ISP`s IT Аутсорсинг
Быстрый переход: Главная блога Главная сайта Форум
Если Вы чего то недопоняли или не нашли - задайте
вопрос на нашем форуме и мы попробуем Вам помочь.
Subnets.ru Регистрация IP и Автономных систем mega-net.ru

Как всегда начнем статью со слов благодарности тем, кто на нее откликнется, оставит комментарии и свои взгляды на решение проблемы. ))

Проблема или задача: мониторинг трафика провайдера на наличие ddos атак как со стороны своих абонентов и так и на них. Статья носит теоретический характер, практическая реализация зависит от каждого конкретного провайдера.

Немного теории здесь и здесь.

Мы не будем разбивать по типам атак,  для нашей задачи это не так важно.

Учет трафика в сети провайдера в основном работает по следующей схеме — данные с оборудования о трафике абонента попадают на коллектор (в нашем случае используется netflow), где эти данные и обрабатываются.  Наша задача как раз и состоит в анализе этого трафика. Предлагаются следующие характеристики для анализа трафика:

— ip адрес;

— протокол;

— количество пакетов в потоке;

— количество байт в потоке.

Дальше просто анализируем количество потоков для одного ip адреса. Порог срабатывания в каждой сети и для каждого абонента может быть разный, опытным путем установили следующие значения: если из 1000000 потоков содержится более 10000 одинаковых записей, то скорее всего у клиента сетевая проблема (вероятно компьютер абонента заражен вирусом и участвует в атаке). Далее действия могут быть разными, пишем, звоним абоненту или сразу блокируем, все зависит от правил во взаимоотношении с клиентами. При количестве одинаковых потоков более 100000 проблема на сети провайдера будет видна невооруженным взглядом (конечно это будет зависеть от производительности оборудования).

Статья основана на собственном опыте, если у кого-то есть свои «выкладки», то будет интересно на них посмотреть.

З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор:  zaikini

Похожие статьи:

    Не найдено

Прочитано: 5 803 раз(а)
Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 2, среднее: 3,50 из 5)
Загрузка...
Отправить на почту Отправить на почту

комментариев 5

  1. admin сказал:

    >Дальше просто анализируем количество потоков для одного ip адреса.
    показал бы как ты его анализируешь…
    показал бы пример «потока»…

    >если из 1000000 потоков содержится более 10000 одинаковых записей
    кол-во потоков за какой период ? пять минут ? 30 минут ? час ? сутки ?
    в чем именно заключается их одинаковость ? Один и тот же DST_IP + DST_PORT + Размер_пакета ?

    З.Ы. Хотелось бы побольше конкретики и примеров в этой статье.

  2. zaikini сказал:

    характеристики одинаковых потоков:
    src или dst ip
    протокол
    количество пакетов в потоке (как правило 1 или 2)
    количество передаваемых байт

    Анализируем каждый 1000000 записей, для нас это аналогично каждые 3-5 минут. В сутки один раз проверять я думаю можно, но вовремя среагировать вы не сможете.

  3. zaikini сказал:

    Пример одинаковости:
    0915.17:39:04.959 221.122.65.234 6000 х.х.32.32 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.9 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.28 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.73 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.7 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.10 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.х.50 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.х.43 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.27 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.21 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.37 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.66 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.70 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.84 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.42 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.41 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.82 2967 6 1 40

  4. mimir сказал:

    Для этих целей есть готовое решение Arbor PeakFlow SP, правда стоит не малых денег. Ваш случай подходит только для простых атак типа Flood (ICMP,UDP,TCP), а если же bot посылает HTTP GET запросы жертве, при чём делает раз в несколько секунд, то такой метод не подойдёт. К тому же чем вы собираетесь анализировать потоки пользователей и вести по ним статистику?

  5. zaikini сказал:

    Анализ сетевого трафика большая задача, здесь описан самый простой механизм обнаружения атак на уровне провайдеров без каких либо дополнительных вливаний средств. Анализируется каждый 1000000 записей в нетфлоу, по результатам тут же отправляется сообщение администраторам и ответственным людям для принятия решения, блокировать или не блокировать и т.п. В любом случае на основании этой информации пользователям отправляется предписание об устранении этой проблемы. И как показывает практика у пользователей действительно есть проблемы в виде всяких троянов, вирусов и прочей гадости.

Добавить комментарий

Вам следует авторизоваться для размещения комментария.