Современные методы защиты от DDoS атак
Download as PPTX, PDF2 likes3,244 views
Документ охватывает современные методы защиты от DDoS атак, включая статистику распределения атак и категории векторов. Он описывает различные технологии реализации атак, такие как 'low-and-slow' и 'volumetric', а также стратегии защиты, такие как фильтрация нежелательного трафика и использование BGP flow spec. Основное внимание уделяется решениям Juniper Networks для минимизации воздействия DDoS атак на приложения и сети.
Современные методы защиты от DDoS атак
- 1. Copyright © 2014 Juniper Networks, Inc.1 Copyright © 2014 Juniper Networks, Inc. Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН dkaryakin@juniper.net JNCIE-ENT #428 АПРЕЛЬ 2014
- 2. 2 Copyright © 2014 Juniper Networks, Inc. НОВОСТИ ПРОШЛОЙ НЕДЕЛИ
- 3. 3 Copyright © 2014 Juniper Networks, Inc. • 1. Предприятия – 45% • 2. Коммерческие организации – 29% • 3. СМИ и развлечения – 15% • 4. Государственный сектор – 6% • 5. Высокотехнологичный сектор – 5% Статистика из отчета Akamai Q3 2013 РАСПРЕДЕЛЕНИЕ DDOS-АТАК
- 4. Copyright © 2014 Juniper Networks, Inc.4 ВЕКТОРЫ DDOS-АТАК МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ «LOW-AND-SLOW» ОБЪЕМНЫЕ АТАКИ «VOLUMETRIC» АТАКА НА ИНФРАСТРУКТУРУ • TCP SYN, ACK, RST; ICMP, UDP flood • Целью атаки является перегрузка каналов связи и сетевых устройств • В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus) • Фиксируется значительный рост мощности атак • Несложно детектируются АТАКА НА ПРИЛОЖЕНИЯ • HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC • Целью является перегрузка слабых элементов сетевых сервисов • Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти • Имеют сложные алгоритмы и трудно детектируются • Небольшой объем запросов может вывести из строя большой веб-сайт
- 5. Copyright © 2014 Juniper Networks, Inc.5 ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК • HTTP reflection attack • NTP, DNS amplification • SSL Renegotiation • HTTP GET/POST flood • HTTP slow request, read • SIP Call-Control Flood • TCP State-Exhaustion attacks • TCP SYN, ICMP, UDP flood ACK Chargen Fin Push DNS ICMP Reset RP SYN SYN Push TCP Fragment UDP Flood UDP Fragment HTTP GET HEAD NTP HTTP POST Push SSL Post Векторы атак Q4 2013
- 6. 6 Copyright © 2013 Juniper Networks, Inc. В порядке популярности применения для атак на приложения ИНСТРУМЕНТЫ • Slowloris • Low Orbit ION Cannon (LOIC) • Apache Killer • High Orbit ION Cannon • nkiller2 • Hulk • R.U.D.Y • Recoil
- 7. 7 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
- 8. 8 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
- 9. 9 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
- 10. 10 Copyright © 2014 Juniper Networks, Inc. ЗАЩИТА ОТ DDOS АТАК • ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА • ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ Internet Site DREN Site Site Site Peer Site Site
- 11. 11 Copyright © 2014 Juniper Networks, Inc. ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ • «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом • Фильтрация должна быть не только на границе, но и в любой точке сети • Централизованное управление правилами фильтрации • Подозрительный трафик должен быть перенаправлен на карантин в контексте всей сети Internet
- 12. 12 Copyright © 2014 Juniper Networks, Inc. КЛАССИЧЕСКИЙ ПОДХОД • Access Control List (ACL) • BCP38 «Network Ingress Filtering» (Май 2000) • BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004) • uRPF – Unicast Reverse Path Forwarding • uRPF active-paths / feasible-path
- 13. 13 Copyright © 2013 Juniper Networks, Inc. Штатный режим работы Destination based Remotely Triggered Black Hole D-RTBH
- 14. 14 Copyright © 2013 Juniper Networks, Inc. Возникновение DDoS-атаки на веб-сервер Destination based Remotely Triggered Black Hole D-RTBH
- 15. 15 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика специфичным маршрутом Destination based Remotely Triggered Black Hole D-RTBH
- 16. 16 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик в сеть успешно заблокирован • Блокируются легитимные запросы к сервису с заданным IP • Злоумышленник достигает цель причинения ущерба ресурсу • Работа Destination based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Мониторинг идентификации атаки • Контроль специфичного маршрута внутри общего префикса • Наличие правила обработки BGP community (в примере «65001:666») Результат D-RTBH
- 17. 17 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик блокируется от заданного IP источника • Блокируются легитимные запросы в сеть оператора с заданного IP • Остальные запросы не блокируются и достигают сеть • Работа Source based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Включенного uRPF на интерфейсе источника DDoS трафика • Мониторинг идентификации атаки • Наличие правила обработки BGP community • Применимо между доверенными сетями Source based Remotely Triggered Black Hole (RFC 5636) S-RTBH
- 18. 18 Copyright © 2013 Juniper Networks, Inc. • Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP • DDoS трафик обрабатывается с высокой гранулярностью • Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag, packet lengh, DSCP, Fragment • Действия: сброс, ограничение, перенаправление в VRF, маркировка • Работа BGP Flow Spec требует • Мониторинг идентификации атаки RFC 5575 – Расширение NLRI для BGP BGP FLOW SPEC
