Shapelez Oct 21 2021 at 17:23

DDoS-атаки и BGP-инциденты третьего квартала 2021 года

6 min

5.4K

Qrator Labs corporate blogInformation Security*IT Infrastructure*Network technologies*

+22

Comments 6

Protos Oct 22 2021 at 07:58

банки (22,28%)

А можете ли выделить какой процент приходится на кредитные и некредитные организации? Или под банками подразумеваются исключительно кредитные организации, а различные НФО в статистике отсутствуют?

Shapelez Oct 22 2021 at 08:24

К сожалению, сейчас такое выделение в рамках нашей статистики невозможно. Но спасибо вам за предложение - мы подумаем о том, чтобы разделить финансовые организации на кредитные и некредитные.

gleb4inka Oct 22 2021 at 08:47

Спасибо за отчет. Много информации и интересно было читать. Отдельный плюс за терминологию в фразах «битовой и пакетной интенсивности», «пропускная способность TCP-флуда», «нейтрализованных DDoS-атак» вместо популярных у журналистов «мощностью» и «отражение атаки»

В процессе интерпретации значений появились вопросы.

1. Первый IP-фрагмент с UDP заголовками учитывается как udp_flood или как ip_flood?
Если как udp_flood, тогда не могу понять низкую долю комбинации upd_flood, ip_flood.
Если как ip_flood, тогда получается некоторые UDP амплификации считаются как ip_flood, а не udp_flood.

2. Атака с флагами SYN-ACK учитывалась в tcp_flood?

3. Является ли SYN Flood L4-атакой?

flx Oct 22 2021 at 14:37

Привет.

Спасибо за лестные отзывы. Журналисты расстраивают, и у нас внутри тоже переломано было немало копий про корректный словарь для описания наблюдаемых явлений. Лично я с "битовой и пакетной интенсивностью" не совсем согласен, ибо в индустрии есть устоявшееся словосочетания "flow speed" или "interface speed" который достаточно точно (на мой взгляд) описывает происходящие процессы, но лес сломанных копий и общий консенсус сошелся на "битовая интенсивность".

gleb4inka Oct 24 2021 at 14:41

Поддерживаю термин "скорость" :-)

Лично сам в речи использую «скорость», либо сразу указываю единицу измерения. «Максимальная атака со скоростью 100 Mpps», «Сейчас идет атака на 500 Gbps».

Какие аргументы были против этого термина?

pps, bps, rps, cps, tps - это метрики атаки, которые

выглядят как скорость
- packet per seconds, bit per second, requests per second;
- можно посчитать взятием производной с инкрементального счетчика количества пакетов, бит, запросов;
плавают как скорость
- утилизируют ресурсы, которые принято называть, либо измерять скоростью;
крякают как скорость
- в русском языке под термином «скорость» понимают быстроту изменения какой-либо величины, в данном случае количества полученных пакетов, бит, запросов.

flx Oct 25 2021 at 16:04

Для того чтобы ответить на твои вопросы понадобиться небольшое предисловие: мы пытаемся описать non-compliant поведение одной из сторон в compliant терминологии, и это изначально ставит нас не в самое выгодное положение. Более того, при сборе данных мы ограничены бюджетом производительности которую мы можем затратить на сбор статистики. Основная задача - не дать bit perfect картину происходящего, а дать возможность понять что происходит на уровне тенденций трафика.