Защищаем сеть от DDoS-атак

2,438 views
2,301 views

Published on

Дмитрий Карякин – старший системный инженер компании Juniper Networks – о том, как защитить сеть от DDoS-атак при помощи решений Juniper.

Published in: Technology

Защищаем сеть от DDoS-атак

  1. 1. Защищаем сеть от DDoS-атак ведущий: Дмитрий Карякин 6 ноября 2013 dkaryakin@juniper.net
  2. 2.   Защищаем сеть от DDoS-атак, Карякин Дмитрий Системный инженер dkaryakin@juniper.net 2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  3. 3. СОДЕРЖАНИЕ §  DOS и DDoS атаки §  Решение Junos DDoS Secure §  Алгоритм CHARM §  Демонстрация защиты от DDoS атак §  Интерфейс управления и конфигурации 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  4. 4. МОТИВЫ DDOS АТАК Последний оставшийся Нанять сторонних лиц, чтобы вывести всех конкурентов и направить весь трафик на свой сайт Протестные флэшмобы Координация атаки на государственные ресурсы с применением социального медиа Хулиганство спортивных фанатов Фанаты атакуют сайты клубов соперников с целью нарушения продаж билетов Диверсионная завеса Мгновенное переполнение Кибер-война Индивидуальные игроки DDoS маскирует хищение данных или другую атаку Резкое увеличение посещаемости сайтов легитимными пользователями Угроза для национальной безопасности государства Подвергаются атакам со стороны других игроков Криминальная активность Другая активность Политика / протест Возмездие и “Потому что могу” Шантаж “Заплатите, чтобы ваш сайт не переставал работать” 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  5. 5. ВЕКТОРЫ DDOS АТАК ОБЪЕМНАЯ ЗАГРУЗКА “VOLUMETRIC” •  Легко обнаруживается •  Размер атак увеличивается •  Частота атак увеличивается умеренными темпами ПЕРЕГРУЗКА РЕСУРСОВ •  Организованные флэшмобы через социальные медиа МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ “LOW AND SLOW” •  Рост атак значительно быстрее, чем volumetricатаки – 25% от всех атак в 2013 (источник: Gartner) •  Преимущественно легитимные запросы в момент крупных событий, имеющие ограниченный период действия. •  Более сложные и трудно детектируемые •  Целью является слабые стороны back-end инфраструктуры •  Небольшой объем запросов может вывести из строя большой веб-сайт 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  6. 6. Junos DDoS Secure 6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  7. 7. РЕШЕНИЕ JUNOS DDOS SECURE Акцент на доступности сервисов §  Конфиденциальность §  Целостность §  Доступность   Приоритезация клиентов §  Дифференцирование между DDoS и перегрузкой Применение stateful inspection для идентификации сессий и очистки трафика Технология CHARM 7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  8. 8. ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ 1 2 8 Автодетектирование и устранение новых векторов атаки Защита от атак типа low-and-slow Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  9. 9. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ §  Проверка пакетов на предмет соблюдения RFC Доверенный трафик, поведение, свойственное человеку §  Пакеты неправильного формата или неверной последовательности отбрасываются §  Индивидуальным IP-адресам назначается значение CHARM §  Значение присваивается на основе поведения IP-источника 9 Высокое значение CHARM Трафик, которого раньше не было Среднее значение CHARM Механистический трафик Низкое значение CHARM Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  10. 10. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ Применение политики на основе CHARM   Доступ зависит от порога CHARM для ресурса §  Ниже порога – трафик сбрасывается §  Выше порога – доступ разрешается §  Минимум ложных срабатываний   Порог CHARM изменяется динамически в зависимости от загрузки ресурса §  Алгоритм с сохранением состояния проверяет время отклика ресурса §  Серверные агенты не нужны 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  11. 11. JUNOS DDoS SECURE ПРОХОЖДЕНИЕ ПАКЕТА Контроль доступа на основе технологии CHARM Таблица поведения IP-адресов Порог CHARM для ресурса 3 Поведение записано 1 Проверка пакета §  Проверка через фильтры 4 §  Соответствие RFC §  Поддержка до 64M §  Проверка порядка следования профайлов §  Старые профайлы устаревают первыми §  Состояние соединения TCP Пакет принят Синтаксический Screener Пока что ОК 2 Генератор Добавлено значение CHARM CHARM Вычисление значения CHARM для пакета Вычисление порога CHARM Отклик ресурса CHARM Screener Packet Exits 5 Тревога или Сброс §  Обращается к таблице поведения IP-адресов §  Порог CHARM §  Функция времени и поведения §  Значение CHARM §  Лучше поведение = лучше CHARM Сброс пакета 11 Сброс пакета Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  12. 12. JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ Resource Control Время отклика Ресурса 2 Трафик атаки на Ресурс 2 начало ухудшаться, JDDoS снижается и атака поднял порог CHARM для переключается на Ресурс3. ограничения трафика атаки. DDoS Secure Junos реагирует путем Легитимный трафик динамического увеличения проходит без ограничений, порога для Ресурса 3 в то время как атакующий ограничивая трафик атаки начинает полагать, что его атака была успешной, т.к. его запросы не проходят. Resource 1 12 Resource 2 Resource 3 Resource ‘N’ Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  13. 13. ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ Легитимный трафик Легитимный трафик Ресурсы Трафик DDoS атаки Легитимный трафик Junos DDoS Secure Эвристический анализ 13 Трафик DDoS атаки Copyright © 2013 Juniper Networks, Inc. www.juniper.net PC управления
