autoklimat.ru
2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400
MSD om
[http] www.autotavi.ru
2011.06.14 20:04:03 START skill.ddos/nyamazama.c numthreads: 400
MSD om
[http] www.climatavto.ru
PAGE 6 | Мифы и реалии DDoS угрозы | 07 June 2012
7. Базис
Мы антивирусная компания
Аналитический центр, работающий в
режиме 24/7
Уникальные технология выявления BOT-
сетей по статистическим и поведенческим
признакам
Команда,
профессионально
занимающаяся
защитой от DDOS
Мощная, распределенная
система очистки
PAGE 7 | | 07 June 2012
8. Несколько фактов о DDoS атаках
HTTP Flood
SYN Flood
ICMP Flood
UDP Flood
TCP Data Flood
DNS имя
IP адрес
Средняя мощность
350 Мбит/с
PAGE 8 | | 07 June 2012
10. Распределение атакованных сайтов по категориям деятельности
2011 год
Лидером по количеству жертв
остался сегмент интернет-торговли
— 25% всех зарегистрированных атак.
Доля атак на государственные
сайты постепенно растет.
PAGE 10 | | 07 June 2012
11. Распределение DDoS-атак по часам
2011 год
DDoS-боты начинают работать в районе 9-10 часов утра,
рабочий день у ботов ненормированный и продолжается до глубокой
ночи — только в 4 утра бОльшая часть ботнетов уходит на покой.
.
PAGE 11 | | 07 June 2012
12. Типы DDoS-атак
2011 год
Акцент в последнее время смещается именно на атаку приложения.
Простейшие атаки на канал научились отбивать операторы,
злоумышленникам пришлось искать новые,
интеллектуальные методы нападения.
PAGE 12 | | 07 June 2012
13. Виды HTTP-Flood. Эволюция
HTTP Flood
2008 SYN Flood
ICMP Flood
UDP Flood
TCP Data Flood
HTTP Flood
SYN Flood
UDP Flood
2011 ICMP Flood
TCP DATA flood
PAGE 13 | | 07 June 2012
14. Типы DDoS-атак. Виды HTTP-Flood
2011 год
Лишь в одном случае из 10 проводятся сложные атаки,
когда злоумышленники пытаются замаскировать
действия ботов под поведение настоящих пользователей.
PAGE 14 | | 07 June 2012
15. Распределение целей атак по именам сайтов и по IP-адресам
2011 год
Акцент в последнее время смещается на атаку по IP-адресу.
Причина проста: большинство схем фильтрации работает по именам.
PAGE 15 | DDoS атаки: мифы и реальность | 07 June 2012
16. Один из мифов про DDoS
Средняя скорость – около 300 Мбит/с
60
50
40
30
20
10
0
менее 50 50-100 100-200 200-300 300-400 400-500 более 500
PAGE 16 | | 07 June 2012
17. Цифры прошедшего полугодия
Максимальная мощность атак, отраженных Kaspersky
DDoS Prevention, по сравнению с первым полугодием
2011 увеличилась на 20% и составила 600 Мбит/с или 1
100 000 пакетов/секунду (UDP-flood короткими пакетами
по 64 байта).
Средняя мощность отраженных Kaspersky DDoS
Prevention атак выросла на 57% и составила 110 Мбит/с.
Самая протяженная DDoS-атака, зафиксированная во
втором полугодии, продолжалась 80 дней 19 часов 13
минут 05 секунд и была нацелена на туристический сайт
Средняя продолжительность DDoS-атак составила 9
часов 29 минут
PAGE 17 | | 07 June 2012
18. История с закрытием Ex.ua
По материалам donbass.ua и др. интернет изданий
31 января 2012 Закрытие крупнейшего файлообменника Украины - EX.UA
(возбуждение уголовного дела по статье УК “нарушение авторского права
и смежных прав”)
1 февраля 2012 Недоступны сайты:
• prezident.gov.ua (официальный сайт президента Украины)
• rada.gov.ua (официальный сайт Верховной Рады )
• kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины)
• partyofregions.org.ua. (сайт Партии регионов)
1 февраля 2012 Потерян доступ к базе всех законодательных документов Украины:
(информационный ресурс zakon.rada.gov.ua)
2 февраля 2012
• В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA“
(только в одной из них более двадцати тысяч пользователей).
• Проводится голосование - какой web-ресурс "валить" следующим, а также
даются инструкции - как это сделать, обладая минимальным знаниями.
