DDoS аналитика



Кибер-атаки признаны глобальным мировым риском, наравне с финансовым кризисом, изменением климата, безработицей и нехваткой питьевой̆ воды. Атаки направлены на публичные информационные ресурсы, системы самообслуживания, торговые площадки, сайты госструктур, банки и т.п.

Примеры некоторых DDoS атак на Российские ресурсы в 2014 году:
30 января 2014 года – атака на сайт газеты «Ведомости»;
20 февраля 2014 года – атака на LifeNews.ru;
7 марта 2014 года – атака на сайт Российской газеты;
13 марта 2014 года – атака на сайт 1TV.ru (Первый канал);
14 марта 2014 года – атаки на:
  • Сайт МИД РФ;
  • Kremlin.ru;
  • Банк России;
  • Lenta.ru.

17 марта 2014 года – атака на сайты банков и ДБО:
  • Альфа Банк;
  • ВТБ.

03 апреля 2014 года – атака 100 Гбит/с на сайт Interfax.ru
13 апреля 2014 года – атака на сайт kp.ru (Комсомольская правда)

Атаки становятся сложнее и происходят чаще:
  • используются многочисленные поведенческие алгоритмы;
  • эмулируются действия легитимных пользователей с использованием распределенных бот-сетей и уязвимостей;
  • взломы систем сопровождаются «шумом»;
  • скорость «нападения» возрастает, что затрудняет «ручное»подавление.

Обнаружение атак «классическими» средствами защиты (межсетевые экраны, системы обнаружения вторжений и др.) становится труднее или невозможным, требуется применение специализированных систем. Такая система есть в нашем распоряжении — ЦОДы Inoventica Services эксплуатируют систему ivnGUARD, разработанную компанией Inoventica Technologies, входящей в группу компаний Inoventica.



Технические характеристики системы

Мы не хотим утомлять вас рекламной статьей и долго рассказывать о преимуществах этой системы. Цель этой статьи – поделиться с вами статистикой и услышать ваши истории в комментариях. Итак, наша статистика за 3й квартал 2015. Так выглядит распределение трафика по географии внешних источников атак:


Так выглядит распределение по типам атакованных компаний:

Брат жив…

Исходя из этой статистики видно, что чаще всего атаке подвергается shared-хостинг. Мы удар держим. А вы? Не уверен, что все хостинг-провайдеры предлагают хостинг с защитой от DDoS атак за 49 рублей в месяц.

Так выглядит статистика по типам атак:

Оборотная сторона медали безлимитных тарифов

Превышение трафика для профиля — превышение установленного порога по количеству пакетов в секунду или по скорости. Порог либо устанавливается динамически по статистике по каждому клиенту, собранной за предыдущее время (обычная ситуация), либо администратором вручную (особые случаи).
Количество трафика – превышение настроенного вручную порога по скорости или количеству пакетов
UDP – разные типы атак с усилением (SSDP, NTP, DNS amplification т.д.)
DNS – атаки на DNS сервер (не DNS amplification)
TCP RST и ICMP flood – атаки TCP с установленным флагом RST и ICMP пакетами соответственно.

Да, мы не хостеры в классическом понимании, мы больше по облакам. Но наша ИКТ инфраструктура и канал 1 Тбит/с в ЦОД играют нам на руку и в отношении хостинг-истории. Средняя ширина атаки на сегодняшней день составляет 1Гбит/с. Страшно представить что испытывают хостеры с каналом в ЦОД в 200 Мбит/с. Разместившись у таких парней и испытав DDoS по DNS – на следующий день лучше не просыпаться.

А это статистика по способам их подавления:

«Поганая метла-автомат» на посту обладает преимуществами, которых нет у биологических форм защиты – она не спит

Такая картина говорит о том, что клиенты размещают в облаке все, включая business-critical data, забывая, что индивидуальная защита от DDoS по IP стоит своих денег. Кто-то ждет грома, а кто-то выбирает превентивные методы.

А что у вас? Как выглядит ваш день в отношении сетевой безопасности?

P.S. Презентация по системе InvGuard: www.slideshare.net/OlgaPonomareva1/ddos-54523760

P.P.S. Попробуйте написать в Google запрос «Zerg Rush». ;)

invs.ru/products/services/protection-against-ddos

Inoventica Services
VPS / хостинг / домены / защита от DDoS
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 12

    +8
    Так мило читать про ддос и на интро видеть картинку весом в 5 мегабайт… :)
      –21
      Простите, мы не знали, что кто-то до сих пор сидит на dial-up'е. :)
        +8
        Очень достойный ответ, я считаю. Действительно, пользователи сами виноваты, если у кого-то не очень быстрый инет или кто-то сейчас в пути с мобильным интеренетом.
          –9
          Не забывайте что речь идет о 5Мб. Не 25 и не 50, как часто бывает в наше время. Интернет страшное место. Много опасностей поджидает странника на его пути. Кстати, пишу с телефона в электричке. Как картинка подгрузилась даже не заметил.
          +1
          Почти угадали. ADSL.
          У меня еще и айпишник динамический. Вообще средневековье. :)
          –4
          5 мегабайт для гифки не так уж и много в эпоху ШПД и 4G или я не прав?
            +2
            Огорчу замкадышей, но в нашей стране есть места, где даже 3g еле-еле.
          +4
          Судя по списку жертв, который вы привели, ДДоС — это полезное, богоугодное, всячески одобряемое дело.
            0
            Прошу прощения, но страшилки про многогигабитные атаки уже порядком приелись. Судя по Вашей презентации, очередной «велосипед» анализ xFlow и выявление аномалий. Но для вас ведь не новость, что хост среднего уровня довести до состояния DoS можно парой мегабит «правильного» трафика и анализ xFlow тут не поможет. Что по этим векторам можете предложить?
              0
              Указанная система включает в себя не только анализ xFlow, как вы указали, но и фильтрацию трафика.
              При фильтрации производится проверка корректности сессий и самих пакетов в трафике. Если пакеты некорректные или детектированы аномальные пакеты — они не будут пропущены к хосту.
              0
              Понятно, что многие статьи пишутся ради ссылок вида " хостинг с защитой от DDoS атак за 70 рублей в месяц", но что я вижу по той ссылке:
              — легко опровергаемое утверждение «Самый доступный хостинг в России!»
              — перебор в SEO-оптимизации — страница с концентрацией выделенных ключевиков в несколько раз выше ПДК

              SEO — это соль, превосходные степени — специи. Явный перебор обоих.

              Простите за оффтопик выше, теперь вопрос по теме. Если на клиента часто падают DDoS, то что ему за это будет? Ссколько будет стоить, например? Сам я с подобными радостями не сталкивался, но всё когда-нибудь случается.

              Спасибо.
                –3
                Спасибо за ваш комментарий! Мы обязательно учтем ваши замечания в нашей дальнейшей деятельности.
                Что касается ваших вопросов — клиент, который часто попадает под DDoS будет часто отключаться (Blackhole), при условии отсутствия индивидуальной защиты от DDoS по IP. Чтобы не отключаться и продолжать работать предлагаются следующие варианты защиты:

                image

                В случае превышения по времени, каждые дополнительные 30 минут тарифицируются по тарифу 750 руб., включая НДС.

              Only users with full accounts can post comments. Log in, please.