Отказ в обслуживании - оружие массового поражения? Стоит ли овчинка выделки? Сколько стоит защита от DDoS? Расследование DDoS. Теория и опыт.

1. | 26 May 2011 Доступ запрещен PAGE 1 |

2. ДОСТУП ЗАПРЕЩЕН

3. Сегодня в программе DDoS – реальность или миф? Врага надо знать в лицо: погружение в DDoS Пуля и броня – мы их или они нас Когда атака – не атака? На защитника надейся, а сам не плошай Ищут пожарные, ищет милиция… | 26 May 2011 Доступ запрещен PAGE 3 |

4. DDoS – реальность или миф?

5. Определение | 26 May 2011 PAGE 5 | Доступ запрещен DoS-атака Материал из Википедии — свободной энциклопедии DoS-атака (от англ. DenialofService, отказ в обслуживании) — атака на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам), либо этот доступ затруднён. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. DistributedDenialofService, распределённая атака типа «отказ в обслуживании»).

6. Насколько это актуально DDoS атаки являются на сегодня самыми популярными методами нападения на онлайн-услуги и за последние полгода лидируют среди факторов риска для веб-приложений, согласно статистике международной базы данных WHID (WebHackingIncidentDatabase). | 26 May 2011 PAGE 6 | Доступ запрещен

7. Насколько это актуально По материалам отчета Arbor Networks | 26 May 2011 Доступ запрещен PAGE 7 |

8. Заголовки новостных лент Хакеры атаковали сайты 40 министерств Южной Кореи Хакеры организовали DDoS-атаку на сайт "Единой России" LiveJournal подвергся массированной DDoS атаке Хакеры устроили мощную DDoS-атаку на WordPress | 26 May 2011 Доступ запрещен PAGE 8 | | 26 May 2011 Мифы и реалии DDoS-угрозы PAGE 8 |

9. | 26 May 2011 Доступ запрещен PAGE 9 |

10. Распределение атак | 26 May 2011 Доступ запрещен PAGE 10 |

11. На что направлены атаки | 26 May 2011 Доступ запрещен PAGE 11 | По материалам отчета Arbor Networks

12. И при чем тут я?? Простой сервиса (продажи, показы рекламы), и, как результат, убыток Вымогательство Недовольство клиентов Недовольство контрагентов Срыв бизнес процессов (от почты до банкоматов) Отвлечение от главного (хищения) Прямой ущерб (торговые площадки) | 26 May 2011 Доступ запрещен PAGE 12 |

13. Пример воздействия на рынки | 26 May 2011 Доступ запрещен PAGE 13 | Европа Стоимость тура Турция / Греция Россия

14. Тенденции | 26 May 2011 Доступ запрещен PAGE 14 |

15. Риторические вопросы | 26 May 2011 Доступ запрещен PAGE 15 | Почему это происходит? Что теперь делать? Как можно защитится?

16. Подробнее об атаках

17. Классическая схема организации атаки | 26 May 2011 Доступ запрещен PAGE 17 |

19. Исчерпание мощностей приложенияКомплексные атаки Полоса пропускания Вычислительные мощности Приложение ОС

20. Почему это получается | 26 May 2011 PAGE 19 | Доступ запрещен

21. Есть чего пугаться | 26 May 2011 Доступ запрещен PAGE 20 | По материалам отчета Arbor Networks

22. Один из мифов про DDoS ЗАЧЕМ СТОЛЬКО, ЕСЛИ Типовое подключение организации к Интернету – 2 канала по 200 Мбит/с = 200 Мбит/с Коммутационное оборудование «ложится» от потока пакетов в 50 000 пакетов в секунду = 19 Мбит/с Приложение способно обработать всего 4 запроса в секунду | 26 May 2011 Доступ запрещен PAGE 21 |

23. Один из мифов про DDoS | 26 May 2011 Доступ запрещен PAGE 22 | Средняя скорость – около 300 Мбит/с