• Звучат призывы "не валить сайты, а валить власть"
PAGE 18 | | 07 June 2012
19. Теневые бизнесы вокруг DDoS
Продажа софта
Заказные атаки
«Загрузки» ПО
Сдача сетей в аренду
Вымогательство
PAGE 19 | | 07 June 2012
20. Ущерб экономике страны
Моральный аспект
Конкурентная борьба
Вымогательство
Мошенничество
Месть
Результаты:
• Недовольство клиентов
• Недовольство контрагентов
• Репутационный ущерб
• Срыв бизнес процессов
• Отвлечение от главного (хищения)
• Прямой ущерб (торговые площадки)
PAGE 20 | | 07 June 2012
21. DDoS-атака против конкурентов
http://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda
История:
Во время проведения компанией «Аэрофлот» тендера на выбор платежной системы
были проведены DDoS-атаки на сервис Assist
Результат:
Система Assist была недоступна в момент принятия решения по тендеру.
В июне 2012 в России судебная система заинтересовалась DDoS-атаками и за
организацию этой атаки предъявила обвинения Павлу Врублевскому
Отметим:
Павел Врублевский владелец компании Chronopay — крупнейшей процессинговой
фирмы России конкурирующий с сервисом Assist
• P.S. Cчитается, что Павел Врублевский является организатором одной из крупнейших
спамерских парнерок «Rx-promotion».
PAGE 21 | | 07 June 2012
22. PAGE 23 | Противостояние стихии по имени «DDoS» | 07 June 2012
23. Категории клиентов
Были под атакой
Ждут атаки
Сомневаются
или не верят
PAGE 24 | | 07 June 2012
24. Из мифотворчества
Наверняка Вы слышали о 1, 2, 5, 10, 20 и более Гигабитных атаках
ЗАЧЕМ СТОЛЬКО, ЕСЛИ
Типовое подключение организации к Интернету – 2 канала по
200 Мбит/с = 200 Мбит/с
Коммутационное оборудование «ложится» от потока пакетов
в 50 000 пакетов в секунду = 19 Мбит/с
Приложение способно обработать всего 4 запроса в секунду
PAGE 25 | | 07 June 2012
25. Виды заблуждений
Пораженческие
Эти заблуждения заставляют опускать руки даже грамотных
телекоммуникационных инженеров и специалистов по безопасности
Чрезмерно оптимистичные
Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в
своей защищенности
PAGE 26 | | 07 June 2012
26. Пораженческие
От DDOS невозможно защититься
В общем же случае, речь идет о противостоянии людей и техники, а
людям свойственно ошибаться. Это выражается в том, что у атак есть
почерк (типовые пакеты, типовые обращения), а это значит, что их можно
выявлять и на этом строить защиту.
Защитить от DDOS могут только провайдеры
Да, действительно, провайдеры могут помочь в отражении атаки. Но
это не их бизнес. Услуги по защите от DDoS скорее направлены на защиту
собственной инфраструктуры.
В остальном, зачастую, провайдеры используют типовые методы
защиты, основанные на общесетевой статистике.
Все равно мне забьют канал…
Это вполне возможно. Но наша система защиты – это несколько
распределенных точек, которые подключены к сети Интернет настолько
производительными каналами связи, что может вобрать в себя атаку любой
сложности.
PAGE 27 | | 07 June 2012
27. Оптимистичные
Я читал о том, как можно настроить сервер, чтобы он устоял
Да, такие рекомендации существуют. Они действительно
повышают устойчивость сервера к атакам на 200-300 %. Но требуется
не менее 1000 процентов «запаса».
Я распределил ресурсы, арендовал несколько IP-адресов и
создал производительный кластер
Атака, чаще всего, бывает направлена на DNS-имя ресурса.
Кроме того, в случае атаки на полосу пропускания, кластеризация
любая вычислительная мощность сервера будет бесполезна.
Я арендовал достаточный канал
Это поможет, но лишь отчасти. Например, мощность канала
может оказаться достаточной для того, чтобы исчерпать ресурсы
сервера приложений.
PAGE 28 | | 07 June 2012
32. Варианты решений защиты от DDoS-атак
Самостоятельно построить защиту
Обратиться к сервис провайдеру
Использовать функции защиты входящие в
программные комплексы для …………………………
Может обратиться к профессионалам?
Подключение к специализированным сервисам,
осуществляющим защиту от DDoS-атак
PAGE 33 | | 07 June 2012
33. Ключевые особенности Kaspersky DDoS Prevention
Защита любых сервисов и приложений
Собственная технологическая платформа
5 лет опыта
Единое решение, не зависящее от текущих поставщиков
Интернет-услуг
Глобальная распределенная система фильтрации
Внедрение без инфраструктурных изменений
Мониторинг аномалий в режиме 24х7
Аналитическое сопровождение атаки
PAGE 36 | | 07 June 2012