Шевцов А.А. DDoS: типы, характеристики, тенденции

Во время DDoS (Distributed Denial of Service) атаки зараженные хосты (боты) из разных сетей перегружают ресурсы цели нелегитимным трафиком, вызывая отказ в обслуживании легитимных клиентов. Что такое DDoS атака? 2

Сегодня DDoS вызывает (1) перегрузку канала, (2) переполнений таблиц сессий на stateful устройствах, (3) отказ сервиса – часто все вместе происходит при одной атаке и влечет недоступность сервиса. Сложность современных DDoS атак 3 Load Balancer ЦОД Легитимный трафик IPS ПЕРЕГРУЗКА ПЕРЕПОЛНЕНИЕ СЕССИЙ ОТКАЗ СЕРВИСА Сервера и приложения Трафик атаки

Угрозы для ЦОД Интернет Сервис Провайдер Провайдер 1 Провайдер n Провайдер 2 НЕДОСТУПНОСТЬ СЕРВИСОВ ЦОД IPS Балансировщик нагрузки ОБЪЕДИНЕНИЕ DDoS атаки уровня приложения Объемные DDoS атаки Как объемные атаки, так и атаки уровня приложения могут привести к отказу в обслуживании сервисов в ЦОД Неазконный траффик Хороший траффик Цель: сервисы и приложения

Существующие системы защиты периметра не нацелены на обеспечение доступности данных ЦОД IPS Load Balancer Все МСЭ и IPS являются устройствами с контролем сессий (stateful), поэтому сами по себе могут быть целью DDoS. Почему обычные средства защиты не справляются с DDoS? IPS Межсетевые экраны (МСЭ/FW), включая WAF, обеспечивают конфиденциальность данных или процедур, которое могут быть доступны только авторизованным сторонам Intrusion Prevention Systems (IPS) обеспечивают целостность данных, обеспечивая возможность изменять информацию авторизованными методами Легитимный трафик Трафик атаки Сервера и приложения ПЕРЕПОЛНЕНИЕ СЕССИЙ

Жертвы атак CloudFlare LiveJournal WikiLeaks Visa/MasterCard MegaUpload Twitter eBay Wordpress Укртелеком и другие! Россия (публичные) Сбербанк Альфа-банк Газпромбанк ВТБ Центробанк и другие Украина ???

IT отдел Сколько людей требуется для отражения атаки? Help Desk Сколько звонков будет во время атаки? Потеря данных Сколько ручной работы нужно сделать если сервис прерван? Напрасная работа Каков объем работы, проделанно й зря, если сервис недоступен? Штрафы Сколько необходимо выплатить при нарушении SLA? Потеря бизнеса Сколько стоит потеря новых клиентов? Ущерб репутации Сколько стоит ущерб имиджу компании? Недоступность сервисов влечет не только финансовые последствия:

Основные угрозы атак типа DDoS в банковской сфере Недоступность системы клиент-банк Недоступность интернет-банкинга Недоступность процессинга пластиковых карт Недоступность межбанковских платежей

9 Планирование рисков доступности DDoS – угроза доступности 1 – должна быть частью анализа рисков Выбор площадки Физическая безопасность Пожарная безопасность Электричество Окружающая среда DDoS Оценка доступности Измеряя риски доступности и надежности сервиса, необходимо понять, где риск угрозы DDoS в Вашем случае?

Доходы украинских банков за 6 месяцев 2013 г. Банк При­быль / убыто­к, тыс. грн. 1ПРИВАТБАНК УКРГАЗБАНК РАЙФФАЙЗЕН БАНК АВАЛЬ ОЩАДБАНК СБЕРБАНК РОСІЇ СІТІБАНК ВТБ БАНК КРЕДІ АГРІКОЛЬ БАНК ПУМБ ДЕЛЬТА БАНК КРЕДИТ ЄВРОПА БАНК БАНК 3/ IHГ БАНК УКРАЇНА УКРЕКСІМБАНК УНIКРЕДИТ БАНК БАНК РЕНЕСАНС КАПІТАЛ МІСТО БАНК ТАСКОМБАНК "КЛІРИНГОВИЙ ДІМ" ФОЛЬКСБАНК Источник: НБУ,

Выбор правильного инструмента Современные атаки сложны, и только законченное решение защищает все сервисы: Услуги: HTTP, SSL, DNS, Mail, VoIP Протоколы: TCP/IP, UDP, ICMP Полоса: канал от вышестоящих операторов Решение, не принимающее во внимание все аспекты DDoS и защищающее только HTTP/S, не сработает. Выбор правильных инструментов в зависимости от угроз: 1. Объемные атаки (Flood DDoS) Услуги по защите от оператора Возможность управления услугой 2. Атаки на переполнение сессий Защита от DDoS по периметру Полный контроль средств защиты 3. Атака на приложение DDoS защита в сети Быстрая остановка атак, ухудшающих сервис

Современные тенденции в области DDOS атак количество DDoS-атак на полосу постоянно снижается мощные атаки не могут продолжаться долго, так как магистральные провайдеры начинают испытывать связанные с ними проблемы преступники отдают предпочтение высокоуровневым атакам транспортного и прикладного уровня (82%) интеллектуальные атаки на приложение коварны тем, что даже при наличии стратегии защиты вы скорее всего потеряете некую, пусть мизерную, часть легитимных пользователей. не менее 50% атак Layer 7 – это «долбежка» в один URI, интеллектуальных атак всего около 10% количество ботов с полноценными Web browser capabilities (TCP, HTTP/1.1, JS) неуклонно растет, особенно в дорогих заказных атаках. Индустрия движется в сторону использования полноценных браузеров для выполнения DDoS-атак

Виды (протоколы) Информация: qrator.net

География заражения компьютеров Информация: qrator.net

О защите от DDoS От любой атаки можно защититься Поведенческий анализ один из наиболее эффективных методов фильтрации трафика «Серебряной пули нет»

Варианты решения Собственное оборудование и решения: ARBOR Networks RADWARE Специализированные сети очистки трафика В РФ: Qrator, Kaspersky Lab,отдельные сервисы В Украине ??? Что делать? Решение принимать ВАМ!!!

Благодарю за внимание!