Современные методы защиты от DDoS атак
-
Upload
skillfactory -
Category
Technology
-
view
609 -
download
6
description
Transcript of Современные методы защиты от DDoS атак
Copyright © 2014 Juniper Networks, Inc. 1 Copyright © 2014 Juniper Networks, Inc.
Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН
[email protected] #428
АПРЕЛЬ 2014
2 Copyright © 2014 Juniper Networks, Inc.
НОВОСТИ ПРОШЛОЙ НЕДЕЛИ
3 Copyright © 2014 Juniper Networks, Inc.
• 1. Предприятия – 45%
• 2. Коммерческие организации – 29%
• 3. СМИ и развлечения – 15%
• 4. Государственный сектор – 6%
• 5. Высокотехнологичный сектор – 5%
Статистика из отчета Akamai Q3 2013
РАСПРЕДЕЛЕНИЕ DDOS-АТАК
Copyright © 2014 Juniper Networks, Inc. 4
ВЕКТОРЫ DDOS-АТАК
МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ«LOW-AND-SLOW»
ОБЪЕМНЫЕ АТАКИ«VOLUMETRIC»
АТАКА НА ИНФРАСТРУКТУРУ
• TCP SYN, ACK, RST; ICMP, UDP flood
• Целью атаки является перегрузка каналов связи и сетевых устройств
• В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus)
• Фиксируется значительный рост мощности атак
• Несложно детектируются
АТАКА НА ПРИЛОЖЕНИЯ
• HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC
• Целью является перегрузка слабых элементов сетевых сервисов
• Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти
• Имеют сложные алгоритмы и трудно детектируются
• Небольшой объем запросов может вывести из строя большой веб-сайт
Copyright © 2014 Juniper Networks, Inc. 5
ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК
• HTTP reflection attack
• NTP, DNS amplification
• SSL Renegotiation
• HTTP GET/POST flood
• HTTP slow request, read
• SIP Call-Control Flood
• TCP State-Exhaustion attacks• TCP SYN, ICMP, UDP flood
ACKChargen
Fin Push
DNS
ICMP
Reset
RP
SYN
SYN PushTCP Fragment
UDP Flood
UDP Fragment
HTTP GET
HEAD NTP HTTP POST Push SSL Post
Векторы атак Q4 2013
6 Copyright © 2013 Juniper Networks, Inc.
В порядке популярности применения для атак на приложения
ИНСТРУМЕНТЫ
• Slowloris
• Low Orbit ION Cannon (LOIC)
• Apache Killer
• High Orbit ION Cannon
• nkiller2
• Hulk
• R.U.D.Y
• Recoil
7 Copyright © 2014 Juniper Networks, Inc.
АТАКИ LOW-AND-SLOW
• Slow-rate HTTP GET
• Slow-rate HTTP POST
• Slow-rate HTTP Read
8 Copyright © 2014 Juniper Networks, Inc.
АТАКИ LOW-AND-SLOW
• Slow-rate HTTP GET
• Slow-rate HTTP POST
• Slow-rate HTTP Read
9 Copyright © 2014 Juniper Networks, Inc.
АТАКИ LOW-AND-SLOW
• Slow-rate HTTP GET
• Slow-rate HTTP POST
• Slow-rate HTTP Read
10 Copyright © 2014 Juniper Networks, Inc.
ЗАЩИТА ОТ DDOS АТАК
• ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА
• ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ
Internet
Site
DREN
Site Site
Site
Peer
Site
Site
11 Copyright © 2014 Juniper Networks, Inc.
ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ
• «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом
• Фильтрация должна быть не только на границе, но и в любой точке сети
• Централизованное управление правилами фильтрации
• Подозрительный трафик должен бытьперенаправлен на карантин в контексте
всей сети
Internet
12 Copyright © 2014 Juniper Networks, Inc.
КЛАССИЧЕСКИЙ ПОДХОД
• Access Control List (ACL)
• BCP38 «Network Ingress Filtering» (Май 2000)
• BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004)• uRPF – Unicast Reverse Path Forwarding• uRPF active-paths / feasible-path
13 Copyright © 2013 Juniper Networks, Inc.
Штатный режим работы
Destination based Remotely Triggered Black Hole
D-RTBH
14 Copyright © 2013 Juniper Networks, Inc.
Возникновение DDoS-атаки на веб-сервер
Destination based Remotely Triggered Black Hole
D-RTBH
15 Copyright © 2013 Juniper Networks, Inc.
Блокирование трафика специфичным маршрутом
Destination based Remotely Triggered Black Hole
D-RTBH
16 Copyright © 2013 Juniper Networks, Inc.
• DDoS трафик в сеть успешно заблокирован• Блокируются легитимные запросы к сервису с заданным IP• Злоумышленник достигает цель причинения ущерба ресурсу
• Работа Destination based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном
маршрутизаторе• Мониторинг идентификации атаки• Контроль специфичного маршрута внутри общего префикса• Наличие правила обработки BGP community (в примере «65001:666»)
Результат
D-RTBH
17 Copyright © 2013 Juniper Networks, Inc.
• DDoS трафик блокируется от заданного IP источника• Блокируются легитимные запросы в сеть оператора с заданного IP• Остальные запросы не блокируются и достигают сеть
• Работа Source based RTBH требует:• Сконфигурированного «discard route» на каждом пограничном
маршрутизаторе• Включенного uRPF на интерфейсе источника DDoS трафика• Мониторинг идентификации атаки• Наличие правила обработки BGP community
• Применимо между доверенными сетями
Source based Remotely Triggered Black Hole (RFC 5636)
