Современные методы защиты от DDoS атак

Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН

dkaryakin@juniper.netJNCIE-ENT #428

АПРЕЛЬ 2014

НОВОСТИ ПРОШЛОЙ НЕДЕЛИ

• 1. Предприятия – 45%

• 2. Коммерческие организации – 29%

• 3. СМИ и развлечения – 15%

• 4. Государственный сектор – 6%

• 5. Высокотехнологичный сектор – 5%

Статистика из отчета Akamai Q3 2013

РАСПРЕДЕЛЕНИЕ DDOS-АТАК

ВЕКТОРЫ DDOS-АТАК

МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ«LOW-AND-SLOW»

ОБЪЕМНЫЕ АТАКИ«VOLUMETRIC»

АТАКА НА ИНФРАСТРУКТУРУ

• TCP SYN, ACK, RST; ICMP, UDP flood

• Целью атаки является перегрузка каналов связи и сетевых устройств

• В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus)

• Фиксируется значительный рост мощности атак

• Несложно детектируются

АТАКА НА ПРИЛОЖЕНИЯ

• HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC

• Целью является перегрузка слабых элементов сетевых сервисов

• Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти

• Имеют сложные алгоритмы и трудно детектируются

• Небольшой объем запросов может вывести из строя большой веб-сайт

ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК

• HTTP reflection attack

• NTP, DNS amplification

• SSL Renegotiation

• HTTP GET/POST flood

• HTTP slow request, read

• SIP Call-Control Flood

• TCP State-Exhaustion attacks• TCP SYN, ICMP, UDP flood

ACKChargen

Fin Push

SYN PushTCP Fragment

UDP Flood

UDP Fragment

HTTP GET

HEAD NTP HTTP POST Push SSL Post

Векторы атак Q4 2013

В порядке популярности применения для атак на приложения

ИНСТРУМЕНТЫ

• Slowloris

• Low Orbit ION Cannon (LOIC)

• Apache Killer

• High Orbit ION Cannon

• nkiller2

• Hulk

• R.U.D.Y

• Recoil

АТАКИ LOW-AND-SLOW

• Slow-rate HTTP GET

• Slow-rate HTTP POST

• Slow-rate HTTP Read

ЗАЩИТА ОТ DDOS АТАК

• ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА

• ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ

Internet

Site Site

ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ

• «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом

• Фильтрация должна быть не только на границе, но и в любой точке сети

• Централизованное управление правилами фильтрации

• Подозрительный трафик должен бытьперенаправлен на карантин в контексте

всей сети

Internet

КЛАССИЧЕСКИЙ ПОДХОД

• Access Control List (ACL)

• BCP38 «Network Ingress Filtering» (Май 2000)

• BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004)• uRPF – Unicast Reverse Path Forwarding• uRPF active-paths / feasible-path

Штатный режим работы

Destination based Remotely Triggered Black Hole

D-RTBH

Возникновение DDoS-атаки на веб-сервер

D-RTBH

Блокирование трафика специфичным маршрутом

D-RTBH

• DDoS трафик в сеть успешно заблокирован• Блокируются легитимные запросы к сервису с заданным IP• Злоумышленник достигает цель причинения ущерба ресурсу

• Работа Destination based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном

маршрутизаторе• Мониторинг идентификации атаки• Контроль специфичного маршрута внутри общего префикса• Наличие правила обработки BGP community (в примере «65001:666»)

Результат

D-RTBH

• DDoS трафик блокируется от заданного IP источника• Блокируются легитимные запросы в сеть оператора с заданного IP• Остальные запросы не блокируются и достигают сеть

• Работа Source based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном

маршрутизаторе• Включенного uRPF на интерфейсе источника DDoS трафика• Мониторинг идентификации атаки• Наличие правила обработки BGP community

• Применимо между доверенными сетями

Source based Remotely Triggered Black Hole (RFC 5636)

S-RTBH

• Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP

• DDoS трафик обрабатывается с высокой гранулярностью• Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag,

packet lengh, DSCP, Fragment• Действия: сброс, ограничение, перенаправление в VRF, маркировка

• Работа BGP Flow Spec требует• Мониторинг идентификации атаки

RFC 5575 – Расширение NLRI для BGP

BGP FLOW SPEC

Блокирование трафика анонсом правила PBR

ИДЕАЛЬНАЯ СХЕМА

BGP FLOW SPEC

• Отсутствие доверия между операторами и клиентами

• Включение inetflow на eBGP – это большой риск безопасности

• Что необходимо сделать?• Централизованный inetflow speaker внутри доверенной сети• Inetflow speaker на основе интеллектуальных систем предотвращения

DDoS атак (IDMS)

ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ?

BGP FLOW SPEC

Статистика из отчета Arbor Networks, Inc за 2014 год.

ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS

Пороги сбросаNetflow анилиз

ЭВОЛЮЦИЯ DDOS АТАКСигнатурные

очистители трафика

ВОЗНИКНОВЕНИЕ УГРОЗЫ

зам

етн

ост

НовизнаИзвестные Неизвестные

Проблема: ручное управление порогами для IP в

динамических сетях

Проблема: Создание сигнатур

для новых атак

Проблема: Поддержка

существующих сигнатур атак

JUNOS DDOS SECUREПредотвращение атак «volumetric» и «Low and Slow» на приложения

Эвристический анализ

Легитимный трафик

Трафик DDoS атаки

Легитимный трафик

Преимущества

Комплексное Анти-DDoS решение

• Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения

• Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик

• Эффективен на 80% через 10 мин. после установки

• Эффективен на 99.999% через 6-12 часов

• Динамическая безсигнатурная эвристическая технология

• Не требуется подстройка порогов сброса

• Гибкие варианты развертывания: физическое устройство или виртуальная машина

Оценка риска каждого IP-источника в реальном времени

АЛГОРИТМ «CHARM»

• Проверка пакетов на предустановленные RFC фильтры

• Пакеты неправильного формата или неверной последовательности сбрасываются

• Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения

• Трафик сбрасывается ниже динамически определенного порога CHARM

• Погори определяются анализом сессий0

Исходноезначение 50

Человеческое поведение

Механистическоеповедение

Каждый пакет

ЗАЩИТА СЕРВИСОВ DNS RESOLVER

Измерение отклика приложенияJDDS SRX DNS Resolvers

Встроенная инспекция Измерение входящего трафика

Устраняет атаки DNS reflection

•Включен как прозрачный L2-мост

•Измеряет входящие и исходящие потоки

•Отслеживает DNS-записи по доменам

•Отслеживает ответы и активность рекурсивных запросов

• HTTP

• HTTPS (SSL & TLS)

• DNS

• VoIP / SIP

Juniper DDoS Secure (JDDS) Поддержка приложений

SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА

• Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока

• Параллельный процесс программной обработки для минимизации задержки передачи пакетов

• Поддерживается на аппаратном и виртуальном устройстве

• Опционально карта аппаратного ускорения для физического устройства

Декабрь 2013

Функциональность

• Шифрование не используется как маска для подвинутых атак

• Улучшенная защита от «low and slow» атак уровня приложений

• Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS

ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ)• Структурированный Syslog формат для интеграции в SIEM

• Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления

• Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight

• Поддерживается на аппаратном и виртуальном устройстве

• Организация, интеграция и управление развернутыми JDDS устройствами в сети

• Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность

• Визуализация аномалий трафика в сети на ранней стадии возникновения

Декабрь 2013

Функциональность

ИНТЕГРАЦИЯ JDDOS В СЕТЬ

• Решение должно быть контекстным

• Модель детектирования на уровне приложений

• Поддержка BGP S-RTBH

• Поддержка BGP Flow Spec (2H 2015)

• Блокирование и сброс трафика• Переадресация подозрительного трафика в

выделенный VPN• Фильтрация

Data Center / Customers

JDDS – Data Center

Internet

BGP S/RTBH

BGP FlowSpec- Filter- Redirect- Ratelimit

• Low-and-slow и volumetric

•Без сигнатур: блокирует новые атаки

•Нет необходимости подстройки пороговых значений

DDoS Secure

• Обман злоумышленников

• Отсутствие ложных срабатываний

•Нет необходимости подстройки и изменения web-приложений

WebApp Secure

• Межсетевые экраны высокого класса

•Масштабируются до уровня ЦОД

•Интеграция с WebApp Secure

SRX Firewall

БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД

Spotlight Secure

• Глобальная система отпечатков атакующих

АЛЬЯНС JUNIPER И VERISIGN

Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах

Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков

Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями

+Март 2014

ВОПРОСЫ?

Современные методы защиты от DDoS атак

Technology

Ростелеком. Тимур Ибрагимов. "Развитие сервисов по защите от DDoS-атак: взгляд со стороны оператора связи"

Тимур кабатаев (ARinteg) - Средства защиты от нестандартных целенаправленных атак

Эволюция целенаправленных атак на банки

DDOS-GUARD PROTECTION · DDoS-Guard Protection - ПО предназначенное для защиты ресурсов, ... E-mail адрес - адрес электронной

Моделирование DDoS-атак на облачные ...comsec.spb.ru/imctcpa15/02.01.ShorovAV.pdfМоделирование DDoS-атак на облачные вычислительные

Некоторые механизмы защиты от сетевых атак в Microsoft Windows

DefensePro: Защита от DDoS и отражение атак · помочь вашему бизнесу, напишите нам на fsu@radware.com или посетите

Виды атак в IP- сетях

Защита от DDos-атак

Эволюция таргетированных атак в кризис

Защита от DDoS-атак. Сегодня. В России

Защита от направленных атак на ...2015 - DDoS-атака на финансовую группу OP-Pohjola и банк Danske • 2016 – атака на

DDoS 방어 계획 수립하기 8가지 모범 사례 · DDoS 방어 계획 수립하기 8가지 모범 사례 DDoS 공격은 큰 혼란을 초래합니다. DDoS 방어 계획을

Защищаем сеть от DDoS-атак

Классификация DDoS-атак

Тенденции развития DDoS-атак: к чему нужно быть готовым

FireEye - система защиты от целенаправленных атак

DDoS Saldırı Analizi - DDoS Forensics

принципы защиты информации от сетевых атак и шпионажа

Защита от современных и целенаправленных атак