24. Эволюция 2008 2011 | 26 May 2011 Доступ запрещен PAGE 23 |

25. Врага надо знать в лицо

26. Откуда что пошло | 26 May 2011 Доступ запрещен PAGE 25 |

27. Монетизация | 26 May 2011 Доступ запрещен PAGE 26 |

28. Зачем это делается Материальный аспект | 26 May 2011 Доступ запрещен PAGE 27 |

29. Теневые бизнесы вокруг DDoS Продажа софта Заказные атаки «Загрузки» ПО Сдача сетей в аренду Вымогательство | 26 May 2011 Доступ запрещен PAGE 28 |

30. Что надо для DDoS Атаки? Нужен софт = нужен программист

32. Авторское сопровождение| 26 May 2011 Доступ запрещен PAGE 30 |

33. Реальные примеры | 20 апреля 2011 Эффективное противодействие DDoS атакам PAGE 31 |

34. Реальные примеры | 20 апреля 2011 Эффективное противодействие DDoS атакам PAGE 32 |

35. Реальные примеры | 20 апреля 2011 Эффективное противодействие DDoS атакам PAGE 33 |

36. Реальные примеры | 26 May 2011 Доступ запрещен PAGE 34 |

37. Реальные примеры | 26 May 2011 Доступ запрещен PAGE 35 |

38. Реальные примеры | 26 May 2011 Доступ запрещен PAGE 36 |

39. Компоненты софта | 26 May 2011 Доступ запрещен PAGE 37 | Компоненты ботнета Панель администрирования Билдер Бот должен знать свой CC Бот должен знать период опроса (управляется в дальнейшем) Бот должен иметь идентификатор (исключает повторное заражение) Бот должен иметь метку(контроль загрузки)

40. Что надо для DDoS Атаки? Нужнаадминка – нужен хостинг Нужен софт = нужен программист

41. Схема организации управления ботнетом | 26 May 2011 Доступ запрещен PAGE 39 |

42. Покупка софта | 26 May 2011 Доступ запрещен PAGE 40 |

43. | 26 May 2011 Доступ запрещен PAGE 41 |

44. Пример комплексной атаки | 26 May 2011 Доступ запрещен PAGE 42 | IP АДРЕСА ПАКЕТЫ ОБЪЕМ ДАННЫХ

45. Пример комплексной атаки | 26 May 2011 Доступ запрещен PAGE 43 |

46. Что надо для DDoS Атаки? Нужен софт = нужен программист | 26 May 2011 Доступ запрещен PAGE 44 | Нужнаадминка – нужен хостинг Нужны боты = нужен специалист по заражению

47. | 26 May 2011 Доступ запрещен PAGE 45 |

48. | 26 May 2011 Доступ запрещен PAGE 46 |

49. | 26 May 2011 Доступ запрещен PAGE 47 |

50. | 26 May 2011 Доступ запрещен PAGE 48 |

51. Откуда что берется Кража паролей к различнымсайтам (доступ по FTP), нахождение иных уязвимостей Модификация WEB-страниц – вкладывание в них ссылок на центры распределения трафика Завлечение пользователей на взломанные сайты | 26 May 2011 Доступ запрещен PAGE 49 | Пункты раздачи вредоносного ПО (само тело или руткит) Взломанные сервера Распределение Трафика (например - географическое)

52. Сколько ботов покупать 30 ботов загружают форум средней посещаемости 300 ботов - средний сайт 1000 ботов - крупный сайт 5000 кластер с сайтом, даже при использовании анти ддос, блокировки и прочих приблуд. 15-20 тысяч ботов, теоретически могут уложить "вконтакте.ру" | 26 May 2011 Доступ запрещен PAGE 50 | Типовая сеть для заказного DDoS - 2000 – 3000 ботов «Профи» - 20 000 – 30 000 ботов

