SlideShare a Scribd company logo

100Mpps czyli jak radzić sobie z atakami DDoS?

Redge Technologies
Redge Technologies

presented on II Forum Bezpieczeństwa Sieci Technologicznych, 2016

Technology
1 of 15
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS Przemysław Frasunek 24 listopada 2016 r.
DDoS? • DDoS - skoordynowany, rozproszony atak system teleinformatyczny – Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych • komputerów • innych urządzeń IP (routery, kamery CCTV, drukarki itp.) – Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu • Prosty, tani, skuteczny – Dostępny jako usługa (CaaS), nie trzeba być specjalistą – Przystępny cenowo – Cel ataku jest przeciążony i przestaje działać (strona, łącze, serwery) – Nie wiadomo, kto stoi za atakiem
Skala problemu (1)
Skala problemu (2) • 2013 r. – upowszechnienie ataków typu reflected • 2016 r. – upowszechnienie ataków z botnetów IoT • IX 2016: 660 Gb/s ataku na blog Briana Krebsa • IX 2016: 1000 Gb/s sumy jednoczesnych ataków wewnątrz sieci OVH • X 2016: 1200 Gb/s ataku na Dyn (DNS), awaria wpływa na serwisy m.in. Netflix, Paypal, Spotify, Twitter
Dominacja ataków infrastrukturalnych źródła: • Akamai 2016Q3 report • Verisign 2016Q2 report
Pytania do firmowego IT i do ISP • Co się stanie z naszą bieżącą działalnością, jeśli otrzymamy 10, 20, … 100 gigabitów na sekundę ataku DDoS? • Czy separacja urządzeń internetowych od sieci technologicznych jest pełna? • Jaką pojemność ma zastosowane rozwiązanie anty DDoS – lokalne lub u operatora? • Czy blokada ataku polega po prostu na… zablokowaniu celu ataku? (blackholing)
Crime as a service (CaaS)
100G na PC – dlaczego to takie trudne? Aby uzyskać 14,8 mln pakietów na sekundę (port 10Gb/s) potrzebujemy: • 1277 ns na duży pakiet • ~67,2 ns na mały pakiet daje to w uproszczeniu (pomijając zrównoleglanie) około 200 cykli jednego rdzenia współczesnego 3GHz CPU Dla porównania: • L2 cache: ~4 ns, L3 cache: ~8 ns • atomic lock+unlock: 16 ns • cache miss: ~32ns • syscall: 50–100 ns (uwaga na wpływ SELinux)
redGuardian (1) Bardzo wydajny filtr pakietów rozwijany przez Atende Software od 2015 r. • zastosowanie biblioteki Intel DPDK • wykorzystanie mechanizmów dostępnych w nowych CPU Intela (AVX2, DDIO, CAT) • wydajność 100M pps (> 100 Gbps) na pojedynczym serwerze klasy PC • skalowanie liniowe przez partycjonowanie ruchu • klasyfikacja ruchu wg nagłówków IP/TCP/UDP • klasyfikacja wg payloadu • filtry stanowe • rate limiter • interfejs do samplingu (PCAP)
redGuardian (2) Regularny profiling i testy regresyjne #50 test_gre.TestGre.test_frag_after_df ... passed #51 test_gre.TestGre.test_frag_after_large ... passed #52 test_gre.TestGre.test_frag_after_small ... passed #53 test_gre.TestGre.test_frag_before_clear_df ... passed #54 test_gre.TestGre.test_frag_before_df ... passed […] #121 test_statefilter.TestStatefilter.test_hash_dnsid ... passed #122 test_statefilter.TestStatefilter.test_hash_srcip ... passed #123 test_statefilter.TestStatefilter.test_hash_srcport ... passed #124 test_statefilter.TestStatefilter.test_make_tcp_reset ... passed
redGuardian w akcji Reflected DNS Flood 123031 2468.332598000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123035 2468.332848000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 stagg.cpsc.gov MX 5 hormel.cpsc.gov TXT[Unreassembled Packet] 123038 2468.332977000 89.179.69.140 -> x DNS 200 Standard query response 0x1458 A 63.74.109.2 DNSKEY[Unreassembled Packet] 123044 2468.333063000 109.172.131.19 -> x DNS 194 Standard query response 0xca41 NS auth61.ns.uu.net SOA auth00.ns.uu.net NS auth00.ns.uu.net 123047 2468.360474000 109.172.2.110 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet] 123048 2468.360500000 115.42.166.98 -> x DNS 200 Standard query response 0x1458 NS auth61.ns.uu.net NS auth00.ns.uu.net MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123055 2468.360793000 77.122.99.234 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]
Modele wdrożeniowe • BGP scrubbing center – przejęcie ruchu przychodzącego, odbiór tunelem • Lokalne scrubbing center – dosył i odbiór ruchu dedykowanym łączem • Licencja/on-premises – wdrożenie u klienta na sprzęcie własnym lub dostarczonym – testowane u jednego z krajowych ISP
Koncepcja budowy narodowego scrubbing center • Możliwość budowy narodowego/branżowego scrubbing center przeznaczonego do ochrony administracji publicznej i operatorów infrastruktury krytycznej • Podział kosztów zakupu infrastruktury i utrzymania portów w IX • Model realizowany w Holandii, przez stowarzyszenie zrzeszające ISP • Możliwość wykorzystania tanich i wydajnych mechanizmów filtrowania ruchu
Przyszłość • Wzrost liczebności botnetów IoT (źródła Mirai upubliczniono), miliony zapomnianych, nie aktualizowanych urządzeń • Wybór ataków w „IP streserach” zwiększy się • Próby odcinania największych firm oraz całych krajów • Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się wygrać z tym problemem
Dziękuję za uwagę

