актуальные методы противодействия D do s-атакам
Transcript of актуальные методы противодействия D do s-атакам
![Page 1: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/1.jpg)
Актуальные методы противодействия DDoS-атакам
октябрь 2010
Игорь Концевой
![Page 2: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/2.jpg)
Slide 2
Содержание
• Обзор атак 2009-2010 гг
• Обзор технологий по отражению DoS / DDoS
• Примеры использования
• Пару слов о наших решениях
![Page 3: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/3.jpg)
Типичный цикл атаки
Slide 3
• Сканирование• Открытые порты,
типы серверных платформ ...
Сбор информации о
сети
• Веб скан• Поиск и
мапирование уязвимостей
Сбор информации о приложениях • Вторжение
• Использование уязвимостей
• «Лобовая» атака
Атака
Время
Сбор информации и планирование атаки Атака
![Page 4: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/4.jpg)
Атаки Low & Slow DoS
• Типичные DoS/DDoS атаки– Массированные атаки на сети / приложения– Атака единичным пакетом (использование уязвимостей)
• Новая тенденция: Низкоактивные атаки с переполнением запросами – Использование слабых мест ПО для атаки на веб- приложения
или ресурсы стэка TCP – Легитимные пользователи
не получают услуги– Атаки “проходят под радаром…”
• Примеры атак:– Slowloris (июль 2009)– Sockstress (сентябрь 2009)
Slide 4
![Page 5: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/5.jpg)
Атаки Low & Slow - Slowloris
Slide 5
Атакующий Веб сервер Apache
HTTP GET /… CRLF/CRLF
HTTP REPLY
HTTP GET /… CRLF/
HTTP GET/CRLF
HTTP GET /… CRLF
HTTP GET /… CRLF
HTTP GET /… CRLF Атака с злоупотреблением услугой
• Перегрузка сервера из-за параллельных состояний ожидания приложения
• Минимальный обмен трафиком
Атака с злоупотреблением услугой
• Перегрузка сервера из-за параллельных состояний ожидания приложения
• Минимальный обмен трафиком
Атака DoS с низкой интенсиностью
• Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты
Атака DoS с низкой интенсиностью
• Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты
![Page 6: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/6.jpg)
Conficker: атака типа Zero-Minute
Malware
Victim
Victim
Victim
Victim
Victim
Victim
Victim
Victim
Главный вектор распространения: TCP Port 445 (RPC)
Главный вектор распространения: TCP Port 445 (RPC)
Slide 6
![Page 7: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/7.jpg)
Conficker –распространение мalware
Slide 7
![Page 8: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/8.jpg)
Slide 8
Internet
Public Web Servers
Bot (Infected host)
Bot (Infected host)
Attacker
BOT Command
C&C Server
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
Bot (Infected host)
Bot (Infected host)
Legitimate User
Характеристики атаки• ~50,000 зомби компьютеров• Разнообразные атаки:
• HTTP флуд • SYN флуд с использованием аномалий пакетов• UDP флуд • ICMP флуд
• «Получатели» в США и Южной Корее• ~ 6-7 Гбит/с входящего трафика (>2 миллионов
PPS)
Mydoom.EA
![Page 9: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/9.jpg)
Slide 9
Почему так трудно противостоять Mydoom.EA?
• Динамические инструменты для атаки• Одновременное использование
разнотипных атак:– Под видом легитимного пользователя (DDoS)– Открытая атака (HTTP flood)
• Высокораспределенная атака• Переполнение HTTP запросами нацелено на
главную страницу веб-сайтов – жертв атаки• Высокоативная атака
![Page 10: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/10.jpg)
Zeus Crimeware: автоматизирует финансовые преступления
Slide 10
Атакующий
Установка Malware
Веб сайт
Установка Malware
Browse
Жертва
Browse Интернет
![Page 11: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/11.jpg)
Zeus Crimeware: атака Man-in-the-Browser (MITB)
Slide 11
Атака MITB будет успешной – неважно сколько механизмов безопасности, таких как SSL/PKI или двух/трех уровневая авторизация используется.