53. Арифметика загрузки Процент отклика: 12 % Процент ботов на связи: 15% Для 1000 постоянно активных ботов – необходимо 55 000 реальных загрузок Надо купить – 500 000 загрузок На хорошем потоке – до 100 000 уникальных IP в день | 26 May 2011 Доступ запрещен PAGE 51 |

54. После покупки загрузки | 26 May 2011 Доступ запрещен PAGE 52 | Первый сеанс связи Доложиться о процессе заражения (прислать метку) Доложиться о своем окружении Получить идентификатор (в дальнейшем – основа управления)

55. Протокол общения Первые боты общались по HTTP HTTP/1.1 200 OK Date: DAY, DD MMM YYYY HH:MM:SS GMT Server: Apache/2.0.59 (Unix) FrontPage/5.0.2.2635 PHP/5.2.3 mod_ssl/2.0.59 OpenSSL/0.9.7e-p1 X-Powered-By: PHP/5.2.3 Content-Length: 80 Connection: close Content-Type: text/html MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3dhaXQjMTAjeENSMl8yN Все последующие – используют шифрование | 26 May 2011 Доступ запрещен PAGE 53 |

56. | 26 May 2011 Доступ запрещен PAGE 54 |

57. | 26 May 2011 Доступ запрещен PAGE 55 |

58. Что надо для DDoS Атаки? Осталось найти заказчика | 26 May 2011 Доступ запрещен PAGE 56 | Нужнаадминка – нужен хостинг Нужны боты = нужен специалист по заражению

59. | 26 May 2011 Доступ запрещен PAGE 57 |

60. Диалог по заказу Алиса: Ку Алиса: нужен дос Алиса: прием ВОВ: да ВОВ: покажите сайт Алиса: ---------.ru ВОВ: на какой срок? Алиса: 12 часов Алиса: если все ровно продлим ВОВ: ещё на 12?)) Алиса: посмотрим Алиса: не хочу попусту болтать Алиса: все меняется, обещания дорогого стоят ВОВ: 50$ за 12 часов Алиса: тест? ВОВ: цена норм? Алиса: почему нет, если качественно исполняешь ВОВ: видишь тест? Алиса: когда стартовал? ВОВ: сейчас Алиса: 16-20? Алиса: тест минут 15? ВОВ: 10 думаю хватит Алиса: ну ок смотрим | 26 May 2011 Доступ запрещен PAGE 58 |

61. Диалог по заказу ВОВ: da ВОВ: ddosnyhen ? ВОВ: ssulkynasaitdai ВОВ: skagucenuzasutki Алиса: ------.ru ВОВ: sek ВОВ: skagu ВОВ: vutyt >? yatestsdelayposmotrite Алиса: atakanuznautrom Алиса: v 11-00 ВОВ: proverte ВОВ: sait sei4as ВОВ: etotest ВОВ: 4tobu vuposmotreli ВОВ: proverili? ВОВ: yge prosnuls9 sait ВОВ: skolkovuplotitezasutkiataki ? WMZ Алиса: egonesmoglipolozitsegodna ВОВ: nuyasmog Алиса: davaikoshelokinachinaiatakuv 11-00 ВОВ: wacplotish? Алиса: da Алиса: 50% Алиса: 50% poslenachalaatakiv 11-00 ВОВ: skolkoplotitbydewvsutki ВОВ: nu na4nem v 11 Алиса: timneskazi ВОВ: 150 wmzzasutki | 26 May 2011 Доступ запрещен PAGE 59 |

62. Как выглядит тест | 26 May 2011 Доступ запрещен PAGE 60 |

63. Ботнет – это навсегда? Проблемы сохранения сети Регулярное перекриптование бота Abuse-устойчивость хостингаСС Возобновление сети В день атаки ботнет может терять до 25% своих членов | 26 May 2011 Доступ запрещен PAGE 61 |

