Как всегда начнем статью со слов благодарности тем, кто на нее откликнется, оставит комментарии и свои взгляды на решение проблемы. ))
Проблема или задача: мониторинг трафика провайдера на наличие ddos атак как со стороны своих абонентов и так и на них. Статья носит теоретический характер, практическая реализация зависит от каждого конкретного провайдера.
Мы не будем разбивать по типам атак, для нашей задачи это не так важно.
Учет трафика в сети провайдера в основном работает по следующей схеме — данные с оборудования о трафике абонента попадают на коллектор (в нашем случае используется netflow), где эти данные и обрабатываются. Наша задача как раз и состоит в анализе этого трафика. Предлагаются следующие характеристики для анализа трафика:
— ip адрес;
— протокол;
— количество пакетов в потоке;
— количество байт в потоке.
Дальше просто анализируем количество потоков для одного ip адреса. Порог срабатывания в каждой сети и для каждого абонента может быть разный, опытным путем установили следующие значения: если из 1000000 потоков содержится более 10000 одинаковых записей, то скорее всего у клиента сетевая проблема (вероятно компьютер абонента заражен вирусом и участвует в атаке). Далее действия могут быть разными, пишем, звоним абоненту или сразу блокируем, все зависит от правил во взаимоотношении с клиентами. При количестве одинаковых потоков более 100000 проблема на сети провайдера будет видна невооруженным взглядом (конечно это будет зависеть от производительности оборудования).
Статья основана на собственном опыте, если у кого-то есть свои «выкладки», то будет интересно на них посмотреть.
З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !
Автор: zaikini
Похожие статьи:
- Не найдено
admin сказал:
>Дальше просто анализируем количество потоков для одного ip адреса.
показал бы как ты его анализируешь…
показал бы пример «потока»…
>если из 1000000 потоков содержится более 10000 одинаковых записей
кол-во потоков за какой период ? пять минут ? 30 минут ? час ? сутки ?
в чем именно заключается их одинаковость ? Один и тот же DST_IP + DST_PORT + Размер_пакета ?
З.Ы. Хотелось бы побольше конкретики и примеров в этой статье.
16.09.2009, 15:16zaikini сказал:
характеристики одинаковых потоков:
src или dst ip
протокол
количество пакетов в потоке (как правило 1 или 2)
количество передаваемых байт
Анализируем каждый 1000000 записей, для нас это аналогично каждые 3-5 минут. В сутки один раз проверять я думаю можно, но вовремя среагировать вы не сможете.
16.09.2009, 15:35zaikini сказал:
Пример одинаковости:
16.09.2009, 16:090915.17:39:04.959 221.122.65.234 6000 х.х.32.32 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.9 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.28 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.73 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.7 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.10 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.х.50 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.х.43 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.27 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.21 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.37 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.66 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.70 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.84 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.42 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.41 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.82 2967 6 1 40
mimir сказал:
Для этих целей есть готовое решение Arbor PeakFlow SP, правда стоит не малых денег. Ваш случай подходит только для простых атак типа Flood (ICMP,UDP,TCP), а если же bot посылает HTTP GET запросы жертве, при чём делает раз в несколько секунд, то такой метод не подойдёт. К тому же чем вы собираетесь анализировать потоки пользователей и вести по ним статистику?
09.06.2010, 08:47zaikini сказал:
Анализ сетевого трафика большая задача, здесь описан самый простой механизм обнаружения атак на уровне провайдеров без каких либо дополнительных вливаний средств. Анализируется каждый 1000000 записей в нетфлоу, по результатам тут же отправляется сообщение администраторам и ответственным людям для принятия решения, блокировать или не блокировать и т.п. В любом случае на основании этой информации пользователям отправляется предписание об устранении этой проблемы. И как показывает практика у пользователей действительно есть проблемы в виде всяких троянов, вирусов и прочей гадости.
17.06.2010, 11:25