5. Czym jest DDoS?
• Skoordynowany, rozproszony atak na sieć lub system
– Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych
komputerów lub innych urządzeń IP (routery, kamery CCTV, drukarki itp.)
– Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do
Internetu
– Największe ataki wykorzystują zjawisko odbicia i wzmocnienia (DNS, NTP, SSDP)
• Prosty, tani, skuteczny
– Dostępny jako usługa (CaaS), nie trzeba być specjalistą
– Przystępny cenowo
– Cel ataku jest przeciążony i przestaje działać (strona, łącze, systemy)
– Nie wiadomo, kto stoi za atakiem
5
6. Skala zjawiska
6
źródło: „Cybercrime Exposed”, McAfee whitepaper
Wg obserwacji CERT-ów oraz globalnych
dostawców usług bezpieczeństwa, skala zjawiska
rośnie rok do roku
• 2013: max. 300Gbps
• 2014: max. 400Gbps
• 2015Q1: jeden z globalnych dostawców zaobserwował 25
ataków >100Gbps, a typowo 10-60Gbps
7. Jak się bronić przed atakami DDoS?
• Rozbudowa infrastruktury sieciowej i serwerowej
• Specjalizowane appliance filtrujące ruch
• Wyniesienie części usług do CDN i cloud
• Usługa – przeniesienie obciążenie na podmiot, który ma większą
pojemność i jest w stanie odfiltrować atak
7
9. Czym jest redGuardian?
• Rozproszony filtr pakietów o praktycznie nieograniczonej pojemności
• Centra filtrowania (scrubbing centers) uruchomione w kluczowych punktach wymiany
ruchu, ochronie podlega sieć minimum /24 (256 adresów IP)
• Wygodny panel do samodzielnego zarządzania usługą
• Możliwość definiowania własnych reguł filtrowania
• Ochrona przed atakami wolumetrycznymi na infrastrukturę (np. NTP reflection, SYN
flood, UDP fragments flood)
9
10. Wygodne zarządzanie przez interfejs webowy
Klient może zakładać wiele kont o
różnych uprawnieniach
Wprowadzane zmiany są
zapisywane w audit logu
Nieudane próby logowania
skutkują tymczasową blokadą
10
14. Zasada działania – polityki filtrowania
• Polityki ochrony definiują sposób
filtrowania ruchu
• Klient tworzy własne polityki
• Polityki przypisywane są do
chronionych adresów IP
• Przykład:
– zbiór reguł dla serwerówWWW
– zbiór reguł dla koncentratoraVPN
– zbiór reguł uniwersalnych (include)
14
15. Zasada działania – reguły w politykach filtrowania
15
• Polityka to zbiór reguł
• Reguły są konfigurowalne:
– IP źródłowe i docelowe
– kryteria geograficzne
– protokół
– port źródłowy i docelowy
– flagiTCP
– ICMP code/type
– inspekcja NTP
– TCP SYN tracking
– tylko jedna reguła (first match) pasuje
• Akcja: drop, rate-limit
• Audyt zmian
16. Zasada działania – routing
16
Mechanizm włączany „na żądanie”
w momencie ataku, wyłączany po
ustaniu ataku – decyzja po stronie
Klienta (możliwa automatyzacja)
Po włączeniu następuje
przekierowanie ruchu
przychodzącego do scrubbing
centers (przy pomocy BGP)
Zaaplikowanie reguł polityk
filtrujących:ACL, rate-limit
Przefiltrowany ruch jest
„oddawany” do sieci Klienta przy
pomocy tunelu GRE lub
dedykowanego łącza w IX
17. Korzyści
• Przyjazny sposób rozliczania
– korzystanie tylko w razie potrzeby
– wielkość ataku nie ma wpływu na stawkę
• Brak nakładów na dodatkowe łącza i specjalizowany sprzęt
• Łatwość uruchomienia
– brak zmian w sieci klienta
– rozwiązanie niezależne od stosowanych ISP
• Wsparcie zespołu Security Operations Center
– tryb pracy 24/7/365
– analiza trwających ataków
17
18. Modele wdrożeniowe
Ochrona własnych klientów
• Brak dokładnej znajomości usług
klienta, „ogólne” polityki, rate-
limity
• Ochrona własnego szkieletu przed
przeciążeniem
• Ochrona przed rykoszetem
dokładniejsza niż blackholing
18
Ochrona własnych usług
• Konkretne, dobrze znane usługi do
ochrony, „ciasne” polityki
• Znajomość profilu użytkownika,
skuteczne kryteria geograficzne lub
whitelisty
• Niezależność od ISP (multihoming)
20. Realizacja techniczna
Sieć
• Zaawansowany przełącznik
warstwy 3. z portami 10G i 40G
• Peering BGP z IX-ach oraz z
operatorami tranzytowymi
• Pojemność liczona w setkach Gbps,
możliwość rozbudowy
20
Platforma PC z autorskim oprogramowaniem
• biblioteka Intel DPDK
• aplikacja pomija system operacyjny i
bezpośrednio obsługuje pamięć kart sieciowych,
co daje ogromną wydajność (switching line-rate
10Gbps/14.8Mpps na 1 rdzeniu CPU)
21. Realizacja techniczna
21
acl limiter 1 bw 125000000
network 2 acl
drop srctag 15
drop udp sport 123 data u8 0x17 0x37 at 0 data u16 0x032a at 2
drop src 1.1.1.1/32
pass dst 192.168.0.7 tcp dport 443
pass tcp dport 22 flags S/SA
limit 1 pass frag not-single
drop
end
network exit 11 gre src 1.2.3.4 dst 10.0.0.66 key 123 mtu 1500 fragment drop