Your SlideShare is downloading. ×
0
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
актуальные методы противодействия D do s-атакам
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

актуальные методы противодействия D do s-атакам

1,320

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,320
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
31
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Account: Bet365, UKAbout the CustomerOne of the world’s leading online gambling groups with over 3 million customers in 200 different countriesSuffer from all type of attacks that aim to slow down the service or deny it completelyThe Need- Suffer from “attack traffic leakage” through their defensesRefresh the attack mitigation layerRefresh the Anti-DoS layerHigh performance (PPS) DoS protections:SYN floodsHTTP floods
  • Technical RequirementsReplace “Cisco Guard”Network and Customer Protection (MSSP)Performance (scale up to 8Gbps in each location) Support asymmetric environments
  • Telekom AustriaCustomer OverviewA leading provider of telecommunications services in central EuropeOver €5 billion in yearly revenuesBusiness NeedSecure the VoIP service against service degradation and up to complete shut downInfrastructure protection of VoIP servers and DNS serversHandling the challenges“Assymetric environment“ – no session-dependant mechanisms are used“VoIP gateways are weak“BDoS profiles were tuned with a high PPS consideration weight to detect low bandwidth but-high rate UDP floods (DNS/SIP)Custom DoS-Shield signatures developed by SOC to mitigate non-SIP traffic over SIP ports (junk traffic)“VoIP infrastructure is rapidly changing“A single BDoS policy was created for every “VoIP cluster” comprising of several VoIP gatewaysEvery time the network changed significantly more policies would have to be created – or the new gateways added to an existing policy having the BDoS policy bandwidth settings tuned accordingly
  • Transcript

