DDoS-
Д ч : В А
Д : 19 я я 2017
е
№ 2
К DDoS
• UDP/ICMP Based, Amplification д .
т к к л
• TCP Syn Flood, ICMP д .
т к у о е п отоколо
• HTTP Get Flood, HTTP Pingback, Slowloris д .
т к у о е п ло е
е
№ 3
DDoS
1. П от оде т е ет п о де у лу . л о о е NetFlow, SPAN
Ф л т inline, л о ет о е е BGP ут
По д е т ое кл е е
Нео од ело е е к е е у к л е о о т . 2. П от оде т е ет п о де о л о т от DDoS
По то л т , л о д е – л т к по о е о о , пе екл е е по де ту
Эко о е к о о о е т т ело е е к е е у к л е о о т
Нео од о т пе е п ле ое о т к ет е
о о ое у ел е е ете де ек
3. П едложе ие: П от оде т е ет т л о о п о де
Не о о о т т д т под одо п от оде т - ет е у о , кото е е
По то л т
ол от ет т е о т пе ед кл е т
е
№ 4
К л – о о о
е у
о о о т л т
у ло от ут т пе е у ок
Допол тел ое о о о де е к л дл кл е то
О л ле е по лед т DDoS дл ко е пол о теле -
е т : п о де о кл е то
е
№ 5
Около уле о п о е т «False Positive» т
По то л т – по де т е под од т
от ут т е е е у о к к кл
С е ок у о е отк оу то о т о о о т о е о
е е о подде ко bypass
С те от ето по к до у лок о о у п кету
П о е, о о о доку е т о е етод л т е
ект е о о к
е
№ 6
Ф л т я « е о о» е п еделе о о д е о о п о т т
https://tools.ietf.org/html/bcp38
http://www.team-cymru.org/bogon-bit-notation.html 0.0.0.0/8
10.0.0.0/8
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.0.0/24
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/3
е
№ 7
Ф л т « е о о» е п еделе о о д е о о п о т т
З п ет уя , у т е п отоколо , т к е п отоколо , п е е е кото оп д о тол ко лок л етя
CharGEN
NetBIOS
UDP-based Portmap
SSDP
и т.д.
е
№ 8
Ф л т « е о о» е п еделе о о д е о о п о т т
п ет у , у т е , е п отоколо , п е е е кото оп д о тол ко лок л ет
Че е п к ко отк ок о до 5 еку д п о т у ло я до ле я о о л т к ко отко ок е
Количе т о по то о пакето од и SEQ+ACK_SEQ TCP е ии
Количе т о по то о пакето UDP е ии
Количе т о по то о пакето ICMP
е
№ 9
Ф л т « е о о» е п еделе о о д е о о п о т т
п ет у , у т е , е п отоколо , п е е е кото оп д о тол ко лок л ет
Че е п к ко отк ок о до 5 еку д п о т у ло до ле о о л т к ко отко ок е
Ал о т п о е к о к IP е то д о ок е
е
№ 10
Ф л т « е о о» е п еделе о о д е о о п о т т
п ет у , у т е , е п отоколо , п е е е кото оп д о тол ко лок л ет
Че е п к ко отк ок о до 5 еку д п о т у ло до ле о о л т к ко отко ок е
л о т п о е к о к IP е то д о ок е
Ф л т я L3-L4 malformed п кето
Ст укту а пакето о ла о RFC
П о е ка ко т ол х у L3, L4
е
№ 11
Ф л т « е о о» е п еделе о о д е о о п о т т
п ет у , у т е , е п отоколо , п е е е кото оп д о тол ко лок л ет
Че е п к ко отк ок о до 5 еку д п о т у ло до ле о о л т к ко отко ок е
л о т п о е к о к IP е то д о ок е
Ф л т L3-L4 malformed п кето
Ко епт. Ч т ое п от оде т е о о о т пу о о е BGP ут о о
е
Ч . К
№ 12
е
Ч . А К «К »
ол ое ло о етодо л т п от оде т , то ле оп е е.
С о е е т т т е ко о по ет к т ут е у о е одел OSI, полу е о по NetFlow л SPAN
е е п о е
т у е т л BGP ут о о , то ле
уте к уто . о о о т опо т ле то о о т т т ко по т ку.
о о о т п о то о п опу к о по о о т , до 160Gbps 1U
о о о т по т ое кл те о о т е е е bypass, т к е пп т е е е л о к / е
л т т к NanoSwitch
№ 13