Решение
 Cisco Clean Pipes
   по защите от
    DDoS-атак



Павел Антонов
Технический Консультант
paantono@cisco.com



  ...
Что такое DDoS-атака?


      Распределенная атака класса “Отказ в обслуживании”
      (далее – DDoS, Distributed Deny of ...
Как происходят DDoS-атаки?
   1. Заражение
2. Управление                                                          3. Атака...
Типовые реализации DDoS-атак

               TCP (SYN, ACK, FIN, Established) Flood
               HTTP Get Flood
        ...
Варианты
              противодействия




SP Security     © 2007 Cisco Systems, Inc. All rights reserved.   5 5/128
Применимы ли традиционные средства
         обеспечения ИБ для защиты от DDoS?

              Межсетевой экран / ACL?
    ...
Модуль Cisco Detector




                Производительность – 1Гбит/c, С доп. лицензией - 2
                Гбит/c.
     ...
Модуль Cisco Guard




               Производительность – 1Гбит/c, С доп. лицензией - 3
               Гбит/c.
          ...
Как это работает


                                                                                Cisco
                 ...
Как это работает


                                                                        Cisco
                         ...
Центр очистки
       и распределенное детектирование

                                                                AS 1...
Обнаружение аномалий

              Что такое обнаружение?
                  Построение базового профиля является важнейши...
Параметры, которые анализирует Detector и
     Guard
              Поведение трафика в терминах:
              1.   Кол-ва...
Обнаружение аномалий: мониторинг копии
 трафика и/или работа с телеметрией

                  Cisco Detector              ...
Рекомендации по применению
              системы обнаружения
                       Применение                            ...
Алгоритм работы устройства Guard
                                                                                         ...
Алгоритм работы устройства Guard
       Применение
       механизмов
    проверки источника
         трафика




         ...
Алгоритм работы устройства Guard



                            Динамическое формирование
                            филь...
Механизмы Cisco Guard



              Защита от TCP SYN FLOOD – SYN Cookie
              Защита от атак на HTTP - Redirec...
Заключение




SP Security   © 2007 Cisco Systems, Inc. All rights reserved.   20 20/128
Операторы связи и DDoS-атаки
   • Крупнейшие операторы связи
     используют устройства Guard для
     защиты инфраструкту...
Cisco protecting Cisco
       Background:
              Network availability is crucial for business continuity because 93...
Вопросы и ответы




SP Security   © 2007 Cisco Systems, Inc. All rights reserved.   23 23/128
SP Security   © 2007 Cisco Systems, Inc. All rights reserved.   24 24/128
Upcoming SlideShare
Loading in …5
×

Cisco

1,219
-1

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,219
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
30
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cisco

