SlideShare a Scribd company logo

Современные методы защиты от DDoS атак

Download as PPTX, PDF
SkillFactory
SkillFactory

Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014. Докладчик -- Senior System Engineer компании Juniper Networks Дмитрий Карякин. Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=qHJjVrz1Au0

Technology
1 of 31
Copyright © 2014 Juniper Networks, Inc.1 Copyright © 2014 Juniper Networks, Inc. Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН dkaryakin@juniper.net JNCIE-ENT #428 АПРЕЛЬ 2014
2 Copyright © 2014 Juniper Networks, Inc. НОВОСТИ ПРОШЛОЙ НЕДЕЛИ
3 Copyright © 2014 Juniper Networks, Inc. • 1. Предприятия – 45% • 2. Коммерческие организации – 29% • 3. СМИ и развлечения – 15% • 4. Государственный сектор – 6% • 5. Высокотехнологичный сектор – 5% Статистика из отчета Akamai Q3 2013 РАСПРЕДЕЛЕНИЕ DDOS-АТАК
Copyright © 2014 Juniper Networks, Inc.4 ВЕКТОРЫ DDOS-АТАК МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ «LOW-AND-SLOW» ОБЪЕМНЫЕ АТАКИ «VOLUMETRIC» АТАКА НА ИНФРАСТРУКТУРУ • TCP SYN, ACK, RST; ICMP, UDP flood • Целью атаки является перегрузка каналов связи и сетевых устройств • В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus) • Фиксируется значительный рост мощности атак • Несложно детектируются АТАКА НА ПРИЛОЖЕНИЯ • HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC • Целью является перегрузка слабых элементов сетевых сервисов • Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти • Имеют сложные алгоритмы и трудно детектируются • Небольшой объем запросов может вывести из строя большой веб-сайт
Copyright © 2014 Juniper Networks, Inc.5 ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК • HTTP reflection attack • NTP, DNS amplification • SSL Renegotiation • HTTP GET/POST flood • HTTP slow request, read • SIP Call-Control Flood • TCP State-Exhaustion attacks • TCP SYN, ICMP, UDP flood ACK Chargen Fin Push DNS ICMP Reset RP SYN SYN Push TCP Fragment UDP Flood UDP Fragment HTTP GET HEAD NTP HTTP POST Push SSL Post Векторы атак Q4 2013
6 Copyright © 2013 Juniper Networks, Inc. В порядке популярности применения для атак на приложения ИНСТРУМЕНТЫ • Slowloris • Low Orbit ION Cannon (LOIC) • Apache Killer • High Orbit ION Cannon • nkiller2 • Hulk • R.U.D.Y • Recoil
7 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
8 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
9 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
10 Copyright © 2014 Juniper Networks, Inc. ЗАЩИТА ОТ DDOS АТАК • ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА • ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ Internet Site DREN Site Site Site Peer Site Site
11 Copyright © 2014 Juniper Networks, Inc. ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ • «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом • Фильтрация должна быть не только на границе, но и в любой точке сети • Централизованное управление правилами фильтрации • Подозрительный трафик должен быть перенаправлен на карантин в контексте всей сети Internet
12 Copyright © 2014 Juniper Networks, Inc. КЛАССИЧЕСКИЙ ПОДХОД • Access Control List (ACL) • BCP38 «Network Ingress Filtering» (Май 2000) • BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004) • uRPF – Unicast Reverse Path Forwarding • uRPF active-paths / feasible-path
13 Copyright © 2013 Juniper Networks, Inc. Штатный режим работы Destination based Remotely Triggered Black Hole D-RTBH
14 Copyright © 2013 Juniper Networks, Inc. Возникновение DDoS-атаки на веб-сервер Destination based Remotely Triggered Black Hole D-RTBH
15 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика специфичным маршрутом Destination based Remotely Triggered Black Hole D-RTBH
16 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик в сеть успешно заблокирован • Блокируются легитимные запросы к сервису с заданным IP • Злоумышленник достигает цель причинения ущерба ресурсу • Работа Destination based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Мониторинг идентификации атаки • Контроль специфичного маршрута внутри общего префикса • Наличие правила обработки BGP community (в примере «65001:666») Результат D-RTBH
17 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик блокируется от заданного IP источника • Блокируются легитимные запросы в сеть оператора с заданного IP • Остальные запросы не блокируются и достигают сеть • Работа Source based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Включенного uRPF на интерфейсе источника DDoS трафика • Мониторинг идентификации атаки • Наличие правила обработки BGP community • Применимо между доверенными сетями Source based Remotely Triggered Black Hole (RFC 5636) S-RTBH
18 Copyright © 2013 Juniper Networks, Inc. • Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP • DDoS трафик обрабатывается с высокой гранулярностью • Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag, packet lengh, DSCP, Fragment • Действия: сброс, ограничение, перенаправление в VRF, маркировка • Работа BGP Flow Spec требует • Мониторинг идентификации атаки RFC 5575 – Расширение NLRI для BGP BGP FLOW SPEC
