Raport co prawda dotyczy roku 2009 i kawałka roku 2008 (a już przecież niedługo Euro2012 ;) ale nadal jest według mnie walizką wartościowych informacji. Wydany przez firmę Arbor Networks, która opracowała go na podstawie zgłoszeń od 132 operatorów typu Tier 1, Tier2 i innych, jest do pobrania stąd. Krótko podsumowując najciekawsze informacje:
- atak DDoS o największej mocy osiągnął moc 49 gigabitów na sekundę! (wzrost o 22% w stosunku do roku poprzedniego, a w roku 2002 było to 400 megabitów/s)
- ponad połowa ankietowanych odnotowała ataki o sile mniejszej niż 1 Gb/s
- ataki były kierowane głównie w usługi takie jak DNS, serwery SQL, serwery rozkładające obciążenie
- problemem jest mała funkcjonalność obronna w routerach w zakresie IPv6
- wiele problemów dotyczy trudności z komunikacją, brakiem odpowiednich polityk, zrozumienia przez wyższy szczebel itp.
- dane zostały opublikowane anonimowo
- przewidywane problemy na najbliższy rok: DDoS, Botnet, kradziez informacji danych poufnych, DNS oraz BGP poisoning
- w roku 2007 i 2008 dużo ataków typu reflective amplification głównie z wykorzystaniem serwerów DNS (ratio 1:76 czyli wysyłając pakietów o sile 10 Mb/s do ofiary dociera 760 Mb/s !)
- dla największych ataków: 45% – flood UDP, ICMP, 23% – RST, SYN, FRAG, 26% – usługi URL, GET, DNS, SQL, 6% – inne
- wzmożona aktywność skomplikowanych ataków bruteforce na usługi SSH, WWW, DNS
- przyczyny incydentów związanych z bezpieczeństwem: 60% – zewnętrzny atak bruteforce, 12% – znana podatność, 3% – błędy konfiguracyjne, 3% – inżynieria socjalna, 2% – wewnętrzny incydent, 0% – Zero Day, 20% – inne
- do wykrywania ataków wykorzystywane są narzędzia: 58% – analizujące „flow”, 18% – SNMP, 8% – analizę pakietów (Deep Packet Inspection) i inne, natomiast 11% nie posiada narzędzi do wykrywania tego typu ataków.
- zwiększona popularność narzędzi OpenSource do wykrywania ataków (lecz może być to związane z dołączeniem do ankietowanych wielu mniejszych sieci)
- mechanizmy obronne w stosunku do poprzedniego roku wzrosły: z 30% do 75% – ACL, wzrosło zainteresowaniem blackholingiem BGP oraz narzędziami do automatycznej analizy i pomocy w obronie, nakładanie ograniczeń wzrosło z 11 do 23%
- mechanizmy zdalnego dostępu do urządzeń to: SSH – 70%, telnet – 19% !, HTTP – 7%, inne – 3%, własnościowe producenta – 1%
6 komentarzy do
19 października, 2010 o godzinie 14:02
Obecnie 100 Gbps nie są takie rzadkie
19 października, 2010 o godzinie 16:09
A ile lat temu mistrz Stanisław napisał książęczkę pt. „Bomba megabitowa”?
55 lat temu ataki mierzyliśmy w megatonach. teraz w gigabitach :-)
19 października, 2010 o godzinie 16:15
@Gregor: Jakieś źródło udokumentowanego, a nie samemu wygenerowanego? ;]
19 października, 2010 o godzinie 16:17
Borys: do nas przyszedł niedawno 100 Gbps, u jednej z zaprzyjaźnionych firm widziałem więcej. Nie mamy żadnych Arborów, bo nie są w stanie przetrawić takich ilości ruchu (~800 Gbps).
19 października, 2010 o godzinie 17:56
Gregor: Taki niestety minus większości specyficznych urządzeń, że w końcu się kończą ;]
Jesteś w stanie napisać coś więcej? Specyfika ruchu? Liczba ppsów? Rodzaj pakietów? Jak mniemam praca w kraju legalnej konopi?
19 października, 2010 o godzinie 18:45
Jakieś 100 Mpps też, a rodzaj pakietów nawet nie wiem. Musiałbym jakieś flowy posprawdzać, ale przy tej skali to naprawdę nie jest ważne :)
Najczęściej to są jakieś małe icmp albo udp, tcp są rzadko. Atakuje wtedy kilkadziesiąt tysięcy zombi.
(http://leasewebnoc.com)