64. И так сколько же это все стоит Ну давай считать: софт – от 600 у.е. разово Загрузки – 2000 у.е. разово Нагон ботов – от 100 у.е. в день по необходимости Перекриптование ботов – раз в 2-3 дня – 20$ - 200$ в месяц Атака – от $100 - 150в сутки Окупаемость – от 30 атак | 26 May 2011 Доступ запрещен PAGE 62 |

65. Что умеет бот | 26 May 2011 Доступ запрещен PAGE 63 | Выполнить команду на атаку Модифицировать параметры атаки Изменить частоту опроса СС Изменить СС Загрузить обновление/модуль Удалить себя с компьютера жертвы Упраление модулями: Красть пароли и т.п.

66. Врага надо знать в лицо ОБЗОР СОФТА

67. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 65 | Семейство Black Energy 2007 год Archive: BlackEnergy DDoS Bot.zip Length Date Time Name -------- ---- ---- ---- 0 09-30-07 07:58 BlackEnergy DDoS Bot/ 0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/ 78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe 19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll 15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe 36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe 896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql 30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt 0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/ 1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php 1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html 319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php 5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php 492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php 987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php 807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css 29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe -------- ------- 191489 17 files

68. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 66 | Семейство Black Energy 2007 год Archive: BlackEnergy DDoS Bot.zip Length Date Time Name -------- ---- ---- ---- 0 09-30-07 07:58 BlackEnergy DDoS Bot/ 0 09-30-07 07:58 BlackEnergy DDoS Bot/1.7/ 78336 06-14-07 01:15 BlackEnergy DDoS Bot/1.7/builder.exe 19456 06-20-05 17:11 BlackEnergy DDoS Bot/1.7/cadt.dll 15977 06-05-07 21:15 BlackEnergy DDoS Bot/1.7/calc.exe 36352 05-11-07 02:01 BlackEnergy DDoS Bot/1.7/crypt.exe 896 02-27-07 02:46 BlackEnergy DDoS Bot/1.7/db.sql 30 06-05-07 20:46 BlackEnergy DDoS Bot/1.7/pass.txt 0 06-04-07 22:25 BlackEnergy DDoS Bot/1.7/www/ 1505 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/auth.php 1517 06-04-07 22:26 BlackEnergy DDoS Bot/1.7/www/cmdhelp.html 319 06-04-07 22:23 BlackEnergy DDoS Bot/1.7/www/config.php 5631 06-04-07 22:24 BlackEnergy DDoS Bot/1.7/www/index.php 492 01-23-07 06:40 BlackEnergy DDoS Bot/1.7/www/MySQL.php 987 06-04-07 22:20 BlackEnergy DDoS Bot/1.7/www/stat.php 807 10-11-06 13:14 BlackEnergy DDoS Bot/1.7/www/style.css 29184 06-06-07 22:46 BlackEnergy DDoS Bot/1.7/_bot.exe -------- ------- 191489 17 files

69. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 67 | Семейство Black Energy 2007 год Семейство Black Energy 22008год Шифрованный обмен данными, модульная структура (в т.ч. Плагин эмуляции браузера)

70. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 68 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год многопоточность

71. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 69 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год DirtJumper - новое название последующих версий RussKill 2010 год Появляются возможности атак методом POST

72. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 70 | Семейство Black Energy 2007 год Семейство Black Energy 22008год RussKill 2009 год DirtJumper - новое название последующих версий RussKill 2010 год DDoS-Engeneer2010год G-bot,G-BotakaPiranha 2010 год Optimaон же Darkness, G-Bot, изначально – 2008 год

