18. 12. 2020
Tomáš Sekera
Uncategorized @cs
Tomáš Sekera
Sdílet článek
Tweet článek
Sdílet článek
Vytisknout

FlowGuard více než hodinu čelil útoku o síle až 60 Gbps

Útok, který byl veden na našeho zákazníka po dobu 70 minut obsahoval 11.48 miliard packetů při maximální kadenci 7.8 Mpps. Podívejte se, jak jsem zákazníkovi ušetřili přenos 13.64 TB dat.

Cíle a vektory útoku

Cílem útoku byly jediná IP adresa, útok měl několik vektorů:

IDProtokolSrc PortDst PortPodvržené zdrojové adresyPopis
HTTPS TCP21443anoTCP flood na HT TPS
FTP TCP2121anoTCP flood na FTP
DNSUDP53900neDNS reflection
fragUDP00neDNS reflection (frags)

Následují detailní informace o průběhu útoku. Jednotlivé časové průběhy jsou vztažené ke dvouminutovým oknům, ve kterých je prováděn export Netflow z routerů. Časový průběh packetového přenosu, který určuje intenzitu útoku. PPS jsou rozhodující veličinou z hlediska zatížení síťových prvků.

Datový průběh je významný z hlediska saturace datových tras.

Počet unikátních IP adres nám říká počet zdrojových IP adres, které se podílejí na útoku.

Z grafu průměrné velikosti přenášeného packetu je možné odvodit, které vektory útoků cílí na vyčerpání systémových prostředků síťových prvků a které na vyčerpání kapacity přenosových tras.

Zdroje útoku

Pro analýzu zdrojů útoku byly použité zdrojové IP adresy, které se podílely na útoku a bylo u nich vyloučeno jejich podvržení. Tyto IP adresy byly následně identifikovány pomocí GeoIP2 databáze.

Dle kontinentů

Rozdělení útoků dle kontinentů, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných na daném kontinentu.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných na daném kontinentu.

Dle zemí

Rozdělení útoků dle zemí, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v dané zemi.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v dané zemi.

Dle autonomních systémů

Rozdělení útoků dle autonomních systémů, ze kterých pocházela zdrojová IP adresa.

  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v daném autonomním systému.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v daném autonomním systému.

Detailní pohled dle AS v ČR

Detailní pohled jen na autonomní systémy registrované v ČR.

  • Rozdělení útoků dle autonomních systémů, ze kterých pocházela zdrojová IP adresa.
  • Výskyt je vyjádřen pomocí počtu unikátních IP adres registrovaných v daném autonomním systému.
  • Intenzita je vyjádřena pomocí poměrného množství packetů vyslaných z IP adres registrovaných v daném autonomním systému.

Geografické umístění IP adres

Geografická lokace IP adres, ze kterých byly zachycené útoky.

Sdílejte tento článek na sociálních sítích

Kam dál

28
Květen
2021

Umělá inteligence a strojové učení nejsou pro Juniper jen buzz-words

O umělé inteligenci se hodně mluví. Juniper sítě řízené umělou inteligencí již dodává. Cloudové služby Juniper Mist využívající síly umělé inteligence a microservices posunou provoz vaší podnikové sítě k inteligentní „samořídící síti...

Tomáš Sekera Uncategorized @cs
18
Březen
2020

Microsoft vydal mimořádnou opravu zranitelnosti protokolu SMBv3

Společnost Microsoft vydala ve čtvrtek 12. března 2020 mimořádnou opravu zranitelnosti CVE-2020-0796, o které, zřejmě omylem, informovaly v úterý některé společnosti vyvíjející antivirové programy. Záplaty jsou vydávány pro Windows 10 a pro Windows Se...

Tomáš Sekera Uncategorized @cs
15
Duben
2018

GDPR hrozí stamilionovými pokutami. Máte už svá data zabezpečená?

Ochrana osobních údajů prochází v posledních letech turbulentními změnami. Zvyšující se množství kybernetických útoků a nedbalé jednání zaměstnanců vytváří časovanou bombu, která dokáže znepříjemnit život milionům lidí. ...
ComSource E-books