19 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика анонсом правила PBR ИДЕАЛЬНАЯ СХЕМА BGP FLOW SPEC
20 Copyright © 2013 Juniper Networks, Inc. • Отсутствие доверия между операторами и клиентами • Включение inetflow на eBGP – это большой риск безопасности • Что необходимо сделать? • Централизованный inetflow speaker внутри доверенной сети • Inetflow speaker на основе интеллектуальных систем предотвращения DDoS атак (IDMS) ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ? BGP FLOW SPEC
Copyright © 2014 Juniper Networks, Inc.21 Статистика из отчета Arbor Networks, Inc за 2014 год. ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS
Copyright © 2014 Juniper Networks, Inc.22 Пороги сброса Netflow анилиз ЭВОЛЮЦИЯ DDOS АТАК Сигнатурные очистители трафика ВОЗНИКНОВЕНИЕ УГРОЗЫНезаметность Новизна Известные Неизвестные VolumetricLow-and-slow Проблема: ручное управление порогами для IP в динамических сетях Проблема: Создание сигнатур для новых атак Проблема: Поддержка существующих сигнатур атак
Copyright © 2014 Juniper Networks, Inc.23 JUNOS DDOS SECURE Предотвращение атак «volumetric» и «Low and Slow» на приложения Эвристический анализ Легитимный трафик Трафик DDoS атаки Легитимный трафик Преимущества Комплексное Анти-DDoS решение • Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения • Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик • Эффективен на 80% через 10 мин. после установки • Эффективен на 99.999% через 6-12 часов • Динамическая безсигнатурная эвристическая технология • Не требуется подстройка порогов сброса • Гибкие варианты развертывания: физическое устройство или виртуальная машина
Copyright © 2014 Juniper Networks, Inc.24 Оценка риска каждого IP-источника в реальном времени АЛГОРИТМ «CHARM» • Проверка пакетов на предустановленные RFC фильтры • Пакеты неправильного формата или неверной последовательности сбрасываются • Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения • Трафик сбрасывается ниже динамически определенного порога CHARM • Погори определяются анализом сессий 0 100 Исходное значение 50 Человеческое поведение Механистическое поведение Каждый пакет
Copyright © 2014 Juniper Networks, Inc.25 ЗАЩИТА СЕРВИСОВ DNS RESOLVER Измерение отклика приложенияJDDS SRX DNS Resolvers Встроенная инспекция Измерение входящего трафика Устраняет атаки DNS reflection 1 2 3 • Включен как прозрачный L2-мост • Измеряет входящие и исходящие потоки • Отслеживает DNS-записи по доменам • Отслеживает ответы и активность рекурсивных запросов • HTTP • HTTPS (SSL & TLS) • DNS • VoIP / SIP Juniper DDoS Secure (JDDS) Поддержка приложений
Copyright © 2014 Juniper Networks, Inc.26 SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА • Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока • Параллельный процесс программной обработки для минимизации задержки передачи пакетов • Поддерживается на аппаратном и виртуальном устройстве • Опционально карта аппаратного ускорения для физического устройства Декабрь 2013 Функциональность Преимущества • Шифрование не используется как маска для подвинутых атак • Улучшенная защита от «low and slow» атак уровня приложений • Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS
Copyright © 2014 Juniper Networks, Inc.27 ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ) • Структурированный Syslog формат для интеграции в SIEM • Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления • Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight • Поддерживается на аппаратном и виртуальном устройстве • Организация, интеграция и управление развернутыми JDDS устройствами в сети • Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность • Визуализация аномалий трафика в сети на ранней стадии возникновения Декабрь 2013 Функциональность Преимущества
Copyright © 2014 Juniper Networks, Inc.28 ИНТЕГРАЦИЯ JDDOS В СЕТЬ • Решение должно быть контекстным • Модель детектирования на уровне приложений • Поддержка BGP S-RTBH • Поддержка BGP Flow Spec (2H 2015) • Блокирование и сброс трафика • Переадресация подозрительного трафика в выделенный VPN • Фильтрация Data Center / Customers JDDS – Data Center Internet BGP S/RTBH BGP FlowSpec - Filter - Redirect - Ratelimit
Copyright © 2014 Juniper Networks, Inc.29 • Low-and-slow и volumetric • Без сигнатур: блокирует новые атаки • Нет необходимости подстройки пороговых значений DDoS Secure • Обман злоумышленников • Отсутствие ложных срабатываний • Нет необходимости подстройки и изменения web-приложений WebApp Secure • Межсетевые экраны высокого класса • Масштабируются до уровня ЦОД • Интеграция с WebApp Secure SRX Firewall БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД Spotlight Secure • Глобальная система отпечатков атакующих
Copyright © 2014 Juniper Networks, Inc.30 АЛЬЯНС JUNIPER И VERISIGN Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями + Март 2014
Copyright © 2014 Juniper Networks, Inc.31 Copyright © 2013 Juniper Networks, Inc. ВОПРОСЫ?

Recommended

Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
Анализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атакАнализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
SkillFactory
 
DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраDDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
 

Recommended

Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Защищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атакЗащищаем сеть от DDoS-атак
Защищаем сеть от DDoS-атак
SkillFactory
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
Анализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атакАнализ рынка средств и сервисов защиты от DDoS-атак
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
SkillFactory
 
DDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтраDDoS-атаки вчера, сегодня, завтра
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDNИнтеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Cisco Russia
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
SkillFactory
 
Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
Cisco Russia
 
Новые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNGНовые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNG
Cisco Russia
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000
Cisco Russia
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОД
Cisco Russia
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
SkillFactory
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?
SkillFactory
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
Expolink
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
Cisco Russia
 
Учет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сети
Cisco Russia
 
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связиСпецифика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
Cisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Cisco Russia
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 Networks
BAKOTECH
 
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
BAKOTECH
 
Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей Skype
SkillFactory
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасности
Cisco Russia
 
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услугРешения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Cisco Russia
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
SkillFactory
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
SkillFactory
 

More Related Content

What's hot

Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОД
Cisco Russia
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
Cisco Russia
 
Учет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сети
Cisco Russia
 
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связиСпецифика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
Cisco Russia
 

What's hot (20)

Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
 
Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
 
Новые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNGНовые перспективы Cisco ASR 9000 в роли BNG
Новые перспективы Cisco ASR 9000 в роли BNG
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000
 
Архитектура защищенного ЦОД
Архитектура защищенного ЦОДАрхитектура защищенного ЦОД
Архитектура защищенного ЦОД
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
 
Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?Как правильно выбрать Cisco VPN?
Как правильно выбрать Cisco VPN?
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
 
Учет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сетиУчет и управление IP-ресурсами сети
Учет и управление IP-ресурсами сети
 
Специфика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связиСпецифика применения семейства продуктов Prime в мобильных операторах связи
Специфика применения семейства продуктов Prime в мобильных операторах связи
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 Networks
 
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
Позиции F5 Networks на рынке Восточной Европы и СНГ. Успехи 2014 года.
 
Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей Skype
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасности
 
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услугРешения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
 

Viewers also liked

A10 issa d do s 5-2014
A10 issa d do s 5-2014A10 issa d do s 5-2014
A10 issa d do s 5-2014
Raleigh ISSA
 
DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать
Qrator Labs
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность
Yandex
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
SkillFactory
 

Viewers also liked (18)

MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End Convergence
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemes
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее время
 
Обеспечение безопасности сети оператора связи с помощью BGP FlowSpec
Обеспечение безопасности сети оператора связи с помощью BGP FlowSpecОбеспечение безопасности сети оператора связи с помощью BGP FlowSpec
Обеспечение безопасности сети оператора связи с помощью BGP FlowSpec
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
DDoS-bdNOG
DDoS-bdNOGDDoS-bdNOG
DDoS-bdNOG
 
