Ведущий: Терренс Гаро
В докладе рассказывается о том, как создать ханипот (ловушку) и организовать сервис с обновляемыми данными о попавшихся DDoS-ботах с помощью Kibana, Elasticsearch, Logstash и AMQP. Докладчик откроет исходный код системы мониторинга и сбора внешней статистики DDoS-атак, над которой он работал со своей командой последние два года.
10. Problem
2.1 / DDoS Attack Vectors / As shown in Figure 2-1,
infrastructure attacks continue to dominate, increasing
2% from last quarter and accounting for 97% of all
DDoS attack activity. The large increases at the
infrastructure layer further diminished the percentage
of application layer attacks, which have decreased
slightly over time.
https://www.akamai.com/us/en/multimedia/documents/report/q4-2015-state-of-the-internet-security-report.pdf
18. What Services we support
PORT Service Provide
19 CHARGEN x
7 Echo x
5353 MDNS x
1434 Mssql
5351 NAT-PMP x
111 Portmapper x
27960 Quake
520 RIP
5093 Sentinal x
161 SNMP x
1900 SSDP x
9987 TeamSpeak3, x
7778 UnrealTournament
177 XDMCP x
500 IKE x
69 TFTP
24. Basics
• Ubuntu 14.04LTS
• Installs via Bash Script
• Runs Xinetd, Bind9, NTPD, Emulators
• Logs with BRO
• Ships logs with logstash via AMQP
• Receive and index in elasticsearch with Logstash via AMQP
• Visualize with Kibana