![Page 12: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/12.jpg)
Противостояние кибератакам
Slide 12
Вектор атаки Защита
Распространение/заражение компьютеров для БОТ сетей
IPS или NB A
Сообщения для управления БОТ сетью IPS
Сетевые переполнения Переполнения SYN/UDP/ICMP
Защита от DDoS
Прикладной флудинг - Переполнение страницы запросами HTTP
NB A
Одно средство защиты не может справиться с современными угрозами безопасности сетей и ЦОД
![Page 13: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/13.jpg)
Из новостей: появление SCADA Worm
Slide 13
![Page 14: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/14.jpg)
О Stuxnet
• Из Wikipedia:– Stuxnet поражающий компьютеры под управлением операционной
системы Microsoft Windows компьютерный червь, обнаруженный в июне 2010 года
– Векторы распространения • Портативные устройства памяти • Уязвимость MS LNK
– Впервые «червь» обнаружен в промышленных системах (SCADA) , управляющих автоматизированными производственными процессами
– Предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление крупным производством. Возможно, нацелен на инфраструктуры, использующие системы Siemens в Иране
– 60 % всех компьютеров, пораженных этим вирусом, расположены на стратегических объектах промышленности Ирана.
– Пресса писала, что возможно проникновение вируса задержало пуск завода по обогащению урана в Бушере и повредило атомные предприятия в Натанце
Slide 14
![Page 15: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/15.jpg)
Обзор технологий по отражению DoS / DDoS
![Page 16: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/16.jpg)
Технология Rate Based
• Технология Rate Based– Преимущества
• Ограничивает трафик и нормализует его объем• Блокирует массированные сетевые DoS атаки
– Недостатки• Блокирует легитимных пользователей во время отражения атаки• Пики легитимного трафика дают ложное срабатывание• Не помогает при атаках «низкой интенсивности»• Необходима ручное конфигурирование и время от времени
настройка
Slide 16
![Page 17: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/17.jpg)
Технология поведенческого анализа NBA
• Автоматическая защита в реальном времени:– От распространения Zero minute malware – От использования ресурсов приложения:
• От взломов • От сканирования веб- приложений• От переполнения HTTP запросами
к странице • От сканирования SIP • От SIP переполнения
– Преимущества• Автоматическая защита от сетевых DDoS атак в реальном времени• Не требует вмешательства человека• Аккуратное обнаружение и отражение – не блокирует легитимный
трафик пользователей
– Недостатки• Требует примерно 1 неделю обучения для оптимизации
Slide 17
![Page 18: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/18.jpg)
IPS: технология статических сигнатур
Преимущества• Определение атаки по
единичному пакету (“single bullet”)
• Аккуратное определение• Детальчый отчет
Недостатки• Отсутствует защита в реальном
времени для:– Сетевых DDoS– Прикладных flood атак– Новых атак
• Ограничение по числу сигнатур – Выигрыш в безопасности и
проигрыш в производительности
“Single Pulse” Attack
1 - 2 packets
Page 18
![Page 19: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/19.jpg)
RSA – службы Reputation Services
• Службы IP Reputation Service– Внешние службы в реальном времени от стороннего
поставщика – Моментально блокирует атаки, используя сигнатуры реального
времени– Преимущества
• Защищает от:– Ботов (Source IP reputation)– Распространения Zero-minute malware (Web site reputation)– Атак типа социальной инженерии (фишинг и т.д.) (Web site
reputation)– Спама (Source IP reputation)
• Легкое внедрение посредством
«Reputation Engine»
Slide 19
![Page 20: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/20.jpg)
Предотвращение атак – разные уровни защиты
Slide 20
Распространение Zero-Day Malwareи сканирование
Атаки DoS/DDoS Вторжения Безопасная
среда
NBA уровня сетизащита от DDoS
NBA уровня пользователя
IPS – на основе сигнатур
Атаки на приложения
NBA уровня приложения
Механизм проверки репутации
![Page 21: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/21.jpg)
IPS – на основе сигнатур
NBA уровня пользователя
Типичный цикл атаки и модули безопасности
Slide 21
• Сканирование• Открытые порты,
типы серверных платформ ...
Сбор информации о
сети
• Веб скан• Поиск и
мапирование уязвимостей
Сбор информации о приложениях • Вторжение
• Использование уязвимостей
• «Лобовая» атака
Атака
Сбор информазии и планирование атаки Атака
NBA уровня приложения
![Page 22: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/22.jpg)
Примеры использования
![Page 23: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/23.jpg)
Игровой сайт
Slide 23
Internet
Web Servers
ADC
Router
Web Servers
ADC
Router
Web Servers
ADC
Inflight
Router
DefensePro
Asia DC
Europe DC
Europe DC
Глобальная архитектура
![Page 24: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/24.jpg)
Border-Router-1 Border-Router-2
ISP-1
ISP-2
ISP-3
ISP-4
Active ActiveBackup Backup
Оператор сотовой связи и ISP в Израиле
Remote ISP PeeringISP-A ISP-AISP-B ISP-B
Local ISP Peering
• Установка в «разрыв»
• Защита от:• Сетевых DoS атак и аномалий• Прикладных DoS атак• Сканирования и взлома приложений• Использования уязвимостей
• MSSP – защищает своих клиентов
![Page 25: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/25.jpg)
Оператор сотовой связи и ISP в Израиле
Slide 25
Архитектура защиты
РаспространениеMalwareАтаки DoS/DDoS
Вторжение Безопасная среда
NBA уровня сети
Защита DDoS
NBA уровня пользователя
IPS на основе сигнатур
Атаки уровня сервера
NBA уровня приложения
Вне линии
В разрыв
![Page 26: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/26.jpg)
Multiple DefensePros
Финансовая компания, Новостной сайт
Решение для дублирования ЦОД
Internet
Access Router
ADC Infrastructure
Firewall Cluster
Router
Slide 26
Анализ поведения:• Предотвращение взломов IPS:• Профиль уязвимости ЦОД• Специальные сигнатуры для
фирменных протоколов, используемых при торгах
Анализ поведения:• Предотвращение взломов IPS:• Профиль уязвимости ЦОД• Специальные сигнатуры для
фирменных протоколов, используемых при торгах
Защита DoS :• Предотвращение интенсивных атак
DoS/DDoS • Предотвращение сканирования сети • Предотвращение атак с высоким числом
PPS без влияния на легитимный трафик
Защита DoS :• Предотвращение интенсивных атак
DoS/DDoS • Предотвращение сканирования сети • Предотвращение атак с высоким числом
PPS без влияния на легитимный трафик
![Page 27: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/27.jpg)
Поставщик услуг VoIP
Slide 27
• Сетевая архитектура
Page 27
VoIP and DNS servers
VoIP and DNS servers
VoIP and DNS servers
VoIP and DNS servers
Backbone
POP #1
POP #2
POP #3
POP #4
![Page 28: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/28.jpg)
Пару слов о наших решениях
![Page 29: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/29.jpg)
Решения для безопасности сетей и ЦОД
Slide 29
IPSDoSзащита
NBA Reputation Engine
APSolute предупреждение атак для ЦОД
Internet
Access Router
Web ServersApplication Servers
FirewallDoS Protection
IPS
NBA
Anti Trojan / phishing
IPS DoS защита NBA Anti Trojan, Anti Phishing
![Page 30: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/30.jpg)
Slide 30
Анализ поведения сети и сигнатуры в реальном времени
Public Network
Blocking Rules
StatisticsDetection
Engine
Learning
RT Signatures
Signature parameters
• Source/Destination IP• Source/Destination
Port• Packet size• TTL (Time To Live)• DNS Query • Packet ID• TCP sequence
number• More … (up to 20)
Initial filter is generated: Packet ID
Degree of Attack = Low (Positive Feedback)
Filter Optimization: Packet ID AND Source IPFilter Optimization: Packet ID AND Source IP AND Packet size
Degree of Attack = High(Negative Feedback)
Filter Optimization: Packet ID AND Source IP AND Packet size AND TTL
Degree of Attack = High Degree of Attack = Low
Narrowest filters • Packet ID • Source IP
Address• Packet size• TTL (Time To
Live)
1 2
3
4
5
Inbound Traffic
Outbound Traffic
LAN
Up to 100 10+X
Final FilterStart
mitigation
Closed feedbackInitial Filter
Time [sec]
Mitigation optimization process
Filtere
d T
raffic
Traffic characteristics Real-Time Signature
![Page 31: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/31.jpg)
5 причин выбрать Radware
Полное решение, включающее:
IPS, NBA, DoS и RSAЛучшее решение защиты от DDoSNBA : создание сигнатур «на лету»NBA & IPS - Лучшее решение для
защиты чувствительной среды SIPМы - компания которая умеет
слушать!
Slide 31
![Page 32: актуальные методы противодействия D do s-атакам](https://reader035.fdocument.pub/reader035/viewer/2022062313/557f936cd8b42a2f198b4d3e/html5/thumbnails/32.jpg)
Спасибо за внимание!