    • 1. АктуальныеметодыпротиводействияDDoS-атакамоктябрь 2010Игорь Концевой<br />
    • 2. Slide 2<br />Содержание<br />Обзор атак 2009-2010 гг<br />Обзор технологий по отражению DoS / DDoS<br />Примеры использования <br />Пару слов о наших решениях<br />
    • 3. Типичный цикл атаки<br />Сбор информации и планирование атаки<br />Атака<br />Время<br />Slide 3<br />
    • 4. Атаки Low &amp; Slow DoS<br />Типичные DoS/DDoS атаки<br />Массированные атаки на сети / приложения<br />Атака единичным пакетом (использование уязвимостей)<br />Новая тенденция: Низкоактивныеатаки с переполнением запросами <br />Использование слабых мест ПО для атаки на веб- приложения или ресурсы стэка TCP <br />Легитимные пользователи <br /> не получают услуги<br />Атаки “проходят под радаром…”<br />Примеры атак:<br />Slowloris (июль 2009)<br />Sockstress (сентябрь 2009)<br />Slide 4<br />
    • 5. Атаки Low &amp; Slow - Slowloris<br />Slide 5<br />HTTP GET /… CRLF/CRLF<br />HTTP REPLY<br />HTTP GET /… CRLF/<br />HTTP GET/CRLF<br />HTTP GET /… CRLF<br />HTTP GET /… CRLF<br />HTTP GET /… CRLF<br />Атакующий<br /> Веб сервер Apache <br />Атака с злоупотреблением услугой<br /><ul><li>Перегрузка сервера из-за параллельных состояний ожидания приложения
    • 6. Минимальный обмен трафиком</li></ul>АтакаDoS с низкой интенсиностью<br /><ul><li>Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты </li></li></ul><li>Conficker: атака типа Zero-Minute <br />Malware<br />Victim<br />Victim<br />Victim<br />Victim<br />Victim<br />Victim<br />Главный вектор распространения: <br />TCP Port 445 (RPC)<br />Victim<br />Victim<br />Slide 6<br />
    • 7. Conficker –распространение мalware<br />Slide 7<br />
    • 8. Slide 8<br />Legitimate User<br />Характеристики атаки<br /><ul><li>~50,000зомби компьютеров
    • 9. Разнообразные атаки:
    • 10. HTTP флуд
    • 11. SYN флудс использованием аномалий пакетов
    • 12. UDP флуд
    • 13. ICMP флуд
    • 14. «Получатели» в США и Южной Корее
    • 15. ~ 6-7Гбит/свходящего трафика(&gt;2 миллионов PPS)</li></ul>C&amp;C Server<br />Bot <br />(Infected host)<br />BOT Command<br />GET /… HTTP/1.0<br />GET /… HTTP/1.0<br />Bot <br />(Infected host)<br />Internet<br />Attacker<br />GET /… HTTP/1.0<br />Public Web Servers<br />GET /… HTTP/1.0<br />Bot <br />(Infected host)<br />Bot <br />(Infected host)<br />Mydoom.EA<br />
    • 16. Slide 9<br />Почему так трудно противостоятьMydoom.EA?<br />Динамические инструменты для атаки<br />Одновременное использование разнотипных атак:<br />Под видом легитимного пользователя (DDoS)<br />Открытая атака (HTTP flood)<br />Высокораспределенная атака<br />Переполнение HTTP запросами нацелено на главную страницу веб-сайтов – жертв атаки<br />Высокоативная атака<br />
    • 17. Zeus Crimeware: автоматизирует финансовые преступления<br />Slide 10<br />Browse<br />Browse<br />Установка Malware<br />Атакующий<br />Установка Malware<br />Веб сайт<br />Интернет<br />Жертва<br />
    • 18. Zeus Crimeware: атака Man-in-the-Browser (MITB)<br />Slide 11<br />Атака MITB будет успешной – неважно сколько механизмов безопасности, таких как SSL/PKI или двух/трех уровневая авторизация используется. <br />
    • 19. Противостояние кибератакам<br />Slide 12<br />Одно средство защиты не может справиться с современными угрозами безопасности сетей и ЦОД <br />
    • 20. Из новостей: появление SCADA Worm<br />Slide 13<br />
    • 21. ОStuxnet<br />ИзWikipedia:<br />Stuxnetпоражающий компьютеры под управлением операционной системы Microsoft Windows компьютерный червь, обнаруженный в июне 2010 года <br />Векторы распространения <br />Портативные устройства памяти <br />Уязвимость MS LNK <br />Впервые «червь» обнаружен в промышленных системах (SCADA) , управляющих автоматизированными производственными процессами <br />Предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление крупным производством. Возможно, нацелен на инфраструктуры, использующие системы Siemens в Иране<br />60 % всех компьютеров, пораженных этим вирусом, расположены на стратегических объектах промышленности Ирана. <br />Пресса писала, что возможно проникновение вируса задержало пуск завода по обогащению урана в Бушере и повредило атомные предприятия в Натанце <br />Slide 14<br />
    • 22. Обзор технологий по отражению DoS / DDoS<br />
    • 23. Технология Rate Based<br />Технология Rate Based<br />Преимущества<br />Ограничивает трафик и нормализует его объем<br />Блокируетмассированные сетевые DoS атаки<br />Недостатки<br />Блокирует легитимных пользователей во время отражения атаки<br />Пики легитимного трафика дают ложное срабатывание<br />Не помогает при атаках «низкой интенсивности»<br />Необходима ручное конфигурирование и время от времени настройка<br />Slide 16<br />
    • 24. Технология поведенческого анализа NBA<br />Автоматическая защита в реальном времени:<br />От распространения Zero minute malware<br />От использования ресурсов приложения:<br />От взломов <br />От сканирования веб- приложений<br />От переполнения HTTP запросами к странице<br />От сканирования SIP <br />От SIP переполнения <br />Преимущества<br />Автоматическая защита от сетевых DDoS атак в реальном времени<br />Не требует вмешательства человека<br />Аккуратное обнаружение и отражение – не блокирует легитимный трафик пользователей<br />Недостатки<br />Требует примерно 1 неделю обучения для оптимизации<br />Slide 17<br />
    • 25. IPS: технология статических сигнатур<br />“Single Pulse” Attack<br />1 - 2 packets<br />Недостатки<br /><ul><li>Отсутствует защита в реальном времени для:
    • 26. Сетевых DDoS
    • 27. Прикладных flood атак
    • 28. Новых атак
