DDoS-атаки как инструмент кибертерроризма Алексей Афанасьев, Руководитель проекта Kaspersky DDoS Prevention
История с закрытием Ex.ua По материалам donbass.ua и др. интернет изданий 31 января 2012 Закрытие крупнейшего файлообменника Украины - EX.UA (возбуждение уголовного дела по статье УК нарушение авторского права и смежных прав) 1 февраля 2012 Недоступны сайты: prezident.gov.ua (официальный сайт президента Украины) rada.gov.ua (официальный сайт Верховной Рады ) kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины) partyofregions.org.ua. (сайт Партии регионов) 1 февраля 2012 Потерян доступ к базе всех законодательных документов Украины: (информационный ресурс zakon.rada.gov.ua) 2 февраля 2012 В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA (только в одной из них более двадцати тысяч пользователей). Проводится голосование - какой web-ресурс "валить" следующим, а также даются инструкции - как это сделать, обладая минимальным знаниями. Звучат призывы "не валить сайты, а валить власть" | 27 November 2013PAGE 2 |
История «Операции Абабиль»: сколько сезонов? По материалам интернет изданий Cерия DDoS-атак на американские банки Начало атак сентябрь 2012 Ответственность взяла исламистская группировка, именующая себя «кибервоины Изз ад-Дин аль-Кассама» (Izz ad-Din al-Qassam Cyber Fighters) Основные характерные черты: мощность DDoS-атак на пике Гб/с высокий технический уровень нападающих и тщательный отбор основных мишеней мишени: хорошо защищенные банки, имеющие опыт самозащиты в большинстве случаев атаки имеют комплексный характер | 27 November 2013PAGE 3 |
«Операция Абабиль»: крайний сезон… По данным NBC News | 27 November 2013PAGE 4 | За минувшие полтора месяца веб-сайты 15-ти крупнейших американских банков были недоступны в совокупности 249 часов Для сравнения: год назад суммарный простой тех же объектов за тот же период составил 140 часов Только за март 2013 подверглись атаке: веб-сервис JPMorgan Chase сайты American Express онлайн-ресурс Wells Fargo Основная цель атак по мнению Дуг Джонсона (Doug Johnson, вице- президент АВА): атаки имеют целью дестабилизацию интернет-сервиса, а не вторжение – «все равно как стучаться в закрытую дверь, не пробуя войти» По оценке Solutionary, поставщика управляемых систем безопасности, на ликвидацию последствий современной DDoS атаки организации тратят до 6,5 тыс. долларов в час, без учета упущенной выгоды за время простоя
История со Spamhaus По материалам интернет изданий | 27 November 2013PAGE 5 | Первые проблемы у Spamhaus начались 15 марта 2013 Веб-сайт и почтовый сервер борцов со спамом легли под атакой на весь уикенд, и подписчики вынуждены были прибегнуть к альтернативным способам обновления черных списков Мощность на пике превысила 300 Гб/с Основной тип атаки DNS amplification марта мощность DDoS-атаки колебалась в пределах Гбит Помимо CloudFlare и Spamhaus, попавших под раздачу, пострадала лондонская LINX: 23 марта в пиковые часы трафик здесь упал вдвое против обычного и держался на этом уровне более часа
Теневые бизнесы вокруг DDoS Продажа софта Заказные атаки «Загрузки» ПО Сдача сетей в аренду Вымогательство | 27 November 2013PAGE 6 |
| 27 November 2013Противостояние стихии по имени «DDoS»PAGE 7 |
Категории клиентов Были под атакой Ждут атаки Сомневаются или не верят | 27 November 2013PAGE 8 |
Варианты решений по защите от DDoS-атак Самостоятельно построить защиту –В стоимости проекта учтите модификацию текущего подключения, стоимость оборудования, сервис контракта (годовые подписки на сигнатуры и т.п.), зарплата сотрудников и …. –Вы готовы всегда сами себя оперировать, даже если Вы врач-хирург? Обратиться к сервис-провайдеру –Спросите у провайдера по предлагаемой услуге SLA, а есть ли личный кабинет и система мониторинга не всего канала, а лично Вашего ресурса? –Вы готовы доверить ветеринару лечить Вашего ребенка? Использовать функции защиты, реализованные в программных комплексах для ……… –У Вас есть набор ресурсов, приложений, площадок... Ваша ответственность за все ресурсы, все это должно работать, а не только часть или один из ресурсов. –Вы предпочитаете искать надо где потеряли, или где светло? Может обратиться к профессионалам? | 27 November 2013PAGE 9 |
Из мифотворчества Наверняка Вы слышали о 1, 2, 5, 10, 20 и более Гигабитных атаках ЗАЧЕМ СТОЛЬКО, ЕСЛИ Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с Коммутационное оборудование «ложится» от потока пакетов в пакетов в секунду = 19 Мбит/с Приложение способно обработать всего 4 запроса в секунду | 27 November 2013PAGE 10 |
Где установить защиту? | 27 November 2013PAGE 11 |
Kaspersky DDoS Prevention | 27 November 2013PAGE 12 | ё Без атаки Во время атаки
Реальный пример защиты: история с Новой Газетой Хронология событий | 27 November 2013PAGE 13 | :00 Мощность до 300Мбит/сек, SYN-flood мощность атаки плавно возрастает, достигая 700Мбит SYN-flood в 15:00 профиль атаки сменился на DNS amplification, общая мощность атаки превысила 40Гбит/сек в 15:25 профиль атаки сменился на (атака типа DNS amplification завершилась) :00 начало атаки DNS amplification, общая мощность не ниже 60Гбит/сек :20 вышестоящие провайдеры производят блекхол маршрутов с 19:00 производится анонсирование маршрута в пределах MSK-IX. (сайт Новой Газеты доступен из сетей провайдеров, имеющих пиринг на MSK-IX)
Реальный пример защиты: история с Новой Газетой Хронология событий (продолжение) | 27 November 2013PAGE 14 | с 12:00 устанавливаем UDP-фильтра на транзитный трафик включаются маршруты до сети, в которой находится сайт Новой Газеты :05 атака типа RST-flood + HTTP flood незначительной мощности :40 атака типа RST-flood + HTTP flood закончилась :00 началась атака DNS amplification. В гео-распределении трафика Россия практически отсутствует. Пик атаки имеет мощность более 5Гбит/сек атака дополняется типа SYN-flood мощностью более 3.3M пакетов/сек :30 атака прекратилась : :00 комбинированная атака с изменением профиля каждые 5-6 минут. Различиные варианты атак типа RST flood, SYN flood, ACK flood, http flood. Ни один из вариантов не оказывает на работу сайта Новой Газеты никакого влияния :10 массовые попытки вывести сайт Новой Газеты из строя прекращаются
Реальный пример защиты: история с Новой Газетой Хронология событий (продолжение) | 27 November 2013PAGE 15 | После попытки одиночные, но имеют место…
Результаты работы системы | 27 November 2013PAGE 16 |
КАК РАССЛЕДУЮТ DDoS-АТАКИ? | 27 November 2013PAGE 17 | Kaspersky DDoS Prevention Report BotFarmInternet datamining CC Анализ зловреда Снятие образа ПК Анализ СС Поиск владельца Поиск заказчика Выезд к зараженному ПК Russian Bots Bot List
КТО ВЕДЕТ РАССЛЕДОВАНИЕ? | 27 November 2013PAGE 18 | Отдел расследования компьютерных инцидентов Оперативники Следователи Аналитики
Thank You Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA