УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
Развитие сервисов по защите от DDos атак
1. #CODEIB
«Развитие сервисов по
защите от DDoS атак: Взгляд
со стороны оператора связи»
Карпузиков Александр
Руководитель направления
г. Екатеринбург, 03.09.2015
2. #CODEIB
О компании
РОСТЕЛЕКОМ В ЦИФРАХ
28 000 000 абонентов фиксированной голосовой связи
11 200 000
абонентов широкополосного доступа в
Интернет
8 200 000 абонентов платного телевидения
80 региональных филиалов
2 500 точек продаж и обслуживания
160 000 сотрудников
больше
50%
акций компании контролирует государство
2
3. #CODEIB
Как происходят DDoS атаки?
3
Публичная сеть Интернет
Публичная сеть Интернет
B
1Страна
2Страна 3Страна
B
Клиент
Провайдер
B B
B
B
B
B
B
B
Controller
Connects
Botnet master
инициирует команду
атаковать
BM
Центр
управления
атакой
Атака Ботов
Ресурс
Клиента
5. #CODEIB
Как устроена amplification/reflection атака?
5
NTP
(для
примера)
Серверы, маршрутизаторы,Серверы, маршрутизаторы, CPECPEСерверы, маршрутизаторы,Серверы, маршрутизаторы, CPECPE
172.19.234.6
6. #CODEIB
Как устроена amplification/reflection атака?
6
UDP/80 – UDP/123, ~50
байт/пакет
Источник (спуфинг): 172.19.234.6
Назначение: ряд серверов NTP
NTP запрос: monlist
NTP
серверы
172.19.234.6
7. #CODEIB
Как устроена amplification/reflection атака?
7
NTP
серверы
UDP/123 – UDP/80, ~468 байт
Источник: NTP сервер
Получатель: 172.19.234.6
Ответ: данные о 600 хостах
ОЙ!!!172.19.234.6
8. #CODEIB
Виды DDoS-атак
DDoS на канал связи
• Переполняет :каналы связи
• Во внутренних сетях цели
• Между сетями провайдера и
атакуемой сетью
DDoS TCP- /на стек таблицу сессий
• Атака направленная на устройства связи с
(load balancers, firewalls,контролем состояний
application servers)
• Нацелена на традиционную структуру сетевой
безопасности и на сервера
ISP 2
ISP 1
ISP n
ISP
Firewall IPS
Load
Balancer
Серверы
приложений
DDoS на приложение
• Малозаметные –атаки на приложения
HTTP/DNS/SIP
• Нацелены на определённые уязвимости
приложений
8
11. #CODEIB
Типовое подключение компаний к Интернету
11
DMZ
LAN
>= 50 Mbps
<= 1 Gbps
>= 50 Mbps
<= 1 Gbps
• Control Plane
• Performance
• Control Plane
• Performance
• Statefull
• App
Inspectio
n
• Statefull
• App
Inspectio
n
• WWW
• Mail
• DNS
• VoIP
• VPN
• WWW
• Mail
• DNS
• VoIP
• VPN
доступ в
Интернет
доступ в
Интернет
13. #CODEIB
Схема системы анализа трафика и защиты от DDoS атак
13
Клиент Y
Точка
Пиринга
Маршрутизатор
Ядра
УД
Центр очистки Peakflow TMS
Arbor Peakflow
Arbor Peakflow
УД
Точка
Пиринга
Маршрутизатор
Ядра
Очищенный трафик передаётся в
сеть клиента
Сеть ПД
Ростелеком
Клиент X
В сеть клиента начинает
поступать аномальный трафик
атаки
Активируется система
противодействия атаке, трафик
направляется на очистку
14. #CODEIB
Клиентский портал
Ключевыми функциями
портала являются
оповещение клиента о
начале и окончании атак
При возникновении атаки
предусмотрены три типа
оповещений:
«Зеленое» – небольшое
превышение трафика,
малая вероятность
наличия атаки
«Желтое» – умеренное
превышение, вероятность
наличия атаки средняя
«Красное» – критическое
превышение, совершается
атака
14
16. #CODEIB
Преимущества ОАО «Ростелеком»
• Крупнейшая в Европе инсталляция операторского комплекса защиты
Arbor Peakflow
• позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений
• позволяет отражать атаки емкостью более 2 Тбит/с за счет отражения
атаки на пограничных маршрутизаторах
• Крупнейшая команда специалистов в СНГ по отражению DDoS атак
• 50 инженеров обученных Arbor Peakflow
• опыт отражения атак пиковой производительностью 130 Гбит/с
• ежедневная фильтрация более 15 инцидентов емкостью более 10
Гбит/c
• опыт успешной защиты информационных ресурсов Олимпийских Игр
Сочи 2014
• 2 этапа отражения DDoS атак: на границе сети ОАО «Ростелеком» и
непосредственно на комплексе защиты
16
17. #CODEIB
• Система Arbor ATLAS отслеживает около половины глобального
интернет трафика, что позволяет знать всю текущую информацию по
атакам и противодействию им
• Всем клиентам предоставляется доступ в личный кабинет по
управлению услугой
• Выделенная круглосуточная смена по отражению DDoS атак
• Стоимость услуги не зависит от мощности и количества DDoS-атак
• Единственный оператор связи, имеющий опыт подключения
клиентских устройств защиты от DDoS - Arbor Pravail (опция Cloud-
signaling)
• Емкость российских пиринговых стыков составляет более 1,7 Тбит/с,
международных пиров более 500 Гбит/с, емкость стыков с МН-
апстримами – 700 Гбит/с, что позволяет контролировать существенную
долю интернет трафика в РФ и отражать атаки на границе сети
17
Преимущества ОАО «Ростелеком» (продолжение)
Типовое подключение банка к ISP обычно включает в себя:
Каналы от нескольких независимых операторов связи
Ширина каждого канала от 50 Мбит/с до 1Гбит/с
Наличие собственных системы безопасности: Firewall/IPS/WAF
Смешанный набор сетевых приложений доступных всему Интернет
Доступ сотрудников в интернет осуществляется по этим же каналам
Возможные вектора DDoS-атак:
Канал
Вычислительные ресурсы маршрутизатора и уровень управления маршрутизатора
Statefull устройства безопасности
Вычислительные ресурсы серверов и приложений
Блокировка доступа в интернет для пользователей
Для борьбы с DDoS-атаками Клиенты зачастую устанавливают системы фильтрации трафика у себя на площадке, тем самым они устраняют проблемы связанные с доступность своих ресурсов, НО только в рамках трафика, который не превышает полосу пропускания канала или производительность antiddos устройства.
Отсюда напрашивается очевидный для всех вывод, что бороться ТОЛЬКО на стороне клиента как минимум не эффективно. И для того, чтобы обеспечить полноценную защиту необходимо обеспечивать защиту совместно с оператором связи или специализированных сервисов, на которые перенаправляется трафик Клиента.