Nov’14Михаэль СуконникИгорь Концевой

Методы борьбы с современными DDoSатаками с использованием SDN

Radware DefenseFlow

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Актуально?

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

Атаки в 2013

Год назад атака в 40Мбс (!)«положила» 5 крупнейшихРоссийских банков

Атаки на госструктуры, банки,СМИ, крупные и средние компании продолжаются волнами в течении 2014

Последние 2-3 месяца увеличилось количество атак на операторов

3

Развитие атак

• Бо’льшее использование серверных атак• Больше атак на приложения• Атаки включают много (5+) векторов одновременно• 2012 – DNS amplification, 2013 – NTP amplification, 2014

– SYN Tsunami• Атаки меняются каждые 3-5 минут. Успеть

отреагировать в ручном режиме практически нереально

4

Ограничения Netflow Based Mitigation

Возможности Netflow Based Mitigation

Detection Сетевые DDoS flood атаки Практически полное

MitigationВремя блокировки Медленно – начиная с 5

минут

Network OperationТребует BGP announcement, GRE tunneling и (чаще) – несколько детекторов

Сложно

Diversion Точность по траффику Низкая точность

Cost EffectiveОтдельных детекторовТребует центр очисткиЗанимает время CPU маршрутизаторов

Дорого

Медленно

Сложно

Не аккуратно

Дорого

5

DefenseFlow

Отражение атак в SDN сети

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6

Представляем – Radware DefenseFlow

Контроллер

DefenseProSDN Data Plane

SDN Controller

SDN ApplicationsПриложение управляет SDN сетью для защиты от DDoS

Программируемый интерфейс (API) -OpenFlow

Программируемый интерфейс (API)

7

DefensePro

Internet

“Перенаправление трафика”

- Управление

Обнаружение– Анализ и Решение

Сбор –Программируемые

коллекторы

Инициализация услуг безопасности Атака!!!

SDN Controller

Изучение статистики для каждого: IP адреса,

протокола и приложения

DefenseFlow: Как управлять сетью SDN для защиты от DDoSКонфигурация DefensePro с

учетом изученных

данных

Slide 8

Application Anti-DoS AppDefenseFlowNetwork Anti-DoS App

Attack detected !!!

vSwitch

Настройки политик безопасности

REST API

Локальные счетчики

Пограничные счетчики

DefensePro

Центр очистки

NBAPI

SDN DriverL4-L7 Driver

NBAPI

SDN ControllerOpenFlow BGP FlowSpec

Внедрение Out-Of-Path

Adaptive Anomaly Decision Surface

Зона Атаки

Normal Adapted Area

Параметры трафика Параметры трафика

Зона подозрительного

поведения

Адаптивная модель определения аномалий

DefenseFlow – Network Anti–DoS

Application Anti-DoS App

Сигнал и информация о

атаке

DefenseFlow – Application Anti–DoS

DefensePro

REST API

DefenseFlowApplication Anti-DoS App

vSwitch

Детектирована атака

прикладного уровня !!!

NBAPI

SDN DriverL4-L7 Driver

NBAPI

SDN ControllerOpenFlow BGP FlowSpec

Service Chaining / Service Insertion /

OpenFlow

Внедрение “Всегда включено”

Настройки политик безопасности

Slide 10

Application Anti-DoS App

DefenseFlow – Application Anti–DoS

DefensePro

REST API

DefenseFlowApplication Anti-DoS App

vSwitch

NBAPI

SDN DriverL4-L7 Driver

NBAPI

SDN ControllerOpenFlow BGP FlowSpec

Внедрение “Smart TAP”

Сигнал и информация о

атаке

Детектирована атака

прикладного уровня !!!

Slide 11

Application Anti-DoS App

Работа в традиционной сети

Network Anti-Dos

NBAPIApplicatio

n Anti-DoS

Distributed Mitigation (Signaling)

SDN Drivers

vSwitch

DefenseProЦентр очистки

DefenseFlow NBAPI- Интерфейс для любых

систем управления

- Отчетность и мониторинг

- Сигналы безопасности

других производителей

L4-L7 Drivers

NetFlow или другой

3rd party DoS детектирующее устройство

Обнаружение атаки и детализация

BGPДетектирована атака сетевого

уровня !!!

Slide 12

Application Anti-DoS App

Оптимальный путь миграции из традиционной сети в SDN

Network Anti-Dos

NBAPIApplicatio

n Anti-DoS

Distributed Mitigation (Signaling)

SDN Drivers

vSwitch

DefensePro

Центр очистки

L4-L7 Drivers

NetFlow или xFlow OpenFlow или другой протокол

NBAPISDN Controller

OpenFlow BGP FlowSpec

3rd party DoS детектирующее устройство

Slide 13

Capability Netflow Based Mitigation Radware DefenseFlow

Detection Сетевые DDoS flood атаки Практически полное Полное

Mitigation Время блокировки Медленно – 5 Min Немедленно - сек

Network Operation

Требует BGP announcement, GRE tunneling Сложно

Просто- на уровне сетевого сервиса

Diversion Точность по траффику Низкая точностьПереводится только

траффик атаки

Cost Effective

Отдельных детекторовТребует центр очисткиЗанимает время CPUмаршрутизаторов

Дорого Дешево

DefenseFlow Vs. Netflow

Медленно

Сложно

Не аккуратно

Дорого

14

Summary• DDoS атаки – угроза каждому бизнесу• Сегодняшние операторские решения на базе

NetFlow уже не могут предоставить эффективные и не дорогие операторские решения для борьбы с современными атаками

• На смену сегодняшним сетям приходят решения на базе SDN

• DefenseFlow – приложение для SDN сети, обеспечивающее: легкое и быстрое внедрение, быстрый перехват атаки (секунды), низкую стоимость

• Решение уже имеет реальные внедрения в сетях крупнейших операторов

15

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо

Name Michael Soukonnik

E-mail michaels@radware.com

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.