Современные методы защиты от DDoS атак

Copyright © 2014 Juniper Networks, Inc. 1 Copyright © 2014 Juniper Networks, Inc.

Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН

[email protected] #428

АПРЕЛЬ 2014

2 Copyright © 2014 Juniper Networks, Inc.

НОВОСТИ ПРОШЛОЙ НЕДЕЛИ


• 1. Предприятия – 45%

• 2. Коммерческие организации – 29%

• 3. СМИ и развлечения – 15%

• 4. Государственный сектор – 6%

• 5. Высокотехнологичный сектор – 5%

Статистика из отчета Akamai Q3 2013

РАСПРЕДЕЛЕНИЕ DDOS-АТАК

Copyright © 2014 Juniper Networks, Inc. 4

ВЕКТОРЫ DDOS-АТАК

МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ«LOW-AND-SLOW»

ОБЪЕМНЫЕ АТАКИ«VOLUMETRIC»

АТАКА НА ИНФРАСТРУКТУРУ

• TCP SYN, ACK, RST; ICMP, UDP flood

• Целью атаки является перегрузка каналов связи и сетевых устройств

• В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus)

• Фиксируется значительный рост мощности атак

• Несложно детектируются

АТАКА НА ПРИЛОЖЕНИЯ

• HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC

• Целью является перегрузка слабых элементов сетевых сервисов

• Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти

• Имеют сложные алгоритмы и трудно детектируются

• Небольшой объем запросов может вывести из строя большой веб-сайт


ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК

• HTTP reflection attack

• NTP, DNS amplification

• SSL Renegotiation

• HTTP GET/POST flood

• HTTP slow request, read

• SIP Call-Control Flood

• TCP State-Exhaustion attacks• TCP SYN, ICMP, UDP flood

ACKChargen

Fin Push

DNS

ICMP

Reset

RP

SYN

SYN PushTCP Fragment

UDP Flood

UDP Fragment

HTTP GET

HEAD NTP HTTP POST Push SSL Post

Векторы атак Q4 2013


В порядке популярности применения для атак на приложения

ИНСТРУМЕНТЫ

• Slowloris

• Low Orbit ION Cannon (LOIC)

• Apache Killer

• High Orbit ION Cannon

• nkiller2

• Hulk

• R.U.D.Y

• Recoil


АТАКИ LOW-AND-SLOW

• Slow-rate HTTP GET

• Slow-rate HTTP POST

• Slow-rate HTTP Read












ЗАЩИТА ОТ DDOS АТАК

• ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА

• ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ

Internet

Site

DREN

Site Site

Site

Peer

Site

Site


ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ

• «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом

• Фильтрация должна быть не только на границе, но и в любой точке сети

• Централизованное управление правилами фильтрации

• Подозрительный трафик должен бытьперенаправлен на карантин в контексте

всей сети

Internet


КЛАССИЧЕСКИЙ ПОДХОД

• Access Control List (ACL)

• BCP38 «Network Ingress Filtering» (Май 2000)

• BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004)• uRPF – Unicast Reverse Path Forwarding• uRPF active-paths / feasible-path


Штатный режим работы

Destination based Remotely Triggered Black Hole

D-RTBH


Возникновение DDoS-атаки на веб-сервер


D-RTBH


Блокирование трафика специфичным маршрутом


D-RTBH


• DDoS трафик в сеть успешно заблокирован• Блокируются легитимные запросы к сервису с заданным IP• Злоумышленник достигает цель причинения ущерба ресурсу

• Работа Destination based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном

маршрутизаторе• Мониторинг идентификации атаки• Контроль специфичного маршрута внутри общего префикса• Наличие правила обработки BGP community (в примере «65001:666»)

Результат

D-RTBH


• DDoS трафик блокируется от заданного IP источника• Блокируются легитимные запросы в сеть оператора с заданного IP• Остальные запросы не блокируются и достигают сеть

• Работа Source based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном

маршрутизаторе• Включенного uRPF на интерфейсе источника DDoS трафика• Мониторинг идентификации атаки• Наличие правила обработки BGP community

• Применимо между доверенными сетями

Source based Remotely Triggered Black Hole (RFC 5636)

S-RTBH


• Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP

• DDoS трафик обрабатывается с высокой гранулярностью• Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag,

packet lengh, DSCP, Fragment• Действия: сброс, ограничение, перенаправление в VRF, маркировка

• Работа BGP Flow Spec требует• Мониторинг идентификации атаки

RFC 5575 – Расширение NLRI для BGP

BGP FLOW SPEC


Блокирование трафика анонсом правила PBR

ИДЕАЛЬНАЯ СХЕМА

BGP FLOW SPEC


• Отсутствие доверия между операторами и клиентами

• Включение inetflow на eBGP – это большой риск безопасности

• Что необходимо сделать?• Централизованный inetflow speaker внутри доверенной сети• Inetflow speaker на основе интеллектуальных систем предотвращения

DDoS атак (IDMS)

ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ?

