9. Spoofed атаки по месяцам
80,00%
70,00%
60,00%
50,00%
2013
40,00%
2012
30,00%
20,00%
10,00%
0,00%
Январь
Фебраль
Март
Апрель
Май
Июнь
Июль
Август
Сентябрь
Октябрь
Ноябрь
Декабрь
11. Beating on the dead horse
• Aug 1999 RFC-2671 EDNS0
• May 2000 BCP-38 “Network Ingress Filtering”
• Mar 2004 BCP-84 “Ingress Filtering for Multihomed Networks”
• Mar 2006 ICANN DNS DDoS advisory
12. Как это работает
Плохие парни
Жертва: WTF MATE?!
T
TX UU
IN U U
SRC_IP Жертва
M UU U U
O
? TXT BOMB.EXAMPLE.COM
.C UUU UUU
E
~60b
PL UUU UU
M
U
XA UUU UU
E
B. UU UU d]
M
U [d
k
BO UUU UUU
~4
U U
FU UU
UU
Плечо атак и - x60
Кривой DNS
13. И дело не только в DNS
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 68 bytes
00:27:54.013110 IP 192.168.1.1.55959 > 192.168.2.1.123: NTPv2, Reserved, length 12
00:27:54.028044 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028058 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028061 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028063 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028065 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028068 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028192 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028200 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 480
00:27:54.028203 IP 192.168.2.1.123 > 192.168.1.1.55959: NTPv2, Reserved, length 432
21. Global.Решения
Short term
Long term
• Rate limiting
• Отказ от EDNS0
• BCP-38/BCP-84
• Подождать, cамо отвалится…
• UDP auth cookies
• End-to-end аутентификация
… но только до следующего раза
23. Low&slow
• 1 запрос в 2-3 секунды
• 4 соединения
• 222 URL в циклически повторяющемся списке
• порядок получения объектов имитирует Firefox
• забирает статику
…. cпециализируется на банках средней руки.
24. Безопасность сетевых топологий
Угоны префиксов
Угоны префиксов в IPV6
• Возможны
• Встречаются in the wild
• Сложно обнаружимы
• RPSL проблему не решает
• RPKI проблему не решает
• Проблему решает:
наблюдательность и
педантичность
• Еще более возможны
• Разреженное адресное
пространство
• Меньше наблюдений и
пострадавших
…Идеальный плацдарм для атак