    • 29. Ограничение по числу сигнатур
    • 30. Выигрыш в безопасности и проигрыш впроизводительности</li></ul>Преимущества<br />Определение атаки по единичному пакету (“single bullet”)<br />Аккуратное определение<br />Детальчый отчет<br />Page 18<br />
    • 31. RSA – службы Reputation Services<br />Службы IP Reputation Service<br />Внешние службыв реальном времени от стороннего поставщика <br />Моментально блокирует атаки, используя сигнатуры реального времени<br />Преимущества<br />Защищает от:<br />Ботов (Source IP reputation)<br />Распространения Zero-minute malware (Web site reputation)<br />Атак типа социальной инженерии (фишинг и т.д.) (Web site reputation)<br />Спама (Source IP reputation)<br />Легкое внедрение посредством <br /> «Reputation Engine»<br />Slide 19<br />
    • 32. Распространение Zero-Day Malwareи сканирование<br />Безопасная среда<br />Атаки на приложения <br />Атаки DoS/DDoS<br />NBAуровня сетизащита отDDoS<br />NBAуровня пользователя<br />NBA уровня приложения<br />Предотвращение атак – разные уровни защиты<br />Вторжения<br />Механизм проверки репутации<br />IPS – на основе сигнатур<br />Slide 20<br />
    • 33. NBA уровня пользователя <br />Типичный цикл атаки и модули безопасности<br />Сбор информазии и планирование атаки<br />Атака<br />IPS – на основе сигнатур <br />NBAуровня приложения <br />Slide 21<br />
    • 34. Примеры использования <br />
    • 35. Игровой сайт <br />Slide 23<br />Глобальная архитектура<br />Internet<br />Asia DC<br />Europe DC<br />Europe DC<br />Router<br />Router<br />Router<br />DefensePro<br />Inflight<br />ADC<br />ADC<br />ADC<br />Web Servers<br />Web Servers<br />Web Servers<br />
    • 36. ISP-4<br />Remote ISP Peering<br />ISP-A<br />ISP-A<br />ISP-B<br />ISP-B<br /><ul><li>Установка в «разрыв»
    • 37. Защита от:
    • 38. Сетевых DoS атаки аномалий
    • 39. ПрикладныхDoS атак
    • 40. Сканирования и взлома приложений
    • 41. Использования уязвимостей
    • 42. MSSP – защищает своих клиентов</li></ul>Border-Router-2<br />Border-Router-1<br />Active<br />Backup<br />Active<br />Backup<br />ISP-1<br />ISP-3<br />ISP-2<br />Оператор сотовой связи и ISP в Израиле<br />Local ISP Peering<br />
    • 43. Оператор сотовой связи и ISP в Израиле<br />Slide 25<br />Распространение<br />Malware<br />Вторжение<br />Безопасная среда<br />Атаки уровня сервера<br />АтакиDoS/DDoS<br />IPS на основе сигнатур<br />NBAуровня пользователя <br />NBA уровня приложения <br />NBAуровня сети<br />ЗащитаDDoS<br />Архитектура защиты <br />Вне линии<br />В разрыв <br />
    • 44. Финансовая компания, Новостной сайт<br />Решение для дублирования ЦОД <br />Internet<br />Multiple DefensePros<br />Router<br />Access Router<br />ADC Infrastructure <br />Firewall Cluster<br />Анализ поведения:<br /><ul><li>Предотвращение взломов </li></ul>IPS:<br /><ul><li>Профиль уязвимости ЦОД
    • 45. Специальные сигнатуры для фирменных протоколов, используемых при торгах</li></ul>Защита DoS :<br /><ul><li>Предотвращение интенсивных атак DoS/DDoS
    • 46. Предотвращение сканирования сети
    • 47. Предотвращение атак с высоким числом PPS без влияния на легитимный трафик </li></ul>Slide 26<br />
    • 48. Поставщик услуг VoIP<br />Slide 27<br />Сетевая архитектура<br />POP #1<br />POP #3<br />VoIP and DNS servers<br />VoIP and DNS servers<br />Backbone<br />POP #2<br />POP #4<br />VoIP and DNS servers<br />VoIP and DNS servers<br />Page 27<br />
    • 49. Пару слов о наших решениях<br />
    • 50. Решения для безопасности сетей и ЦОД<br />Slide 29<br />NBA<br />Internet<br />Anti Trojan / phishing<br />DoS Protection<br />IPS<br />Access Router<br />Firewall<br />Web Servers<br />Application Servers<br /><ul><li> IPS
    • 51. DoSзащита
    • 52. NBA
    • 53. Anti Trojan, Anti Phishing</li></ul>IPS<br />DoS<br />защита<br />NBA<br />Reputation Engine<br />APSoluteпредупреждение атак для ЦОД<br />
    • 54. Inbound Traffic<br />Initial Filter<br />Real-Time Signature<br />Final Filter<br />Start<br />mitigation<br />10+X<br />Filtered Traffic<br />Outbound Traffic<br />Анализ поведения сети и сигнатуры в реальном времени <br />Mitigation optimization process<br />Public Network<br />Closed feedback<br />3<br />Traffic characteristics <br />Learning<br />Up to 10<br />0<br />Time [sec]<br />Degree of Attack = Low <br />Degree of Attack = High <br />Initial filter is generated:<br />Packet ID <br />Filter Optimization:<br />Packet ID AND Source IP<br />Filter Optimization:<br />Packet ID AND Source IP AND Packet size <br />1<br />2<br />Filter Optimization:<br />Packet ID AND Source IP AND Packet size AND TTL <br />5<br />Detection Engine<br />Blocking Rules<br />Statistics<br />Degree of Attack = Low <br />(Positive Feedback)<br />Degree of Attack = High<br />(Negative Feedback) <br />Signature parameters<br /><ul><li>Source/Destination IP
    • 55. Source/Destination Port
    • 56. Packet size
    • 57. TTL (Time To Live)
    • 58. DNS Query
    • 59. Packet ID
    • 60. TCP sequence number
    • 61. More … (up to 20)</li></ul>Narrowest filters <br /><ul><li>Packet ID
    • 62. Source IP Address
    • 63. Packet size
    • 64. TTL (Time To Live)</li></ul>RT Signatures<br />4<br />LAN<br />Slide 30<br />
    • 65. 5 причин выбрать Radware<br /><ul><li>Полное решение, включающее:</li></ul> IPS, NBA, DoS и RSA<br /><ul><li>Лучшее решение защиты отDDoS
    • 66. NBA : создание сигнатур «на лету»
    • 67. NBA &amp; IPS - Лучшее решение для защиты чувствительной среды SIP
    • 68. Мы - компания которая умеет слушать!</li></ul>Slide 31<br />
    • 69. Спасибо за внимание!<br />

    ×