BGP FLOW SPEC


Статистика из отчета Arbor Networks, Inc за 2014 год.

ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS


Пороги сбросаNetflow анилиз

ЭВОЛЮЦИЯ DDOS АТАКСигнатурные

очистители трафика

ВОЗНИКНОВЕНИЕ УГРОЗЫ

Не

зам

етн

ост

ь

НовизнаИзвестные Неизвестные

Vo

lum

etri

cL

ow

-an

d-s

low

Проблема: ручное управление порогами для IP в

динамических сетях

Проблема: Создание сигнатур

для новых атак

Проблема: Поддержка

существующих сигнатур атак


JUNOS DDOS SECUREПредотвращение атак «volumetric» и «Low and Slow» на приложения

Эвристический анализ

Легитимный трафик

Трафик DDoS атаки

Легитимный трафик

Преимущества

Комплексное Анти-DDoS решение

• Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения

• Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик

• Эффективен на 80% через 10 мин. после установки

• Эффективен на 99.999% через 6-12 часов

• Динамическая безсигнатурная эвристическая технология

• Не требуется подстройка порогов сброса

• Гибкие варианты развертывания: физическое устройство или виртуальная машина


Оценка риска каждого IP-источника в реальном времени

АЛГОРИТМ «CHARM»

• Проверка пакетов на предустановленные RFC фильтры

• Пакеты неправильного формата или неверной последовательности сбрасываются

• Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения

• Трафик сбрасывается ниже динамически определенного порога CHARM

• Погори определяются анализом сессий0

100

Исходноезначение 50

Человеческое поведение

Механистическоеповедение

Каждый пакет


ЗАЩИТА СЕРВИСОВ DNS RESOLVER

Измерение отклика приложенияJDDS SRX DNS Resolvers

Встроенная инспекция Измерение входящего трафика

Устраняет атаки DNS reflection

1 2

3

•Включен как прозрачный L2-мост

•Измеряет входящие и исходящие потоки

•Отслеживает DNS-записи по доменам

•Отслеживает ответы и активность рекурсивных запросов

• HTTP

• HTTPS (SSL & TLS)

• DNS

• VoIP / SIP

Juniper DDoS Secure (JDDS) Поддержка приложений


SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА

• Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока

• Параллельный процесс программной обработки для минимизации задержки передачи пакетов

• Поддерживается на аппаратном и виртуальном устройстве

• Опционально карта аппаратного ускорения для физического устройства

Декабрь 2013

Функциональность


• Шифрование не используется как маска для подвинутых атак

• Улучшенная защита от «low and slow» атак уровня приложений

• Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS


ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ)• Структурированный Syslog формат для интеграции в SIEM

• Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления

• Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight

• Поддерживается на аппаратном и виртуальном устройстве

• Организация, интеграция и управление развернутыми JDDS устройствами в сети

• Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность

• Визуализация аномалий трафика в сети на ранней стадии возникновения

Декабрь 2013

Функциональность



ИНТЕГРАЦИЯ JDDOS В СЕТЬ

• Решение должно быть контекстным

• Модель детектирования на уровне приложений

• Поддержка BGP S-RTBH

• Поддержка BGP Flow Spec (2H 2015)

• Блокирование и сброс трафика• Переадресация подозрительного трафика в

выделенный VPN• Фильтрация

Data Center / Customers

JDDS – Data Center

Internet

BGP S/RTBH

BGP FlowSpec- Filter- Redirect- Ratelimit


• Low-and-slow и volumetric

•Без сигнатур: блокирует новые атаки

•Нет необходимости подстройки пороговых значений

DDoS Secure

• Обман злоумышленников

• Отсутствие ложных срабатываний

•Нет необходимости подстройки и изменения web-приложений

WebApp Secure

• Межсетевые экраны высокого класса

•Масштабируются до уровня ЦОД

•Интеграция с WebApp Secure

SRX Firewall

БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД

Spotlight Secure

• Глобальная система отпечатков атакующих


АЛЬЯНС JUNIPER И VERISIGN

Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах

Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков

Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями

+Март 2014

Copyright © 2014 Juniper Networks, Inc. 31 Copyright © 2013 Juniper Networks, Inc.

ВОПРОСЫ?

Technology

Современные методы защиты от DDoS атак