Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Nguyên lý hệ thống giảm thiểu tấn công DDoS dựa trên lưu
lượng trong mạng Viettel
Diệp Thanh Nguyên
Intercontinental Nha Trang, 23/08/2019
Viettel Network, 2019t r a n g | 2
Mục lục
• Giới thiệu hệ thống
• Chức năng các thành phần
• Luồng hoạt động
• Một số kết quả triển khai
Viettel Network, 2019t r a n g | 3
Giới thiệu hệ thống
Đặc điểm
• Phát hiện, cảnh báo và giảm thiểu các cuộc tấn công DDoS băng thông lớn, đến hàng trăm Gbps, hoặc đến hàng chục triệu pps.
Phát triển
• Trung tâm Phần mềm Viettel.
• Trung tâm An ninh mạng Viettel.
Áp dụng
• Việt Nam, Campuchia, Mozambique.
Viettel Network, 2019t r a n g | 4
Sơ đồ các thành phần hệ thống
RTBH
Customers
Detect attacks
Update infomation
Filtered traffic
IGW International GatewayDGW Domestic GatewayRTBH Remote Triggered Black HoleP Provider RouterPE Provider Edge RouterNOC Network Operation CenterSOC Security Operation Center
Viettel Network, 2019t r a n g | 5
Lưu đồ hoạt động
RTBH
Customers
Detect attacks
Update infomation
Filtered traffic
1.Gateway gửi Netflow đến Detection2.Detection phát hiện đợt tấn công3.Detection gửi cảnh báo đến Portal và Scrubber4. Portal gửi lệnh cập nhật định tuyến đến RTBH
RTBH cập nhật định tuyến đến P routerP router lái lưu lượng qua Scrubber
5.Scrubber loại bỏ lưu lượng tấn công, gửi lưu lượng làm sạch về PE router
6.Scrubber cập nhật kết quả cho Portal
Viettel Network, 2019t r a n g | 6
Gateway gửi Netflow về Detection
Netflow
• Là một giao thức dùng để thu thập thông tin về lưu lượng truy cập qua các thiết bị trên mạng.
• Gateway bật Netflow, gửi đến Detection.
Netflow Exporter Netflow Exporter
Netflow Collector
• Source IP address, Destination IP address, Source port,
Destination port, Layer 4 protocol, Packet size
Viettel Network, 2019t r a n g | 7
Detection phát hiện tấn công DDoS
Key Features
• Ability to detect and filter out only malicious traffic flowing into or from your network.
• Flexible detection engine with support for DoS/DDoS attack types: amplification (NTP,
SNMP, SSDP, DNS, GRE, chargen and other), floods (UDP, TCP, ICMP), attacks on tcp
protocol (syn, syn-ack, fin floods), attacks on IP protocol (fragmented packets) and other.
• Fast detection time: 5 seconds for port mirror mode and 5- 45 seconds for Netflow.
• Scalable up to Terabits (multiple existing deployments with 1+ Tbps of traffic).
Viettel Network, 2019t r a n g | 8
Detection gửi cảnh báo đến Portal và Scrubber
FastNetMon Actions
• Email alerts
• Script call
• JSON script call
• Web callback
• InfluxDB / Grafana alert
Viettel Network, 2019t r a n g | 9
Portal gửi lệnh thay đổi định tuyến đến RTBH
Portal
• Telnet vào router RTBH cập
nhật định tuyến
RTBH
• Cập nhật định tuyến cho các P
router qua giao thức BGP
P Router
• Định tuyến lưu lượng tấn công
qua Scrubber
• Định tuyến nguồn tấn công về
Null0
Viettel Network, 2019t r a n g | 10
Scrubber chặn lọc lưu lượng
Scrubber
• Cho phép các IP sạch đi qua
• Chặn các flow đang tấn công
• Phát hiện IP nguồn giả mạo
• Giới hạn tốc độ theo IP
nguồn, IP đích
• Cập nhật cho Portal các thống
kê của đợt tấn công
Viettel Network, 2019t r a n g | 11
Chặn lưu lượng từ phía quốc tế
RTBH
• Quảng bá route đến user A: set community X:Y
Router quốc tế
• Nếu nhận route có community X:Y discard