Embed Size (px)
DESCRIPTION
Александр Азимов, ведущий инженер по эксплуатации сети фильтрации трафика Qrator, рассказывает об основных причинах сетевых аномалий в рамках семинара компании HLL «DDoS-атаки и защита от них» (RIGF, 14 мая 2012, Москва). Рассмотрены ошибки на уровне конфигурации маршрутизаторов и эффекты, возникающие в процессе сходимости протокола BGP. Так, циклы маршрутизации BGP приводят к частичной недоступности целевой сети, а отдельные ошибки в настройке маршрутизаторов могут позволить злоумышленникам увеличить плечо DDoS-атаки в несколько раз. Сетевые аномалии опасны еще и тем, что зачастую остаются невидимыми для автономной системы-источника. В заключение Александр Азимов демонстрирует статистику по сетевым аномалиям в Рунете, собранную системой мониторинга Qrator. Доклад был также представлен на региональной конференции ENOG 3/RIPE NCC в Одессе 22-23 мая 2012 года.
Citation preview
2
Уровни протокола TCP/IP
Приложение
UDP TCP
Протокол IP
Сетевой интерфейс
Физическая сеть
Уровень
Прикладной
Транспортный
Сетевой
Канальный
Физический
Протокол
3
Уровни протокола TCP/IP
Приложение
UDP TCP
Протокол IP
Сетевой интерфейс
Физическая сеть
Уровень
Прикладной
Транспортный
Сетевой
Канальный
Физический
Протокол
4
Автономная система
Система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации с Интернетом.
5
Типы АС
Многоинтерфейсные
Транзитные
Ограниченные
AS1
AS2
AS3
AS1
AS2
AS3
AS1
AS2
6
BGP
• Дистанционно векторный протокол;
• Политики маршрутизации: отражают экономические отношения между АС;
• BGP «Анонсирует» сеть.
7
Пример АС
AS222
2.2.2.0/24
A
A
8
Пример АС
Все сети
Интернета
A
A
AS222
2.2.2.0/24
9
Пример АС
Все сети
Интернета
A
Default route
A
AS222
2.2.2.0/24
10
Сетевые аномалии
1. Ошибки в настройке маршрутизаторов;
2. Циклы маршрутизации BGP;
3. Проблемы на уровне СПД.
11
Default route
• 12514 уязвимых префиксов;
• Может быть использовано для увеличения плеча DoS атаки (* TTL)
• Атака на исчерпание канала;
• А за трафик еще и платить ;)
12
Усилители DDoS атак
• 688 уязвимых префиксов;
• АС может быть использована в качестве усилителя DoS атаки
• Атака нескольких АС одновременно;
13
Циклы маршрутизации BGP
Встроенная защита от
статических циклов
Динамические циклы!
14
BGP Циклы
• 2346 уязвимых префиксов;
• Результат:
• Частичная/полная
недоступность целевой сети;
• Шум сообщений BGP
15
У них проблемы…
AS174 AS3356 AS7018 AS6939 AS701
AS3549 AS209 AS4323 AS1239 AS12389
AS2848 AS3257 AS6461 AS2914 AS8468
AS23148 AS8447 AS20485 AS6830 AS8220
AS8928 AS3303 AS4589 AS42708 AS6453
AS6730 AS31130 AS3491 AS3320 AS8218
AS286 AS702 AS3561 AS20764 AS31323
AS20632 AS4766 AS680 AS29686 AS5089
AS10026 AS12350 AS2516 AS3786 AS12741
AS7575 AS1916 AS2273 AS9498 AS1785
И более чем 4к других АС!
16
Примеры
АС174
• Увеличение плеча DDoS в 17 раз
• Default route: 25 уязвимых префиксов
АС3356-АС3549
• Увеличение плеча DDoS в 8 раз
• BGP циклы: 12 prefixes affected
• Default route: 86 уязвимых префиксов
17
Россия
• Default route 1381
• BGP циклы 31
• Усилители DDoS атак 21
максимально в 11 раз
18
Продолжительность
0,00%
5,00%
10,00%
15,00%
20,00%
25,00%
30,00%
35,00%
40,00%
45,00%
<1h <2h <4h <8h
BGP циклы
Default Routes
Усилители DDoS
19
Тренд
0
2000
4000
6000
8000
10000
12000
14000
16000
Обнаружено
Исправлено
20
Робин Гуд
Hello. During our research project we have detected IP address “*.*.*.*" in AS***, which multiplies ICMP packets. 11 times is a mean value. It is dangerous vulnerability because this IP could be used by attackers to N-times increase DoS attack. This could be harmful for your own network infrastructure and also break down attacked network. Could you tell me for what purpose your router was configured by such way? Hello This is assigned to one of our customers. We cannot see how there equipment is configured. If you believe this is in violation of our Acceptable use policy you can email abuse@***.com to report that.
21
Атака на сетевом уровне
22
Атака на сетевом уровне
23
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
24
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
Клиентские АС
25
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
dst: aplifiers
src: 2.2.2.1
Клиентские АС
26
В «сердце» Интернета
ASX1 ASX2
BGP
2.2.2.0/24
Default
route
4 секунды
=
DDoS*4
Клиентские АС
Max = 350*DDoS
> 50 amplifiers
Mean = 10*DDoS
Итого = 40*DDoS
dst: aplifiers
src: 2.2.2.1
27
Результаты
• Проблемы клиентской сети – это ваши проблемы;
• Проблемы сети поставщика – это тоже ваши проблемы;
• Нестабильность сети может быть невидима со стороны АС-источника.
• У нас есть система мониторинга. Мы готовы предоставить информацию бесплатно.
28
Проверяйте свою сеть.
Дважды
29
Проверяйте свою сеть.
Дважды