73. Какой же есть софт | 26 May 2011 Доступ запрещен PAGE 71 |

74. | 26 May 2011 Доступ запрещен PAGE 72 |

75. Какие атаки генерируют боты? SYN-Flood - множество BOT-ов направляют на атакуемый узел большое количество запросов на установление соединений. При этом на атакуемом сервере через короткое время исчерпывается количество возможных соединений и сервер перестаёт отвечать. Чуть более сложная атака заключается в создании полуоткрытых соединений на стороне сервера – т.е. в прекращении взаимодействия в процессе установления соединения, или его установке без обмена полезной информацией. В этом случае сервер в ожидании ответа от клиента не освобождает выделенные ресурсы, что может привести к их исчерпанию. UDP-Flood- затопление канала жертвы большим количеством «больших» UDP- пакетов. UDP протокол более приоритетен, чем TCP. Большим количеством UDP-пакетов разного размера вызывается перегрузка канала связи, и сервер перестаёт отвечать. | 26 May 2011 Доступ запрещен PAGE 73 |

76. Какие атаки генерируют боты? ICMP Flood или PingFlood– затопление атакуемого компьютера запросами по протоколу ICMP. В соответствии с протоколом, атакуемая система должна ответить на каждый такой запрос/пакет, тем самым с одной стороны создаётся большое количество ответных пакетов, которые снижают производительность (пропускную способность) канала, а с другой стороны загружаются ресурсы сервера. HTTP flood- Данный тип атаки позволяет вызвать перегрузку сервера за счёт частых, многократных запросов обычными http пакетами. Downloadingflood- позволяет забить канал жертвы трафиком.Бот выкачивает с атакуемого ресурса заданную картинку или документ большого объема. POST/GETflood– вызывает перегрузку атакуемого ресурса путем отправки в адрес сервера бесполезных, но требующих обработки данных. Например, это могу быть вставка случайных логинов и паролей в форму авторизации, отправка поисковых и т.п. запросов, что вызывает нагрузку на сервер приложений и базы данных. | 26 May 2011 Доступ запрещен PAGE 74 |

77. Какие атаки генерируют боты? | 26 May 2011 Доступ запрещен PAGE 75 | Slowloris– Исчерпание лимита HTTP или TCP соединений за счет открытия и удержания сессии на границе таймаутов за счет очень низкой активности в рамках соединения Подвержены Apache 1.x Apache 2.x dhttpd GoAheadWebServer Устойчивы IIS6.0 IIS7.0 lighttpd Squid nginx Cherokee Netscaler Cisco CSS

78. slowloris | 26 May 2011 Доступ запрещен PAGE 76 |

79. Какие атаки генерируют боты? | 26 May 2011 Доступ запрещен PAGE 77 | Lowrate, ddoslimit– Исчерпание лимита соединений за счет открытия небольшого числа соединений с большого количества ботов. Более 1 500 000 IP в блок-листах Бот выходит на связь 1 раз в 2 часа при постоянном потоке в 2000 адресов в минуту

80. О подготовке к атаке Исследование ресурса Исследование возможностей защиты | 26 May 2011 Доступ запрещен PAGE 78 |

81. Еще о неприятных тенденциях | 26 May 2011 DDoS-атаки как средство кибертерроризма PAGE 79 |

82. Мы их или они нас?

83. По деньгам – они… защита стоит на порядок дороже Правда- за нами! Защита - заставляет DDoS–еров возвращать деньги | 26 May 2011 Доступ запрещен PAGE 81 |

84. Недостатки типовых методов защиты Межсетевые экраны Не спасают от атаки на исчерпание полосы пропускания канала. Маршрутизация в «черные дыры» Только помогают хакеру достичь своей цели. Системы IDS|IPS Не спасают от атаки на исчерпание полосы пропускания канала. бессильны против 99% DDoS атак, которые не используют уязвимости. Оптимизация настроек ресурсов Правильная настройка сервера равносильна 200-300% запасы его ресурсов, что абсолютно несущественно, ибо для отражения серьезной атаки, зачастую требуется не менее 1000 процентов «запаса». Многократное резервирование Кластеризация, распределение ресурсов, аренда производительных каналов связи и т.п.- слишком затратны. Расходы на увеличение мощности атаки на 5-6 порядков!! меньше, чем расходы на такую защиту. | 26 May 2011 Доступ запрещен PAGE 82 |