  14. 14. ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ   A A A A A A A A A A A A A Z A A A A A A A A A A A A A A A A A A Z A Z A A 14 A A A A A A A A A A A A A A Z A Z A A Легитимные A пользователи A Интернет поток A A A A A A A A A A A A A CHARM распознает быстрые запросы A страниц и A соответственно Web сервер Использование ресурсов Attackers снижает значение для пакета Время CHARM проактивно защищает от переполнения SYNзапросами и уменьшает последствия Copyright © 2013 Juniper Networks, Inc. www.juniper.net CHARM проактивно защищает исходящий канал
  15. 15. CHARM СГЛАЖИВАЕТ ТРАФИК Resource Saturated 100   Good 80 Traffic if Undefended 70 Charm Scale Resource CHARM Scale % 90 60 50 40 Good Traffic Charm Attack Traffic Charm 30 20 Charm Threshold 10 Bad 0 Time 15 Defended Traffic Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  16. 16. DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ   Application Presentation Sessions Transport Network Data Link Physical Application Transport Internet Network Access Physical Layer 2-4 and Application (http / dns / sip) Protection 16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  17. 17. ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE? §  Servers §  Routers §  Firewalls §  Load Balancers §  NAT §  Multiple Gateways, asymmetric routes §  URL   17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  18. 18. ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ   Виртуализация внутри Virtual Junos DDoS Secure §  Каждый портал защищает определенный набор IP-адресов §  Множественная аренда   Пользователи / клиенты имеют возможность управлять только своим порталом §  Аутентификация §  Характеристики сервера §  Обзор инцидентов §  Статистическая информация §  Отчеты по email 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  19. 19. РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE   Работает как L2 мост §  Один двунаправленный путь передачи данных через два §  §  §  §      сетевых интерфейса Нет IP-адресации на сетевых интерфейсах Включается в существующий Ethernet сегмент Нет необходимости переконфигурировать других сетевые устройства При установке время прерывания существующего потока данных не превышает нескольких секунд Управление - out of band, через третий L3 интерфейс Поддерживается отказоустойчивая конфигурация §  Передача состояния между несколькими устройствами JDDS осуществляется через четвертый интерфейс 19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  20. 20. ПРИМЕРЫ РАЗВЕРТЫВАНИЯ   Коммутатор Маршрутизатор X Web сервер Коммутатор Web сервер 20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  21. 21. ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ   Router Router Router Switch Switch Switch Router* Router* Switch** Switch** Web Server * Firewall Switch Web Server ** Load Balancer 21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  22. 22. JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ §  1Gbps Virtual Appliance (ESX и KVM) §  10Gbps 1U appliance с функцией обхода при сбое §  Оптические порты (10G SR/LR) §  Медные порты (10M/100M/1G) §  Оба варианта могут разворачиваться обособленно или в составе Active – Standby пары §  или Active – Active (Asymmetric Routing) 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  23. 23. СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ Характеристика J-DDOS-SEC-AP4 J-DDOS-SEC-AP1 J-DDOS-SEC-AP2 J-DDOS-SEC-AP3 Пропускная способность в каждом 1G направлении 10G Количество защищаемых IP 64 000 64 000 Количество отслеживаемых IP (v4/v6) 32 000 000 64 000 000 Одновременных ТСР сессий 4 000 000 4 000 000 Скорость установки сессий 750 000 в секунду 750 в секунду Интерфейсы 1G RJ45 10GBASE-T/ SX / LR Габариты, высота 1RU 1RU 23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  24. 24. ОДНО БАЗОВОЕ ШАССИ ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ   Базовое шасси (все модели) Процессор Память 32GB HDD 2x300GB 10K RPM SAS, RAID-1 Блок питания   8 Core Xeon @ 2.9GHz 2 шт. Модели и сетевые адаптеры Модель SKU Сетевые адаптеры 1200-C J-DDOS-SEC-AP4 Два порта 1G RJ45 с обходом 1210-SR J-DDOS-SEC-AP2 Два порта 10GASE-SR с обходом 1210-LR J-DDOS-SEC-AP1 Два порта 10GASE-LR с обходом 1210-TX J-DDOS-SEC-AP3 Два порта 10GASE-T с обходом Сетевые адаптеры не заменяются Замена с случае выхода из строя (RMA и т.д.) 24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  25. 25. СХЕМА ЛАБОРАТОРНОГО СТЕНДА   Злоумышленник Пользователь Производит регулярные легитимные запросы на веб-сервер Атаки на веб-сервер: •  SYN flood •  HTTP stress test •  Slow-rate HTTP GET •  Slow-rate HTTP POST Коммутатор •  Slow-rate HTTP read Junos DDoS Secure Режимы работы: •  логирование •  защита Отклик от веб-сервера: Web сервер 25 Copyright © 2013 Juniper Networks, Inc. •  Время отклика пропорционально количеству одновременных соединений www.juniper.net
  26. 26. ВОПРОСЫ 26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net

×