34
Организация защиты для распределенных интеллектуальных ресурсов и облачных сервисов Алексей Афанасьев, Менеджер проектa DDoS Prevention Kaspersky Lab Russia [email protected]
Организация защиты для распределенных интеллектуальных ресурсов и облачных сервисов
Алексей Афанасьев, Менеджер проектa DDoS Prevention Kaspersky Lab Russia [email protected]
«Лаборатория Касперского»
| 07 June 2012 PAGE 2 |
Лидер российского рынка
Защита почти 300 миллионов рабочих мест
Почти 10 миллионов активаций продуктов в месяц
220 патентов по всему миру
Более 2300 сотрудников, из них 800 в R&D
Более 130 OEM-партнеров
Один из крупнейших производителей решений для обеспечения информационной безопасности
Защита сетевой инфраструктуры любой компании
| 07 June 2012 PAGE 3 |
Простое управление
Единая консоль
Применение политик
Понятный интерфейс
Подробные
отчеты
Защита виртуальной
среды
Автоматическая защита
Высокая
производительность
Максимальная эффективность
Прозрачность
Защита физической
инфраструктуры
Защита в реальном времени
Мощные
инструменты контроля
Поддержка
большинства платформ
Защита мобильных устройств
Защита данных при утере/краже
Поддерживаемые
ОС: Android, Blackberry, Windows, Symbian
Kaspersky Security для виртуальных сред Ключевые преимущества
Антивирусное ядро, удостоенное многочисленных наград
Централизованное управление
Минимальное влияние на производительность
Исключение ситуаций «шквального» сканирования и обновления
Автоматическая защита новых виртуальных машин
Высокий уровень технической поддержки
Высокая плотность ВМ
Быстрая окупаемость
| 07 June 2012 PAGE 4 |
Откуда такая осведомленность
| 07 June 2012 PAGE 5 |
Интернет
Информирование о изменении статуса
Постоянный опрос выявленных управляющих центров
Date Type Bot Arguments
[http] http://moscow-post.ru 2011.06.14 20:05:21 MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] http://moscow-post.ru/server/classes/class.db.php 2011.06.14 20:05:21 MSD
START skill.ddos/xzrw0q.com numthreads: 100
[http] www.9796024.ru 2011.06.14 20:04:03 MSD
START skill.ddos/nyamazama.com
numthreads: 400
[http] www.autoclimat.ru 2011.06.14 20:04:03 MSD
START skill.ddos/nyamazama.com
numthreads: 400
[http] www.autoklimat.ru 2011.06.14 20:04:03 MSD
START skill.ddos/nyamazama.com
numthreads: 400
[http] www.autotavi.ru 2011.06.14 20:04:03 MSD
START skill.ddos/nyamazama.com
numthreads: 400
[http] www.climatavto.ru
| 07 June 2012 PAGE 6 | Мифы и реалии DDoS угрозы
Базис
Мы антивирусная компания Аналитический центр, работающий в режиме 24/7 Уникальные технология выявления BOT-сетей по статистическим и поведенческим признакам Команда, профессионально занимающаяся защитой от DDOS Мощная, распределенная система очистки
| 07 June 2012 PAGE 7 |
Несколько фактов о DDoS атаках
| 07 June 2012 PAGE 8 |
HTTP Flood
SYN Flood
ICMP Flood
UDP Flood
TCP Data Flood
DNS имя
IP адрес
Средняя мощность 350 Мбит/с
Распределение источников DDoS-трафика по странам 2011 год
| 07 June 2012 PAGE 9 |
Распределение атакованных сайтов по категориям деятельности 2011 год
| 07 June 2012 PAGE 10 |
Лидером по количеству жертв остался сегмент интернет-торговли
— 25% всех зарегистрированных атак.
Доля атак на государственные сайты постепенно растет.
Распределение DDoS-атак по часам 2011 год
| 07 June 2012 PAGE 11 |
DDoS-боты начинают работать в районе 9-10 часов утра, рабочий день у ботов ненормированный и продолжается до глубокой ночи — только в 4 утра бОльшая часть ботнетов уходит на покой.
.
Типы DDoS-атак 2011 год
| 07 June 2012 PAGE 12 |
Акцент в последнее время смещается именно на атаку приложения. Простейшие атаки на канал научились отбивать операторы, злоумышленникам пришлось искать новые, интеллектуальные методы нападения.
Виды HTTP-Flood. Эволюция
2008 2011
| 07 June 2012 PAGE 13 |
HTTP Flood SYN Flood ICMP Flood UDP Flood TCP Data Flood
HTTP Flood SYN Flood UDP Flood ICMP Flood TCP DATA flood
Типы DDoS-атак. Виды HTTP-Flood 2011 год
| 07 June 2012 PAGE 14 |
Лишь в одном случае из 10 проводятся сложные атаки, когда злоумышленники пытаются замаскировать действия ботов под поведение настоящих пользователей.
Распределение целей атак по именам сайтов и по IP-адресам 2011 год
| 07 June 2012 DDoS атаки: мифы и реальность PAGE 15 |
Акцент в последнее время смещается на атаку по IP-адресу. Причина проста: большинство схем фильтрации работает по именам.