- 19. 19 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика анонсом правила PBR ИДЕАЛЬНАЯ СХЕМА BGP FLOW SPEC
- 20. 20 Copyright © 2013 Juniper Networks, Inc. • Отсутствие доверия между операторами и клиентами • Включение inetflow на eBGP – это большой риск безопасности • Что необходимо сделать? • Централизованный inetflow speaker внутри доверенной сети • Inetflow speaker на основе интеллектуальных систем предотвращения DDoS атак (IDMS) ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ? BGP FLOW SPEC
- 21. Copyright © 2014 Juniper Networks, Inc.21 Статистика из отчета Arbor Networks, Inc за 2014 год. ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS
- 22. Copyright © 2014 Juniper Networks, Inc.22 Пороги сброса Netflow анилиз ЭВОЛЮЦИЯ DDOS АТАК Сигнатурные очистители трафика ВОЗНИКНОВЕНИЕ УГРОЗЫНезаметность Новизна Известные Неизвестные VolumetricLow-and-slow Проблема: ручное управление порогами для IP в динамических сетях Проблема: Создание сигнатур для новых атак Проблема: Поддержка существующих сигнатур атак
- 23. Copyright © 2014 Juniper Networks, Inc.23 JUNOS DDOS SECURE Предотвращение атак «volumetric» и «Low and Slow» на приложения Эвристический анализ Легитимный трафик Трафик DDoS атаки Легитимный трафик Преимущества Комплексное Анти-DDoS решение • Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения • Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик • Эффективен на 80% через 10 мин. после установки • Эффективен на 99.999% через 6-12 часов • Динамическая безсигнатурная эвристическая технология • Не требуется подстройка порогов сброса • Гибкие варианты развертывания: физическое устройство или виртуальная машина
- 24. Copyright © 2014 Juniper Networks, Inc.24 Оценка риска каждого IP-источника в реальном времени АЛГОРИТМ «CHARM» • Проверка пакетов на предустановленные RFC фильтры • Пакеты неправильного формата или неверной последовательности сбрасываются • Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения • Трафик сбрасывается ниже динамически определенного порога CHARM • Погори определяются анализом сессий 0 100 Исходное значение 50 Человеческое поведение Механистическое поведение Каждый пакет
- 25. Copyright © 2014 Juniper Networks, Inc.25 ЗАЩИТА СЕРВИСОВ DNS RESOLVER Измерение отклика приложенияJDDS SRX DNS Resolvers Встроенная инспекция Измерение входящего трафика Устраняет атаки DNS reflection 1 2 3 • Включен как прозрачный L2-мост • Измеряет входящие и исходящие потоки • Отслеживает DNS-записи по доменам • Отслеживает ответы и активность рекурсивных запросов • HTTP • HTTPS (SSL & TLS) • DNS • VoIP / SIP Juniper DDoS Secure (JDDS) Поддержка приложений
- 26. Copyright © 2014 Juniper Networks, Inc.26 SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА • Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока • Параллельный процесс программной обработки для минимизации задержки передачи пакетов • Поддерживается на аппаратном и виртуальном устройстве • Опционально карта аппаратного ускорения для физического устройства Декабрь 2013 Функциональность Преимущества • Шифрование не используется как маска для подвинутых атак • Улучшенная защита от «low and slow» атак уровня приложений • Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS
- 27. Copyright © 2014 Juniper Networks, Inc.27 ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ) • Структурированный Syslog формат для интеграции в SIEM • Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления • Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight • Поддерживается на аппаратном и виртуальном устройстве • Организация, интеграция и управление развернутыми JDDS устройствами в сети • Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность • Визуализация аномалий трафика в сети на ранней стадии возникновения Декабрь 2013 Функциональность Преимущества
- 28. Copyright © 2014 Juniper Networks, Inc.28 ИНТЕГРАЦИЯ JDDOS В СЕТЬ • Решение должно быть контекстным • Модель детектирования на уровне приложений • Поддержка BGP S-RTBH • Поддержка BGP Flow Spec (2H 2015) • Блокирование и сброс трафика • Переадресация подозрительного трафика в выделенный VPN • Фильтрация Data Center / Customers JDDS – Data Center Internet BGP S/RTBH BGP FlowSpec - Filter - Redirect - Ratelimit
- 29. Copyright © 2014 Juniper Networks, Inc.29 • Low-and-slow и volumetric • Без сигнатур: блокирует новые атаки • Нет необходимости подстройки пороговых значений DDoS Secure • Обман злоумышленников • Отсутствие ложных срабатываний • Нет необходимости подстройки и изменения web-приложений WebApp Secure • Межсетевые экраны высокого класса • Масштабируются до уровня ЦОД • Интеграция с WebApp Secure SRX Firewall БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД Spotlight Secure • Глобальная система отпечатков атакующих
- 30. Copyright © 2014 Juniper Networks, Inc.30 АЛЬЯНС JUNIPER И VERISIGN Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями + Март 2014
- 31. Copyright © 2014 Juniper Networks, Inc.31 Copyright © 2013 Juniper Networks, Inc. ВОПРОСЫ?