Recommended

100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. Redge Technologies
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITRedge Technologies
 
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PROIDEA
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPROIDEA
 
HPE 3PAR All Flash
HPE 3PAR All FlashHPE 3PAR All Flash
HPE 3PAR All Flashhpepolska
 

Recommended

100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. Redge Technologies
 
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITRedge Technologies
 
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PROIDEA
 
PLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPLNOG 9: Jacek Skowyra - Carrier Grad NAT
PLNOG 9: Jacek Skowyra - Carrier Grad NATPROIDEA
 
HPE 3PAR All Flash
HPE 3PAR All FlashHPE 3PAR All Flash
HPE 3PAR All Flashhpepolska
 
GlusterFS
GlusterFSGlusterFS
GlusterFSŁukasz Jagiełło
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
 
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PROIDEA
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPROIDEA
 
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKZłam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKSemihalf
 
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PROIDEA
 
Qnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanieQnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanieEIP Sp. z o.o.
 
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PROIDEA
 
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PROIDEA
 
Onet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud StorageOnet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud StorageOnetIT
 
Sekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu DockerSekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu DockerKamil Grabowski
 
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. allegro.tech
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Semihalf
 
Spy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformRedge Technologies
 
100 M pps on PC.
100 M pps on PC.100 M pps on PC.
100 M pps on PC.Redge Technologies
 

More Related Content

What's hot

PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
 
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PROIDEA
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
 
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PROIDEA
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPROIDEA
 
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKZłam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKSemihalf
 
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PROIDEA
 
Qnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanieQnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanieEIP Sp. z o.o.
 
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PROIDEA
 
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PROIDEA
 
Onet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud StorageOnet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud StorageOnetIT
 
Sekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu DockerSekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu DockerKamil Grabowski
 
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. allegro.tech
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Semihalf
 

What's hot (20)

GlusterFS
GlusterFSGlusterFS
GlusterFS
 
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
 
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
 
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
 
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
 
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
 
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
 
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKZłam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
 
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
 
Qnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanieQnap - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanie
 
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
 
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
 
Onet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud StorageOnet barcamp 4 - Cloud Storage
Onet barcamp 4 - Cloud Storage
 
Sekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu DockerSekrety magicznego ogrodu Docker
Sekrety magicznego ogrodu Docker
 
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
 
Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.
 