Cisco APIC-EM – реализация концепции SDN в корпоративных сетях
Cisco APIC-EM – реализация концепции SDN в корпоративных сетяхCisco APIC-EM – реализация концепции SDN в корпоративных сетях
Cisco APIC-EM – реализация концепции SDN в корпоративных сетях
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сети
 
Пять секретов оптимальной настройки цифровой АТС Cisco UCM
Пять секретов оптимальной настройки цифровой АТС Cisco UCMПять секретов оптимальной настройки цифровой АТС Cisco UCM
Пять секретов оптимальной настройки цифровой АТС Cisco UCM
 
A10 issa d do s 5-2014
A10 issa d do s 5-2014A10 issa d do s 5-2014
A10 issa d do s 5-2014
 
Yac2013 lyamin-ddos
Yac2013 lyamin-ddosYac2013 lyamin-ddos
Yac2013 lyamin-ddos
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
 
DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать
 
Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность Антон Карпов - Сетевая безопасность
Антон Карпов - Сетевая безопасность
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 

Similar to Современные методы защиты от DDoS атак

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
Expolink
 
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасностьNominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Михаил Новиков
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
Positive Hack Days
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
Cisco Russia
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
Expolink
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДа
Aleksey Lukatskiy
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Russia
 
опыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасностиопыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасности
Expolink
 

Similar to Современные методы защиты от DDoS атак (20)

Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
 
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасностьNominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Listovka cyren2-web
Listovka cyren2-webListovka cyren2-web
Listovka cyren2-web
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДа
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
 
опыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасностиопыт построения крупных Vpn сетей на оборудовании код безопасности
опыт построения крупных Vpn сетей на оборудовании код безопасности
 
Новая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNAНовая эра управления и работы корпоративной сети с Cisco DNA
Новая эра управления и работы корпоративной сети с Cisco DNA
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI AnywhereИнновационное SDN решение для ЦОД Cisco ACI Anywhere
Инновационное SDN решение для ЦОД Cisco ACI Anywhere
 
Решения Brocade для построения IP сетей будущего
Решения Brocade для построения IP сетей будущегоРешения Brocade для построения IP сетей будущего
Решения Brocade для построения IP сетей будущего
 
Комплексная система предотвращения вторжений нового поколения SourceFire Fire...
Комплексная система предотвращения вторжений нового поколения SourceFire Fire...Комплексная система предотвращения вторжений нового поколения SourceFire Fire...
Комплексная система предотвращения вторжений нового поколения SourceFire Fire...
 
Программно-определяемый ЦОД сегодня — строим, управляем, резервируем
Программно-определяемый ЦОД сегодня — строим, управляем, резервируемПрограммно-определяемый ЦОД сегодня — строим, управляем, резервируем
Программно-определяемый ЦОД сегодня — строим, управляем, резервируем
 

More from SkillFactory

Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
SkillFactory
 
Как превратить маршрутизатор Cisco в межсетевой экран?
Как превратить маршрутизатор Cisco в межсетевой экран?Как превратить маршрутизатор Cisco в межсетевой экран?
Как превратить маршрутизатор Cisco в межсетевой экран?
SkillFactory
 

More from SkillFactory (17)

Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугроз
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинар
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинар
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнима
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
 
Cisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойцаCisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойца
 
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red HatНужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
 
Windows Server 2012: учимся безопасности передачи данных с помощью AD СS
Windows Server 2012: учимся безопасности передачи данных с помощью AD СSWindows Server 2012: учимся безопасности передачи данных с помощью AD СS
Windows Server 2012: учимся безопасности передачи данных с помощью AD СS
 
Настройка маршрутизаторов Juniper серии MX
Настройка маршрутизаторов Juniper серии MXНастройка маршрутизаторов Juniper серии MX
Настройка маршрутизаторов Juniper серии MX
 
Cоздаем облачную среду на базе open-sourсe решения OpenStack
Cоздаем облачную среду на базе open-sourсe решения OpenStackCоздаем облачную среду на базе open-sourсe решения OpenStack
Cоздаем облачную среду на базе open-sourсe решения OpenStack
 
10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома10 уязвимостей в ваших данных: методы взлома
10 уязвимостей в ваших данных: методы взлома
 
Как превратить маршрутизатор Cisco в межсетевой экран?
Как превратить маршрутизатор Cisco в межсетевой экран?Как превратить маршрутизатор Cisco в межсетевой экран?
Как превратить маршрутизатор Cisco в межсетевой экран?
 
Как стать сетевым инженером за 90 дней
Как стать сетевым инженером за 90 днейКак стать сетевым инженером за 90 дней
Как стать сетевым инженером за 90 дней
 
Корпоративный Linux: осваиваем с нуля Red Hat Enterprise Linux
Корпоративный Linux: осваиваем с нуля Red Hat Enterprise LinuxКорпоративный Linux: осваиваем с нуля Red Hat Enterprise Linux
Корпоративный Linux: осваиваем с нуля Red Hat Enterprise Linux
 

Современные методы защиты от DDoS атак

  • 1. Copyright © 2014 Juniper Networks, Inc.1 Copyright © 2014 Juniper Networks, Inc. Современные методы защиты от DDoS атак ДМИТРИЙ КАРЯКИН dkaryakin@juniper.net JNCIE-ENT #428 АПРЕЛЬ 2014
  • 2. 2 Copyright © 2014 Juniper Networks, Inc. НОВОСТИ ПРОШЛОЙ НЕДЕЛИ
  • 3. 3 Copyright © 2014 Juniper Networks, Inc. • 1. Предприятия – 45% • 2. Коммерческие организации – 29% • 3. СМИ и развлечения – 15% • 4. Государственный сектор – 6% • 5. Высокотехнологичный сектор – 5% Статистика из отчета Akamai Q3 2013 РАСПРЕДЕЛЕНИЕ DDOS-АТАК
  • 4. Copyright © 2014 Juniper Networks, Inc.4 ВЕКТОРЫ DDOS-АТАК МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ «LOW-AND-SLOW» ОБЪЕМНЫЕ АТАКИ «VOLUMETRIC» АТАКА НА ИНФРАСТРУКТУРУ • TCP SYN, ACK, RST; ICMP, UDP flood • Целью атаки является перегрузка каналов связи и сетевых устройств • В марте 2013 зафиксирована атака, мощностью 300 Гбит/с (Spamhaus) • Фиксируется значительный рост мощности атак • Несложно детектируются АТАКА НА ПРИЛОЖЕНИЯ • HTTP, HTTPS, DNS, SMTP, SIP/VoIP, IRC • Целью является перегрузка слабых элементов сетевых сервисов • Составляет 25% от всех DDoS-атак (Gartner) и продолжает расти • Имеют сложные алгоритмы и трудно детектируются • Небольшой объем запросов может вывести из строя большой веб-сайт
  • 5. Copyright © 2014 Juniper Networks, Inc.5 ТЕХНОЛОГИИ РЕАЛИЗАЦИИ АТАК • HTTP reflection attack • NTP, DNS amplification • SSL Renegotiation • HTTP GET/POST flood • HTTP slow request, read • SIP Call-Control Flood • TCP State-Exhaustion attacks • TCP SYN, ICMP, UDP flood ACK Chargen Fin Push DNS ICMP Reset RP SYN SYN Push TCP Fragment UDP Flood UDP Fragment HTTP GET HEAD NTP HTTP POST Push SSL Post Векторы атак Q4 2013
  • 6. 6 Copyright © 2013 Juniper Networks, Inc. В порядке популярности применения для атак на приложения ИНСТРУМЕНТЫ • Slowloris • Low Orbit ION Cannon (LOIC) • Apache Killer • High Orbit ION Cannon • nkiller2 • Hulk • R.U.D.Y • Recoil
  • 7. 7 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
  • 8. 8 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
  • 9. 9 Copyright © 2014 Juniper Networks, Inc. АТАКИ LOW-AND-SLOW • Slow-rate HTTP GET • Slow-rate HTTP POST • Slow-rate HTTP Read
  • 10. 10 Copyright © 2014 Juniper Networks, Inc. ЗАЩИТА ОТ DDOS АТАК • ФИЛЬТРАЦИЯ НЕЖЕЛАТЕЛЬНОГО ТРАФИКА • ДЕТЕКТИРОВАНИЕ АНОМАЛИЙ Internet Site DREN Site Site Site Peer Site Site
  • 11. 11 Copyright © 2014 Juniper Networks, Inc. ТРЕБОВАНИЯ К ФИЛЬТРАЦИИ • «Не навреди» - ни одно решение не должно порождать новые проблемы безопасности и работоспособности сети в целом • Фильтрация должна быть не только на границе, но и в любой точке сети • Централизованное управление правилами фильтрации • Подозрительный трафик должен быть перенаправлен на карантин в контексте всей сети Internet
  • 12. 12 Copyright © 2014 Juniper Networks, Inc. КЛАССИЧЕСКИЙ ПОДХОД • Access Control List (ACL) • BCP38 «Network Ingress Filtering» (Май 2000) • BCP84 «Ingress Filtering for Multihomed Networks» (Март 2004) • uRPF – Unicast Reverse Path Forwarding • uRPF active-paths / feasible-path
  • 13. 13 Copyright © 2013 Juniper Networks, Inc. Штатный режим работы Destination based Remotely Triggered Black Hole D-RTBH
  • 14. 14 Copyright © 2013 Juniper Networks, Inc. Возникновение DDoS-атаки на веб-сервер Destination based Remotely Triggered Black Hole D-RTBH
  • 15. 15 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика специфичным маршрутом Destination based Remotely Triggered Black Hole D-RTBH
  • 16. 16 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик в сеть успешно заблокирован • Блокируются легитимные запросы к сервису с заданным IP • Злоумышленник достигает цель причинения ущерба ресурсу • Работа Destination based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Мониторинг идентификации атаки • Контроль специфичного маршрута внутри общего префикса • Наличие правила обработки BGP community (в примере «65001:666») Результат D-RTBH
  • 17. 17 Copyright © 2013 Juniper Networks, Inc. • DDoS трафик блокируется от заданного IP источника • Блокируются легитимные запросы в сеть оператора с заданного IP • Остальные запросы не блокируются и достигают сеть • Работа Source based RTBH требует: • Сконфигурированного «discard route» на каждом пограничном маршрутизаторе • Включенного uRPF на интерфейсе источника DDoS трафика • Мониторинг идентификации атаки • Наличие правила обработки BGP community • Применимо между доверенными сетями Source based Remotely Triggered Black Hole (RFC 5636) S-RTBH
  • 18. 18 Copyright © 2013 Juniper Networks, Inc. • Применяется для распространения правил Policy Based Routing с помощью существующей инфраструктуры MP-BGP • DDoS трафик обрабатывается с высокой гранулярностью • Критерии: src/dst prefix, IP protocol, src/dst port, ICMP type/code, TCP flag, packet lengh, DSCP, Fragment • Действия: сброс, ограничение, перенаправление в VRF, маркировка • Работа BGP Flow Spec требует • Мониторинг идентификации атаки RFC 5575 – Расширение NLRI для BGP BGP FLOW SPEC
  • 19. 19 Copyright © 2013 Juniper Networks, Inc. Блокирование трафика анонсом правила PBR ИДЕАЛЬНАЯ СХЕМА BGP FLOW SPEC
  • 20. 20 Copyright © 2013 Juniper Networks, Inc. • Отсутствие доверия между операторами и клиентами • Включение inetflow на eBGP – это большой риск безопасности • Что необходимо сделать? • Централизованный inetflow speaker внутри доверенной сети • Inetflow speaker на основе интеллектуальных систем предотвращения DDoS атак (IDMS) ПОЧЕМУ ЭТО НЕ РАБОТАЕТ В РЕАЛЬНОЙ ЖИЗНИ? BGP FLOW SPEC
  • 21. Copyright © 2014 Juniper Networks, Inc.21 Статистика из отчета Arbor Networks, Inc за 2014 год. ТЕХНОЛОГИИ ПРЕДОТВРАЩЕНИЯ DDOS
  • 22. Copyright © 2014 Juniper Networks, Inc.22 Пороги сброса Netflow анилиз ЭВОЛЮЦИЯ DDOS АТАК Сигнатурные очистители трафика ВОЗНИКНОВЕНИЕ УГРОЗЫНезаметность Новизна Известные Неизвестные VolumetricLow-and-slow Проблема: ручное управление порогами для IP в динамических сетях Проблема: Создание сигнатур для новых атак Проблема: Поддержка существующих сигнатур атак
  • 23. Copyright © 2014 Juniper Networks, Inc.23 JUNOS DDOS SECURE Предотвращение атак «volumetric» и «Low and Slow» на приложения Эвристический анализ Легитимный трафик Трафик DDoS атаки Легитимный трафик Преимущества Комплексное Анти-DDoS решение • Детектирование и минимизация мультивекторных DDoS атак, включая определенные приложения • Обеспечивает доступность ресурсов для легитимных пользователей, блокируя нежелательный трафик • Эффективен на 80% через 10 мин. после установки • Эффективен на 99.999% через 6-12 часов • Динамическая безсигнатурная эвристическая технология • Не требуется подстройка порогов сброса • Гибкие варианты развертывания: физическое устройство или виртуальная машина
  • 24. Copyright © 2014 Juniper Networks, Inc.24 Оценка риска каждого IP-источника в реальном времени АЛГОРИТМ «CHARM» • Проверка пакетов на предустановленные RFC фильтры • Пакеты неправильного формата или неверной последовательности сбрасываются • Каждому IP-источника назначается индивидуальное значение CHARM на основе поведения • Трафик сбрасывается ниже динамически определенного порога CHARM • Погори определяются анализом сессий 0 100 Исходное значение 50 Человеческое поведение Механистическое поведение Каждый пакет
  • 25. Copyright © 2014 Juniper Networks, Inc.25 ЗАЩИТА СЕРВИСОВ DNS RESOLVER Измерение отклика приложенияJDDS SRX DNS Resolvers Встроенная инспекция Измерение входящего трафика Устраняет атаки DNS reflection 1 2 3 • Включен как прозрачный L2-мост • Измеряет входящие и исходящие потоки • Отслеживает DNS-записи по доменам • Отслеживает ответы и активность рекурсивных запросов • HTTP • HTTPS (SSL & TLS) • DNS • VoIP / SIP Juniper DDoS Secure (JDDS) Поддержка приложений
  • 26. Copyright © 2014 Juniper Networks, Inc.26 SSL ИНСПЕКЦИЯ HTTPS (SSL & TLS) ТРАФИКА • Расшифровка и инспекция трафика зашифрованного трафика без нарушения транспортного потока • Параллельный процесс программной обработки для минимизации задержки передачи пакетов • Поддерживается на аппаратном и виртуальном устройстве • Опционально карта аппаратного ускорения для физического устройства Декабрь 2013 Функциональность Преимущества • Шифрование не используется как маска для подвинутых атак • Улучшенная защита от «low and slow» атак уровня приложений • Улучшенная защита от «volumetric» атак, нацеленных на серверы HTTPS
  • 27. Copyright © 2014 Juniper Networks, Inc.27 ИНТЕГРАЦИЯ В SIEM (УПРАВЛЕНИЕ) • Структурированный Syslog формат для интеграции в SIEM • Поддержка форматов логирования LEAF, Syslog и Arcsight для упрощения интеграции в системы управления • Juniper Secure Analytics (ранее STRM), Webtrends и Arcsight • Поддерживается на аппаратном и виртуальном устройстве • Организация, интеграция и управление развернутыми JDDS устройствами в сети • Структурированное логирование обеспечивает улучшенное визуальное восприятие и отчетность • Визуализация аномалий трафика в сети на ранней стадии возникновения Декабрь 2013 Функциональность Преимущества
  • 28. Copyright © 2014 Juniper Networks, Inc.28 ИНТЕГРАЦИЯ JDDOS В СЕТЬ • Решение должно быть контекстным • Модель детектирования на уровне приложений • Поддержка BGP S-RTBH • Поддержка BGP Flow Spec (2H 2015) • Блокирование и сброс трафика • Переадресация подозрительного трафика в выделенный VPN • Фильтрация Data Center / Customers JDDS – Data Center Internet BGP S/RTBH BGP FlowSpec - Filter - Redirect - Ratelimit
  • 29. Copyright © 2014 Juniper Networks, Inc.29 • Low-and-slow и volumetric • Без сигнатур: блокирует новые атаки • Нет необходимости подстройки пороговых значений DDoS Secure • Обман злоумышленников • Отсутствие ложных срабатываний • Нет необходимости подстройки и изменения web-приложений WebApp Secure • Межсетевые экраны высокого класса • Масштабируются до уровня ЦОД • Интеграция с WebApp Secure SRX Firewall БЛОКИРОВКА НЕОПОЗНАННЫХ УГРОЗ ДЛЯ ЦОД Spotlight Secure • Глобальная система отпечатков атакующих
  • 30. Copyright © 2014 Juniper Networks, Inc.30 АЛЬЯНС JUNIPER И VERISIGN Тесно связанные решения обеспечивают инновационную L3-L7 защиту от DDoS, основанные на эвристических методах Комплексная защита от DDoS атак минимизирует вовлеченность конечных пользователей и заказчиков Совместная работа над разработкой open source стандартов интеллектуальной интеграции между облачными и локальными решениями + Март 2014
  • 31. Copyright © 2014 Juniper Networks, Inc.31 Copyright © 2013 Juniper Networks, Inc. ВОПРОСЫ?

Editor's Notes

  1. 1 . Volumetric Attacks: These attacks attempt to consume the bandwidth either within the target network or service, or between the target network or service and the rest of the Internet . These attacks are simply about causing congestion .2. TCP State-Exhaustion Attacks: These attacks attempt to consume the connection state tables that are present in many infrastructure components, such as load balancers, firewalls and the application servers themselves . They can take down even high-capacity devices capable of maintaining state on millions of connections .3. Application-Layer Attacks: These target some aspect of an application or service at Layer 7 . They are the most sophisticated, stealthy attacks because they can be very effective with as few as one attacking machine generating a low traffic rate . This makes these attacks very difficult to proactively detect with traditional flow-based monitoring solutions . To effectively detect and mitigate this type of attack in real time, it is necessary to deploy an in-line or other packet-based component to your DDoS defense .
  2. Javasriptинтегрируются в компроментированные сайты, когда пользователь запрашивает страницу, в фоновом режиме браузер начинает генерировать запросы к атакуемой цели.10февраля 2014 года облачный провайдер CloudFlareпредотвратил атаку 400Гбит/с, которая была направлена на одного из его клиентов. Это был NTP amplification, суть которого заключается в том, чтобы с поддельного ip-адреса отправить запрос monlistна различные NTP-серверы. Запрос monlistвозвращает список из последних 600 клиентов NTPdсервера, генерируя при этом в сторону жертвы большое количество UDP трафика.Атаки aplificationтакже подвержены и другие протоколы, например, chargen, snmp
  3. Сейчас мобильные приложения могут содержать вредоносный код, который генерирует запросы, да и появились специализированные приложения для осуществления DDoSатак.
  4. Где наилучшее место для фильтрации и инспектирования трафика?Как обеспечить синхронизацию правил фильтрации по всей сети?Как применить распределенный метод фильтрации трафика максимально приближенному к источнику атакующих хостов или апстриму?Как внедрить перенаправление подозрительного трафика на централизованную систему инспектирования?
  5. В основном инспекция и фильтрация трафика обеспечивается на границе сети: между сетями, на границах сайтов, между административными доменами и другими искусственными границами.Не навредиУгрозы безопасности могут быть не только снаружи, но и изнутриИндивидуальное управление каждым устройством может повлиять на возникновение дополнительных проблем, а также значительно увеличивает время реакции на атакиНе только на одной границе, но иметь возможность фильтровать трафик на любом маршрутизаторе
  6. BCP38 предполагает фильтрацию исходящих IP адресов, находящихся вне диапазона зарегистрированных IP адресовBCP84 предполагает использование механизма uRPF, который на основе таблицы FIB определяет может ли пакет с определенным адресом отправителя быть принят на конкретном сетевом интерфейсе.Обе рекомендации BCP применяются для борьбы со спуфингом. Большинство объемных атак основаны именно на спуфинге.Данный механизм имеет некоторые недостатки: в случае использования ассиметричной маршрутизации легитимный трафик может быть отфильтрован. Режим feasible несколько решает эту проблему, который учитывает не только лучший маршрут, но и всех других возможных маршрутов.Классические ACL также имеют некоторые недостатки: устанавливаются индивидуально на каждом устройстве, централизованное управление возможно только через внешнюю систему управления, большое время установки и удаления правил, возможность установки правил только в одном административном домене.
  7. Normal Internet traffic flows through the DDoS Secure Appliance, while the software analyses the type, origin, flow, data rate, sequencing, style and protocol being utilised by all inbound and outbound traffic. The analysis is heuristic in nature and adjusts over time but is applied in real time, with minimal (store and forward) latency.
  8. Simple example: real human traffic typically bursty and irregular; machine/bot traffic is regularAlgorithms updated regularly with characteristics of new attacks