S-RTBH
18 Copyright © 2013 Juniper Networks, Inc.
• Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP
• DDoS трафик обрабатывается с высокой гранулярностью• Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag,
packet lengh, DSCP, Fragment• Действия: сброс, ограничение, перенаправление в VRF, маркировка
• Работа BGP Flow Spec требует• Мониторинг идентификации атаки
RFC 5575 – Расширение NLRI для BGP
BGP FLOW SPEC
19 Copyright © 2013 Juniper Networks, Inc.
Блокирование трафика анонсом правила PBR
ИДЕАЛЬНАЯ СХЕМА
BGP FLOW SPEC
20 Copyright © 2013 Juniper Networks, Inc.
• Отсутствие доверия между операторами и клиентами
• Включение inetflow на eBGP – это большой риск безопасности
• Что необходимо сделать?• Централизованный inetflow speaker внутри доверенной сети• Inetflow speaker на основе интеллектуальных систем предотвращения
DDoS атак (IDMS)
ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ?
BGP FLOW SPEC
Copyright © 2014 Juniper Networks, Inc. 21
Статистика из отчета Arbor Networks, Inc за 2014 год.
ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS
Copyright © 2014 Juniper Networks, Inc. 22
Пороги сбросаNetflow анилиз
ЭВОЛЮЦИЯ DDOS АТАКСигнатурные
очистители трафика
ВОЗНИКНОВЕНИЕ УГРОЗЫ
Не
зам
етн
ост
ь
НовизнаИзвестные Неизвестные
Vo
lum
etri
cL
ow
-an
d-s
low
Проблема: ручное управление порогами для IP в
динамических сетях
Проблема: Создание сигнатур
для новых атак
Проблема: Поддержка
существующих сигнатур атак
Copyright © 2014 Juniper Networks, Inc. 23
JUNOS DDOS SECUREПредотвращение атак «volumetric» и «Low and Slow» на приложения
Эвристический анализ
Легитимный трафик
Трафик DDoS атаки
Легитимный трафик
Преимущества
Комплексное Анти-DDoS решение
• Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения
• Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик
• Эффективен на 80% через 10 мин. после установки
• Эффективен на 99.999% через 6-12 часов
• Динамическая безсигнатурная эвристическая технология
• Не требуется подстройка порогов сброса
• Гибкие варианты развертывания: физическое устройство или виртуальная машина
Copyright © 2014 Juniper Networks, Inc. 24
Оценка риска каждого IP-источника в реальном времени
АЛГОРИТМ «CHARM»
• Проверка пакетов на предустановленные RFC фильтры
• Пакеты неправильного формата или неверной последовательности сбрасываются
• Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения
• Трафик сбрасывается ниже динамически определенного порога CHARM
• Погори определяются анализом сессий0
100
Исходноезначение 50
Человеческое поведение
Механистическоеповедение
Каждый пакет
Copyright © 2014 Juniper Networks, Inc. 25
ЗАЩИТА СЕРВИСОВ DNS RESOLVER
Измерение отклика приложенияJDDS SRX DNS Resolvers
Встроенная инспекция Измерение входящего трафика
Устраняет атаки DNS reflection
1 2
3
•Включен как прозрачный L2-мост
•Измеряет входящие и исходящие потоки
•Отслеживает DNS-записи по доменам
•Отслеживает ответы и активность рекурсивных запросов
• HTTP
• HTTPS (SSL & TLS)
• DNS
• VoIP / SIP
Juniper DDoS Secure (JDDS) Поддержка приложений
Copyright © 2014 Juniper Networks, Inc. 26
SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА
• Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока
• Параллельный процесс программной обработки для минимизации задержки передачи пакетов
• Поддерживается на аппаратном и виртуальном устройстве
• Опционально карта аппаратного ускорения для физического устройства
Декабрь 2013
Функциональность
Преимущества
• Шифрование не используется как маска для подвинутых атак
• Улучшенная защита от «low and slow» атак уровня приложений
• Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS
Copyright © 2014 Juniper Networks, Inc. 27
ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ)• Структурированный Syslog формат для интеграции в SIEM
• Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления
• Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight
• Поддерживается на аппаратном и виртуальном устройстве
• Организация, интеграция и управление развернутыми JDDS устройствами в сети
• Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность
• Визуализация аномалий трафика в сети на ранней стадии возникновения
Декабрь 2013
Функциональность
Преимущества
Copyright © 2014 Juniper Networks, Inc. 28
ИНТЕГРАЦИЯ JDDOS В СЕТЬ
• Решение должно быть контекстным
• Модель детектирования на уровне приложений
• Поддержка BGP S-RTBH
• Поддержка BGP Flow Spec (2H 2015)
• Блокирование и сброс трафика• Переадресация подозрительного трафика в
выделенный VPN• Фильтрация
Data Center / Customers
JDDS – Data Center
Internet
BGP S/RTBH
BGP FlowSpec- Filter- Redirect- Ratelimit
Copyright © 2014 Juniper Networks, Inc. 29
• Low-and-slow и volumetric
•Без сигнатур: блокирует новые атаки
•Нет необходимости подстройки пороговых значений
DDoS Secure
• Обман злоумышленников
• Отсутствие ложных срабатываний
•Нет необходимости подстройки и изменения web-приложений
WebApp Secure
• Межсетевые экраны высокого класса
•Масштабируются до уровня ЦОД
•Интеграция с WebApp Secure
SRX Firewall
БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД
Spotlight Secure
• Глобальная система отпечатков атакующих
Copyright © 2014 Juniper Networks, Inc. 30
АЛЬЯНС JUNIPER И VERISIGN
Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах
Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков
Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями
+Март 2014
Copyright © 2014 Juniper Networks, Inc. 31 Copyright © 2013 Juniper Networks, Inc.
ВОПРОСЫ?