Editor's Notes
- #5: 1 . Volumetric Attacks: These attacks attempt to consume the bandwidth either within the target network or service, or between the target network or service and the rest of the Internet . These attacks are simply about causing congestion .2. TCP State-Exhaustion Attacks: These attacks attempt to consume the connection state tables that are present in many infrastructure components, such as load balancers, firewalls and the application servers themselves . They can take down even high-capacity devices capable of maintaining state on millions of connections .3. Application-Layer Attacks: These target some aspect of an application or service at Layer 7 . They are the most sophisticated, stealthy attacks because they can be very effective with as few as one attacking machine generating a low traffic rate . This makes these attacks very difficult to proactively detect with traditional flow-based monitoring solutions . To effectively detect and mitigate this type of attack in real time, it is necessary to deploy an in-line or other packet-based component to your DDoS defense .
- #6: Javasriptинтегрируются в компроментированные сайты, когда пользователь запрашивает страницу, в фоновом режиме браузер начинает генерировать запросы к атакуемой цели.10февраля 2014 года облачный провайдер CloudFlareпредотвратил атаку 400Гбит/с, которая была направлена на одного из его клиентов. Это был NTP amplification, суть которого заключается в том, чтобы с поддельного ip-адреса отправить запрос monlistна различные NTP-серверы. Запрос monlistвозвращает список из последних 600 клиентов NTPdсервера, генерируя при этом в сторону жертвы большое количество UDP трафика.Атаки aplificationтакже подвержены и другие протоколы, например, chargen, snmp
- #7: Сейчас мобильные приложения могут содержать вредоносный код, который генерирует запросы, да и появились специализированные приложения для осуществления DDoSатак.
- #11: Где наилучшее место для фильтрации и инспектирования трафика?Как обеспечить синхронизацию правил фильтрации по всей сети?Как применить распределенный метод фильтрации трафика максимально приближенному к источнику атакующих хостов или апстриму?Как внедрить перенаправление подозрительного трафика на централизованную систему инспектирования?
- #12: В основном инспекция и фильтрация трафика обеспечивается на границе сети: между сетями, на границах сайтов, между административными доменами и другими искусственными границами.Не навредиУгрозы безопасности могут быть не только снаружи, но и изнутриИндивидуальное управление каждым устройством может повлиять на возникновение дополнительных проблем, а также значительно увеличивает время реакции на атакиНе только на одной границе, но иметь возможность фильтровать трафик на любом маршрутизаторе
- #13: BCP38 предполагает фильтрацию исходящих IP адресов, находящихся вне диапазона зарегистрированных IP адресовBCP84 предполагает использование механизма uRPF, который на основе таблицы FIB определяет может ли пакет с определенным адресом отправителя быть принят на конкретном сетевом интерфейсе.Обе рекомендации BCP применяются для борьбы со спуфингом. Большинство объемных атак основаны именно на спуфинге.Данный механизм имеет некоторые недостатки: в случае использования ассиметричной маршрутизации легитимный трафик может быть отфильтрован. Режим feasible несколько решает эту проблему, который учитывает не только лучший маршрут, но и всех других возможных маршрутов.Классические ACL также имеют некоторые недостатки: устанавливаются индивидуально на каждом устройстве, централизованное управление возможно только через внешнюю систему управления, большое время установки и удаления правил, возможность установки правил только в одном административном домене.
- #24: Normal Internet traffic flows through the DDoS Secure Appliance, while the software analyses the type, origin, flow, data rate, sequencing, style and protocol being utilised by all inbound and outbound traffic. The analysis is heuristic in nature and adjusts over time but is applied in real time, with minimal (store and forward) latency.
- #25: Simple example: real human traffic typically bursty and irregular; machine/bot traffic is regularAlgorithms updated regularly with characteristics of new attacks