85. Общая концепция противодействия | 26 May 2011 Доступ запрещен PAGE 83 | Информированности о угрозе, включающая Информированность о типичных схемах и целях использования того или иного инструментария информированность специалистов по безопасности о самой возможности что-то противопоставить злоумышленнику; информированности о порядке действий в случае тех или иных инцидентов. Технические средства защиты Правовое противодействие злоумышленникам

86. Варианты аппаратной защиты | 26 May 2011 Доступ запрещен PAGE 84 |

87. Варианты сервисной защиты | 26 May 2011 PAGE 85 | ё Без атаки Во время атаки

88. Критерии фильтрации | 26 May 2011 Мифы и реалии DDoS-угрозы PAGE 86 | Статистические Основа – вычисленные параметры поведения типового пользователя Статические Черные/белые списки фильтрации Поведенческие Основа – умение работать в соответствии со спецификацией протокола Сигнатурные Индивидуальные особенности Ботнета Особенности генерируемых сетевых пакетов

89. Что беспокоит владельцев ресурсов? Как переключать ресурс на систему защиты? А у меня шифрованный трафик! Что еще надо, помимо изменения анонсов? Сколько время занимает переключение? А если атакуют по IP? Задержка какая будет? Насколько оперативно возможно помочь? Можно ли заддосить защитника? Это что же, защитник увидит весь мой трафик? Как протестировать систему защиты? | 26 May 2011 Доступ запрещен PAGE 87 |

90. Что беспокоит владельцев ресурсов? Как переключать ресурс на систему защиты? А у меня шифрованный трафик! Что еще надо, помимо изменения анонсов? Использование возможностей протокола DNS Использование возможностей протокола BGP Внутренние протоколы маршрутизации | 26 May 2011 Доступ запрещен PAGE 88 |

91. Что беспокоит владельцев ресурсов? Сколько время занимает переключение? Использование возможностей протокола DNS - 20-30 минут Использование возможностей протокола BGP - 2-3 минуты Внутренние протоколы маршрутизации - почти мгновенно | 26 May 2011 Доступ запрещен PAGE 89 |

92. Что беспокоит владельцев ресурсов? А если атакуют по IP? Закрываем весь трафик, кроме тоннелей… | 26 May 2011 Доступ запрещен PAGE 90 |

93. Что беспокоит владельцев ресурсов? Задержка какая будет? Вот информация под атакой Результат ВремяответаCкорость отдачи, КБ/сек Полученные результаты: 81Ok 1 Ошибка(ок) Average:0.91 sec4.55 Полученныерезультаты: 81 Ok Average:1.42 sec23.77 (вторая строчка соответствует замеру в пик атаки) А вот статистика, когда атаки нет РезультатВремяответаCкорость отдачи, КБ/сек Полученные результаты: 80Ok 1 Ошибка(ок) Average:0.80 sec42.67 | 26 May 2011 Доступ запрещен PAGE 91 |

94. Что беспокоит владельцев ресурсов? Задержка какая будет? Ресурс без атаки, трафик идет через систему Kaspersky DDoS Prevention 17:09:06 Полученные результаты: 58Ok Average: 0.75 sec 45.91 17:15:32 Полученные результаты: 65Ok Average: 0.78 sec43.91 Ресурс без атаки, трафик идет напрямую на ресурс 17:38:23 Полученные результаты: 62 Ok Average: 1.17 sec 29.42 17:43:25 Полученные результаты: 62 Ok Average: 0.77 sec 44.40 | 26 May 2011 Доступ запрещен PAGE 92 |

95. Что беспокоит владельцев ресурсов? | 26 May 2011 Доступ запрещен PAGE 93 |

96. Что беспокоит владельцев ресурсов? Насколько оперативно возможно помочь? Можно ли заддосить защитника? Это что же, защитник увидит весь мой трафик? Как протестировать систему защиты? | 26 May 2011 Доступ запрещен PAGE 94 |

