1. Nguyên lý hệ thống giảm thiểu
tấn công DDoS dựa trên lưu
lượng trong mạng Viettel
Diệp Thanh Nguyên
Intercontinental Nha Trang, 23/08/2019
2. Viettel Network, 2019
t r a n g | 2
Mục lục
• Giới thiệu hệ thống
• Chức năng các thành phần
• Luồng hoạt động
• Một số kết quả triển khai
3. Viettel Network, 2019
t r a n g | 3
Giới thiệu hệ thống
Đặc điểm
• Phát hiện, cảnh báo và giảm thiểu các cuộc tấn công
DDoS băng thông lớn, đến hàng trăm Gbps, hoặc đến hàng
chục triệu pps.
Phát triển
• Trung tâm Phần mềm Viettel.
• Trung tâm An ninh mạng Viettel.
Áp dụng
• Việt Nam, Campuchia, Mozambique.
4. Viettel Network, 2019
t r a n g | 4
Sơ đồ các thành phần hệ thống
RTBH
Customers
Detect
attacks
Update
infomation
Filteredtraffic
IGW International Gateway
DGW Domestic Gateway
RTBH Remote Triggered Black Hole
P Provider Router
PE Provider Edge Router
NOC Network Operation Center
SOC Security Operation Center
5. Viettel Network, 2019
t r a n g | 5
Lưu đồ hoạt động
RTBH
Customers
Detect
attacks
Update
infomation
Filteredtraffic
1.Gateway gửi Netflow đến Detection
2.Detection phát hiện đợt tấn công
3.Detection gửi cảnh báo đến Portal và Scrubber
4. Portal gửi lệnh cập nhật định tuyến đến RTBH
RTBH cập nhật định tuyến đến P router
P router lái lưu lượng qua Scrubber
5.Scrubber loại bỏ lưu lượng tấn công, gửi lưu
lượng làm sạch về PE router
6.Scrubber cập nhật kết quả cho Portal
6. Viettel Network, 2019
t r a n g | 6
Gateway gửi Netflow về Detection
Netflow
• Là một giao thức dùng để thu thập thông tin về lưu
lượng truy cập qua các thiết bị trên mạng.
• Gateway bật Netflow, gửi đến Detection.
Netflow Exporter Netflow Exporter
Netflow Collector
• Source IP address, Destination IP address, Source port,
Destination port, Layer 4 protocol, Packet size
7. Viettel Network, 2019
t r a n g | 7
Detection phát hiện tấn công DDoS
Key Features
• Ability to detect and filter out only malicious traffic flowing into or from your network.
• Flexible detection engine with support for DoS/DDoS attack types: amplification (NTP,
SNMP, SSDP, DNS, GRE, chargen and other), floods (UDP, TCP, ICMP), attacks on tcp
protocol (syn, syn-ack, fin floods), attacks on IP protocol (fragmented packets) and other.
• Fast detection time: 5 seconds for port mirror mode and 5- 45 seconds for Netflow.
• Scalable up to Terabits (multiple existing deployments with 1+ Tbps of traffic).
8. Viettel Network, 2019
t r a n g | 8
Detection gửi cảnh báo đến Portal và Scrubber
FastNetMon Actions
• Email alerts
• Script call
• JSON script call
• Web callback
• InfluxDB / Grafana alert
9. Viettel Network, 2019
t r a n g | 9
Portal gửi lệnh thay đổi định tuyến đến RTBH
Portal
• Telnet vào router RTBH cập
nhật định tuyến
RTBH
• Cập nhật định tuyến cho các P
router qua giao thức BGP
P Router
• Định tuyến lưu lượng tấn công
qua Scrubber
• Định tuyến nguồn tấn công về
Null0
10. Viettel Network, 2019
t r a n g | 10
Scrubber chặn lọc lưu lượng
Scrubber
• Cho phép các IP sạch đi qua
• Chặn các flow đang tấn công
• Phát hiện IP nguồn giả mạo
• Giới hạn tốc độ theo IP
nguồn, IP đích
• Cập nhật cho Portal các thống
kê của đợt tấn công
11. Viettel Network, 2019
t r a n g | 11
Chặn lưu lượng từ phía quốc tế
RTBH
• Quảng bá route đến user A: set community X:Y
Router quốc tế
• Nếu nhận route có community X:Y discard