MENU
18. 12. 2020
Tomáš Sekera
Uncategorized @cs

FlowGuard více než hodinu čelil útoku o síle až 60 Gbps

Útok, který byl veden na našeho zákazníka po dobu 70 minut obsahoval 11.48 miliard packetů při maximální kadenci 7.8 Mpps. Podívejte se, jak jsem zákazníkovi ušetřili přenos 13.64 TB dat.

Cíle a vektory útoku

Cílem útoku byly jediná IP adresa, útok měl několik vektorů:

IDProtokolSrc PortDst PortPodvržené zdrojové adresyPopis
HTTPS TCP21443anoTCP flood na HT TPS
FTP TCP2121anoTCP flood na FTP
DNSUDP53900neDNS reflection
fragUDP00neDNS reflection (frags)

Následují detailní informace o průběhu útoku. Jednotlivé časové průběhy jsou vztažené ke dvouminutovým oknům, ve kterých je prováděn export Netflow z routerů. Časový průběh packetového přenosu, který určuje intenzitu útoku. PPS jsou rozhodující veličinou z hlediska zatížení síťových prvků.

Datový průběh je významný z hlediska saturace datových tras.

Počet unikátních IP adres nám říká počet zdrojových IP adres, které se podílejí na útoku.

Z grafu průměrné velikosti přenášeného packetu je možné odvodit, které vektory útoků cílí na vyčerpání systémových prostředků síťových prvků a které na vyčerpání kapacity přenosových tras.

Zdroje útoku

Pro analýzu zdrojů útoku byly použité zdrojové IP adresy, které se podílely na útoku a bylo u nich vyloučeno jejich podvržení. Tyto IP adresy byly následně identifikovány pomocí GeoIP2 databáze.

Dle kontinentů

Rozdělení útoků dle kontinentů, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných na daném kontinentu.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných na daném kontinentu.

Dle zemí

Rozdělení útoků dle zemí, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v dané zemi.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v dané zemi.

Dle autonomních systémů

Rozdělení útoků dle autonomních systémů, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v daném autonomním systému.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v daném autonomním systému.

Detailní pohled dle AS v ČR

Detailní pohled jen na autonomní systémy registrované v ČR.

  • Rozdělení útoků dle autonomních systémů, ze kterých pocházela zdrojová IP adresa.
  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v daném autonomním systému.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v daném autonomním systému.

Geografické umístění IP adres

Geografická lokace IP adres, ze kterých byly zachycené útoky.

Sdílejte tento článek na sociálních sítích

Kam dál