97. Еще немного ГЕО-фильтрация… Мониторинг… Проблема совмещенной защиты – можно ли попробовать сразу 2 решения? | 26 May 2011 Доступ запрещен PAGE 95 |

98. Работа с заблуждениями

99. Для провайдеров DDoS тоже проблема | 26 May 2011 Доступ запрещен PAGE 97 |

100. Для провайдеров DDoS тоже проблема | 26 May 2011 Доступ запрещен PAGE 98 |

101. Люди делятся… Были под атакой Ждут атаки Сомневаются или не верят | 26 May 2011 Kaspersky DDoS Prevention PAGE 99 |

102. Виды заблуждений Пораженческие Эти заблуждения заставляют опускать руки даже грамотных телекоммуникационных инженеров и специалистов по безопасности Чрезмерно оптимистичные Эти заблуждения расхолаживают и вселяют чувство ложной уверенности в своей защищенности | 26 May 2011 Kaspersky DDoS Prevention PAGE 100 |

103. Пораженческие От DDOS невозможно защититься В общем же случае, речь идет о противостоянии людей и техники, а людям свойственно ошибаться. Это выражается в том, что у атак есть почерк (типовые пакеты, типовые обращения), а это значит, что их можно выявлять и на этом строить защиту. Все равно мне забьют канал… | 26 May 2011 Kaspersky DDoS Prevention PAGE 101 |

104. Оптимистичные Я читал о том, как можно настроить сервер, чтобы он устоял Да, такие рекомендации существуют. Они действительно повышают устойчивость сервера к атакам на 200-300 %. Но требуется не менее 1000 процентов «запаса». Я распределил ресурсы, арендовал несколько IP-адресов и создал производительный кластер Атака, чаще всего, бывает направлена на DNS-имя ресурса. Кроме того, в случае атаки на полосу пропускания, кластеризация любая вычислительная мощность сервера будет бесполезна. Я арендовал достаточный канал Это поможет, но лишь отчасти. Например, теперь, мощность канала может оказаться достаточной для того, чтобы исчерпать ресурсы сервера приложений. | 26 May 2011 Kaspersky DDoS Prevention PAGE 102 |

105. Когда атака – не атака

106. Хабраэффект Пример удачно стартовавшей рекламной компании | 26 May 2011 Доступ запрещен PAGE 104 |

107. Сам себезлобный DDoS-ер Ошибки в клиент серверной архитектуре или неверные оценки требуемых мощностей часто приводят к тому, что клиенты становятся оружием, похлеще бот сетей. | 26 May 2011 Доступ запрещен PAGE 105 |

108. DDoS или не DDoS | 26 May 2011 Доступ запрещен PAGE 106 |

109. На защитника надейся, а сам не плошай

110. Еще из мифов : защита – плевое дело Противодействие возможно??? – ДА!!! Защита от DDoS - плод совместных усилий Жертвы и Защитника Волшебной пилюли не существует | 26 May 2011 Доступ запрещен PAGE 108 |

112. Пароли от панелей управления DNS

113. Наличие админов, способных управлять настройками оборудования и приложений

114. Работать надо вместе, спать не придется

116. Кто меня DDoS-ил??? Хотите привлечь этих …. к ответственности? Необходимо задокументироватьатаку!!! Списки ботов, география ботов, тип атаки и как можно больше другой информации. Нужны компьютеры, которые реально атакуют систему!!! Их необходимо искать во время атаки!!! Обращайтесь как можно раньше!!! | 26 May 2011 Доступ запрещен PAGE 112 |

117. ВСТРЕЧАЙТЕ DDOS НА ПОДГОТОВЛЕННЫХ ПОЗИЦИЯХ !!! | 26 May 2011 Доступ запрещен PAGE 113 |

118. Савельев Михаил Менеджер проектов Kaspersky Lab Russia Департамент стран EEMEA