  1. 1. Решение Cisco Clean Pipes по защите от DDoS-атак Павел Антонов Технический Консультант paantono@cisco.com © 2007 Cisco Systems, Inc. All rights reserved. 1 1/128
  2. 2. Что такое DDoS-атака? Распределенная атака класса “Отказ в обслуживании” (далее – DDoS, Distributed Deny of Service) – это инцидент в сфере информационной безопасности, приводящий к нарушению режима штатного функционирования информационной системы без нарушения целостности или конфиденциальности информации. SP Security © 2007 Cisco Systems, Inc. All rights reserved. 2 2/128
  3. 3. Как происходят DDoS-атаки? 1. Заражение 2. Управление 3. Атака Хакер ISP CPE Цель mbehring Обычные Теперь ПК “Зомби” SP Security © 2007 Cisco Systems, Inc. All rights reserved. 3 3/128
  4. 4. Типовые реализации DDoS-атак TCP (SYN, ACK, FIN, Established) Flood HTTP Get Flood DNS Query/Malformed Flood UDP Flood – fragmented/random ports ICMP Flood …with source IP spoofing SP Security © 2007 Cisco Systems, Inc. All rights reserved. 4 4/128
  5. 5. Варианты противодействия SP Security © 2007 Cisco Systems, Inc. All rights reserved. 5 5/128
  6. 6. Применимы ли традиционные средства обеспечения ИБ для защиты от DDoS? Межсетевой экран / ACL? Rate-limit / ограничение кол-ва сессий? Сигнатурный анализ - IDS/IPS? Black-hole routing? SP Security © 2007 Cisco Systems, Inc. All rights reserved. 6 6/128
  7. 7. Модуль Cisco Detector Производительность – 1Гбит/c, С доп. лицензией - 2 Гбит/c. Возможна установка нескольких модулей в одном шасси Захват трафика – SPAN, VACL Поддерживает до 150 активных зон Нет жесткого ограничения числа модулей защиты Guard, которые указываются в списке конфигурации SP Security © 2007 Cisco Systems, Inc. All rights reserved. 7 7/128
  8. 8. Модуль Cisco Guard Производительность – 1Гбит/c, С доп. лицензией - 3 Гбит/c. Возможна установка нескольких модулей в одном шасси – 6 в 6509/7609, 10 в 6513/7613. • Кластеризация 16Гбит/c на одну зону • До 50 одновременно активных зон • 4,5 миллиона одновременных соединений (1,5M на интерфейс) • Вносимая задержка: < 1 миллисекунды SP Security © 2007 Cisco Systems, Inc. All rights reserved. 8 8/128
  9. 9. Как это работает Cisco Объявление BGP Guard 3. Перенаправление трафика мишени 2. Активация: Авто/Ручная 1. Определение Cisco Anomaly Detector Мишень Неатакуемые серверы SP Security © 2007 Cisco Systems, Inc. All rights reserved. 9 9/128
  10. 10. Как это работает Cisco Трафик мишени Guard 4. Идентификация и Очищенный фильтрация трафика трафик мишени DDoS-атаки 5. Передача очищенного трафика Cisco Anomaly Detector 6. Трафик не к мишени проходит Мишень свободно Неатакуемые серверы SP Security © 2007 Cisco Systems, Inc. All rights reserved. 10 10/128
  11. 11. Центр очистки и распределенное детектирование AS 123 AS 234 Пиринговый периметр Центр NBAD «очистки» Кластер Cisco Guard Ядро SP Out of Band Оператор Management связи Cisco Detector Пиринговый периметр Весь трафик Чистый трафик Экспорт NetFlow Нижележащие ISP 234 AS Guard Activation /Клиенты SSH SP Security © 2007 Cisco Systems, Inc. All rights reserved. 11 11/128
  12. 12. Обнаружение аномалий Что такое обнаружение? Построение базового профиля является важнейшим мероприятием для поиска осуществляемой атаки Аномалия – событие или условие в сети, характеризуемое статистическим отклонением от базового профиля Аномалия может быть вызвана не только DDoS-атакой Когда выявлена аномалия следующим шагом является уведомление устройств(а), ответственного за разбор трафика на вредоносную и легитимную составляющие – Cisco Guard SP Security © 2007 Cisco Systems, Inc. All rights reserved. 12 12/128
  13. 13. Параметры, которые анализирует Detector и Guard Поведение трафика в терминах: 1. Кол-ва пакетов в секунду 2. Соотношения (SYN к FIN) 3. Кол-во активных TCP сессий 4. Кол-во IP адресов, посылающих трафик в зону С точки зрения: 1. Per destination Port 2. Per destination IP address 3. Per source IP address 4. Globally per Zone SP Security © 2007 Cisco Systems, Inc. All rights reserved. 13 13/128
  14. 14. Обнаружение аномалий: мониторинг копии трафика и/или работа с телеметрией Cisco Detector Системы анализа NetFlow Работа с копией трафика Работа с телеметрией Синхронизация базового Возможно применение не профиля с Cisco Guard только для обнаружения повышает эффективность аномалий фильтрации Отсутствие топологических Ориентировано на ограничений конкретные задачи Широкие возможности обнаружение атак на масштабирования защищаемые зоны (серверные фермы, клиенты) SP Security © 2007 Cisco Systems, Inc. All rights reserved. 14 14/128
  15. 15. Рекомендации по применению системы обнаружения Применение Устройство ЦОД Cisco Detector Защита клиентов Cisco Detector Магистраль SP Netflow SP Peering Edge Netflow Detector необходимо размещать перед МСЭ и IDS Устанавливайте Detector ближе к защищаемой зоне Размещайте Detector после Guard SP Security © 2007 Cisco Systems, Inc. All rights reserved. 15 15/128
  16. 16. Алгоритм работы устройства Guard Обнаружение аномалий и идентификация подозрительных потоков Легитимный трафик + трафик атаки Анализ Ограничение Динамические и Статистический Проверка некорректных полосы Статические фильтры анализ источника пакетов пропускания трафика SP Security © 2007 Cisco Systems, Inc. All rights reserved. 16 16/128
  17. 17. Алгоритм работы устройства Guard Применение механизмов проверки источника трафика Легитимный трафик + трафик атаки Анализ Ограничение Статистический Динамические и некорректных полосы Проверка анализ Статические фильтры пакетов пропускания источника трафика SP Security © 2007 Cisco Systems, Inc. All rights reserved. 17 17/128
  18. 18. Алгоритм работы устройства Guard Динамическое формирование фильтров для блокирования источников вредоносного трафика Применить rate-limit Легитимный трафик Анализ Ограничение Статистический Динамические и некорректных полосы Проверка анализ Статические фильтры пакетов пропускания источника трафика SP Security © 2007 Cisco Systems, Inc. All rights reserved. 18 18/128
  19. 19. Механизмы Cisco Guard Защита от TCP SYN FLOOD – SYN Cookie Защита от атак на HTTP - Redirect Защита от атак на DNS - Truncate Защита от UDP Flood – проверка источника по TCP Защита от атак на SIP – SIP Options Защита от ICMP Flood – rate limit SP Security © 2007 Cisco Systems, Inc. All rights reserved. 19 19/128
  20. 20. Заключение SP Security © 2007 Cisco Systems, Inc. All rights reserved. 20 20/128
  21. 21. Операторы связи и DDoS-атаки • Крупнейшие операторы связи используют устройства Guard для защиты инфраструктуры и оказания услуг по очистке • Аутсорсинговые услуги позволяют увеличить объем продаж других услуг безопасности • Цена определяется объемом центров очистки Операторы связи • Различные варианты обнаружения атаки (вручную, Detector, Netflow) • Активация защиты с согласия абонента • Стандартные или персонализированные политики • Отчеты об атаках и услугах Хостинг-провайдеры SP Security © 2007 Cisco Systems, Inc. All rights reserved. 21 21/128
  22. 22. Cisco protecting Cisco Background: Network availability is crucial for business continuity because 93 percent of the company’s revenue — more than US $43,000 in sales per minute — is booked online using Cisco Internet connections and internal networks. Challenge: "Our challenge was to distinguish between malicious and legitimate traffic and to block only the former," says John Banner, a Cisco® network engineer. Result: "Cisco Guard has been successful in mitigating attacks directed toward Cisco’s e-commerce applications," says William Ku, project manager for the Cisco INS product team. More “Cisco on Cisco” case studies: http://www.cisco.com/go/ciscoit SP Security © 2007 Cisco Systems, Inc. All rights reserved. 22 22/128
  23. 23. Вопросы и ответы SP Security © 2007 Cisco Systems, Inc. All rights reserved. 23 23/128
  24. 24. SP Security © 2007 Cisco Systems, Inc. All rights reserved. 24 24/128
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×