Один из мифов про DDoS
| 07 June 2012 PAGE 16 |
0
10
20
30
40
50
60
менее 50 50-100 100-200 200-300 300-400 400-500 более 500
Средняя скорость – около 300 Мбит/с
Цифры прошедшего полугодия
Максимальная мощность атак, отраженных Kaspersky DDoS Prevention, по сравнению с первым полугодием 2011 увеличилась на 20% и составила 600 Мбит/с или 1 100 000 пакетов/секунду (UDP-flood короткими пакетами по 64 байта). Средняя мощность отраженных Kaspersky DDoS Prevention атак выросла на 57% и составила 110 Мбит/с. Самая протяженная DDoS-атака, зафиксированная во втором полугодии, продолжалась 80 дней 19 часов 13 минут 05 секунд и была нацелена на туристический сайт Средняя продолжительность DDoS-атак составила 9 часов 29 минут
| 07 June 2012 PAGE 17 |
История с закрытием Ex.ua По материалам donbass.ua и др. интернет изданий
31 января 2012 Закрытие крупнейшего файлообменника Украины - EX.UA (возбуждение уголовного дела по статье УК “нарушение авторского права и смежных прав”)
1 февраля 2012 Недоступны сайты:
• prezident.gov.ua (официальный сайт президента Украины) • rada.gov.ua (официальный сайт Верховной Рады ) • kmu.gov.ua (правительственный портал, сайт Кабинета министров Украины) • partyofregions.org.ua. (сайт Партии регионов)
1 февраля 2012 Потерян доступ к базе всех законодательных документов Украины: (информационный ресурс zakon.rada.gov.ua)
2 февраля 2012
• В социальных сетях создаются группы с названиями типа "СВОБОДУ EX.UA“ (только в одной из них более двадцати тысяч пользователей).
• Проводится голосование - какой web-ресурс "валить" следующим, а также даются инструкции - как это сделать, обладая минимальным знаниями.
• Звучат призывы "не валить сайты, а валить власть"
| 07 June 2012 PAGE 18 |
Теневые бизнесы вокруг DDoS
Продажа софта Заказные атаки «Загрузки» ПО Сдача сетей в аренду Вымогательство
| 07 June 2012 PAGE 19 |
Ущерб экономике страны Моральный аспект
Конкурентная борьба Вымогательство Мошенничество Месть
Результаты: • Недовольство клиентов • Недовольство контрагентов • Репутационный ущерб • Срыв бизнес процессов • Отвлечение от главного (хищения) • Прямой ущерб (торговые площадки)
| 07 June 2012 PAGE 20 |
DDoS-атака против конкурентов http://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda
История: Во время проведения компанией «Аэрофлот» тендера на выбор платежной системы были проведены DDoS-атаки на сервис Assist
Результат: Система Assist была недоступна в момент принятия решения по тендеру.
В июне 2012 в России судебная система заинтересовалась DDoS-атаками и за организацию этой атаки предъявила обвинения Павлу Врублевскому
Отметим: Павел Врублевский владелец компании Chronopay — крупнейшей процессинговой фирмы России конкурирующий с сервисом Assist • P.S. Cчитается, что Павел Врублевский является организатором одной из крупнейших
спамерских парнерок «Rx-promotion».
| 07 June 2012 PAGE 21 |
| 07 June 2012 Противостояние стихии по имени «DDoS» PAGE 23 |
Категории клиентов
Были под атакой Ждут атаки Сомневаются
или не верят
| 07 June 2012 PAGE 24 |
Из мифотворчества
Наверняка Вы слышали о 1, 2, 5, 10, 20 и более Гигабитных атаках
ЗАЧЕМ СТОЛЬКО, ЕСЛИ Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с
Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с
Приложение способно обработать всего 4 запроса в секунду
| 07 June 2012 PAGE 25 |
Виды заблуждений
Пораженческие Эти заблуждения заставляют опускать руки даже грамотных
телекоммуникационных инженеров и специалистов по безопасности
Чрезмерно оптимистичные Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в
своей защищенности
| 07 June 2012 PAGE 26 |
Пораженческие
От DDOS невозможно защититься В общем же случае, речь идет о противостоянии людей и техники, а людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту.
Защитить от DDOS могут только провайдеры Да, действительно, провайдеры могут помочь в отражении атаки. Но это не их бизнес. Услуги по защите от DDoS скорее направлены на защиту собственной инфраструктуры.
В остальном, зачастую, провайдеры используют типовые методы защиты, основанные на общесетевой статистике.
Все равно мне забьют канал… Это вполне возможно. Но наша система защиты – это несколько распределенных точек, которые подключены к сети Интернет настолько производительными каналами связи, что может вобрать в себя атаку любой сложности.
| 07 June 2012 PAGE 27 |
Оптимистичные
Я читал о том, как можно настроить сервер, чтобы он устоял Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса». Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна. Я арендовал достаточный канал Это поможет, но лишь отчасти. Например, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений.
| 07 June 2012 PAGE 28 |
Где установить защиту?
| 07 June 2012 PAGE 29 |
Kaspersky DDoS Prevention
| 07 June 2012 PAGE 30 |
ё
Без атаки
Во время атаки
Демо. Результаты работы системы.
| 07 June 2012 PAGE 31 |
Демо. Отчеты
| 07 June 2012 PAGE 32 |
Варианты решений защиты от DDoS-атак
Самостоятельно построить защиту Обратиться к сервис провайдеру Использовать функции защиты входящие в программные комплексы для …………………………
Может обратиться к профессионалам? Подключение к специализированным сервисам, осуществляющим защиту от DDoS-атак
| 07 June 2012 PAGE 33 |
Ключевые особенности Kaspersky DDoS Prevention
Защита любых сервисов и приложений
Собственная технологическая платформа
5 лет опыта
Единое решение, не зависящее от текущих поставщиков Интернет-услуг
Глобальная распределенная система фильтрации
Внедрение без инфраструктурных изменений
Мониторинг аномалий в режиме 24х7
Аналитическое сопровождение атаки
PAGE 36 | | 07 June 2012
Thank You
Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA
