Презентация для доклада, сделанного в рамках конференции Juniper New Network Day 01.01.2014.
Докладчик -- Senior System Engineer компании Juniper Networks Дмитрий Карякин.
Видеозапись этого доклада с онлайн-трансляции конференции вы можете увидеть здесь: http://www.youtube.com/watch?v=qHJjVrz1Au0
1 . Volumetric Attacks: These attacks attempt to consume the bandwidth either within the target network or service, or between the target network or service and the rest of the Internet . These attacks are simply about causing congestion .2. TCP State-Exhaustion Attacks: These attacks attempt to consume the connection state tables that are present in many infrastructure components, such as load balancers, firewalls and the application servers themselves . They can take down even high-capacity devices capable of maintaining state on millions of connections .3. Application-Layer Attacks: These target some aspect of an application or service at Layer 7 . They are the most sophisticated, stealthy attacks because they can be very effective with as few as one attacking machine generating a low traffic rate . This makes these attacks very difficult to proactively detect with traditional flow-based monitoring solutions . To effectively detect and mitigate this type of attack in real time, it is necessary to deploy an in-line or other packet-based component to your DDoS defense .
Javasriptинтегрируются в компроментированные сайты, когда пользователь запрашивает страницу, в фоновом режиме браузер начинает генерировать запросы к атакуемой цели.10февраля 2014 года облачный провайдер CloudFlareпредотвратил атаку 400Гбит/с, которая была направлена на одного из его клиентов. Это был NTP amplification, суть которого заключается в том, чтобы с поддельного ip-адреса отправить запрос monlistна различные NTP-серверы. Запрос monlistвозвращает список из последних 600 клиентов NTPdсервера, генерируя при этом в сторону жертвы большое количество UDP трафика.Атаки aplificationтакже подвержены и другие протоколы, например, chargen, snmp
Сейчас мобильные приложения могут содержать вредоносный код, который генерирует запросы, да и появились специализированные приложения для осуществления DDoSатак.
Где наилучшее место для фильтрации и инспектирования трафика?Как обеспечить синхронизацию правил фильтрации по всей сети?Как применить распределенный метод фильтрации трафика максимально приближенному к источнику атакующих хостов или апстриму?Как внедрить перенаправление подозрительного трафика на централизованную систему инспектирования?
В основном инспекция и фильтрация трафика обеспечивается на границе сети: между сетями, на границах сайтов, между административными доменами и другими искусственными границами.Не навредиУгрозы безопасности могут быть не только снаружи, но и изнутриИндивидуальное управление каждым устройством может повлиять на возникновение дополнительных проблем, а также значительно увеличивает время реакции на атакиНе только на одной границе, но иметь возможность фильтровать трафик на любом маршрутизаторе
BCP38 предполагает фильтрацию исходящих IP адресов, находящихся вне диапазона зарегистрированных IP адресовBCP84 предполагает использование механизма uRPF, который на основе таблицы FIB определяет может ли пакет с определенным адресом отправителя быть принят на конкретном сетевом интерфейсе.Обе рекомендации BCP применяются для борьбы со спуфингом. Большинство объемных атак основаны именно на спуфинге.Данный механизм имеет некоторые недостатки: в случае использования ассиметричной маршрутизации легитимный трафик может быть отфильтрован. Режим feasible несколько решает эту проблему, который учитывает не только лучший маршрут, но и всех других возможных маршрутов.Классические ACL также имеют некоторые недостатки: устанавливаются индивидуально на каждом устройстве, централизованное управление возможно только через внешнюю систему управления, большое время установки и удаления правил, возможность установки правил только в одном административном домене.
Normal Internet traffic flows through the DDoS Secure Appliance, while the software analyses the type, origin, flow, data rate, sequencing, style and protocol being utilised by all inbound and outbound traffic. The analysis is heuristic in nature and adjusts over time but is applied in real time, with minimal (store and forward) latency.
Simple example: real human traffic typically bursty and irregular; machine/bot traffic is regularAlgorithms updated regularly with characteristics of new attacks