Viewers also liked

Spy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformRedge Technologies
 
Functional approach to packet processing
Functional approach to packet processingFunctional approach to packet processing
Functional approach to packet processingNicola Bonelli
 
OSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adwareOSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adwareAmit Serper
 
OSINT for Attack and Defense
OSINT for Attack and DefenseOSINT for Attack and Defense
OSINT for Attack and DefenseAndrew McNicol
 
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"Lane Huff
 
BSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointAndrew McNicol
 
Should I Patch My ICS?
Should I Patch My ICS?Should I Patch My ICS?
Should I Patch My ICS?Digital Bond
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration TestingAndrew McNicol
 
How *NOT* to firmware
How *NOT* to firmwareHow *NOT* to firmware
How *NOT* to firmwareAmit Serper
 

Viewers also liked (11)

Spy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platform
 
100 M pps on PC.
100 M pps on PC.100 M pps on PC.
100 M pps on PC.
 
Functional approach to packet processing
Functional approach to packet processingFunctional approach to packet processing
Functional approach to packet processing
 
OSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adwareOSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adware
 
Cat's anatomy
Cat's anatomyCat's anatomy
Cat's anatomy
 
OSINT for Attack and Defense
OSINT for Attack and DefenseOSINT for Attack and Defense
OSINT for Attack and Defense
 
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
 
BSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPoint
 
Should I Patch My ICS?
Should I Patch My ICS?Should I Patch My ICS?
Should I Patch My ICS?
 
Introduction to Penetration Testing
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration Testing
 
How *NOT* to firmware
How *NOT* to firmwareHow *NOT* to firmware
How *NOT* to firmware
 

Similar to 100Mpps czyli jak radzić sobie z atakami DDoS?

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPROIDEA
 
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PROIDEA
 
Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
PLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr JabłońskiPLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr JabłońskiPROIDEA
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Paweł Kowalski
 
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktycePLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktycePROIDEA
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaWydawnictwo Helion
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
 
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PROIDEA
 
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...PROIDEA
 
Trecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaTrecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaMaciek Szamowski
 
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...PROIDEA
 
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPROIDEA
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PROIDEA
 

Similar to 100Mpps czyli jak radzić sobie z atakami DDoS? (20)

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
 
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
 
Zabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowych
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
 
PLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr JabłońskiPLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr Jabłoński
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
 
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktycePLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polska
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
 
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
 
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
 
Es jak FTPS SFTP
Es jak FTPS SFTPEs jak FTPS SFTP
Es jak FTPS SFTP
 
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
 
Trecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obronaTrecom - DDoS Detekcja-obrona
Trecom - DDoS Detekcja-obrona
 
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
 
Slackware Linux. Ćwiczenia
Slackware Linux. ĆwiczeniaSlackware Linux. Ćwiczenia
Slackware Linux. Ćwiczenia
 
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
 

More from Redge Technologies

[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)Redge Technologies
 
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoSRedge Technologies
 
redGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionredGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionRedge Technologies
 

More from Redge Technologies (7)

[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)
 
BGP zombie routes
BGP zombie routesBGP zombie routes
BGP zombie routes
 
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
 
BGP hijacks and leaks
BGP hijacks and leaksBGP hijacks and leaks
BGP hijacks and leaks
 
Stress your DUT
Stress your DUTStress your DUT
Stress your DUT
 
redGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionredGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solution
 
Na froncie walki z DDoS
Na froncie walki z DDoSNa froncie walki z DDoS
Na froncie walki z DDoS
 

100Mpps czyli jak radzić sobie z atakami DDoS?

  • 1. 100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS Przemysław Frasunek 24 listopada 2016 r.
  • 2. DDoS? • DDoS - skoordynowany, rozproszony atak system teleinformatyczny – Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych • komputerów • innych urządzeń IP (routery, kamery CCTV, drukarki itp.) – Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu • Prosty, tani, skuteczny – Dostępny jako usługa (CaaS), nie trzeba być specjalistą – Przystępny cenowo – Cel ataku jest przeciążony i przestaje działać (strona, łącze, serwery) – Nie wiadomo, kto stoi za atakiem
  • 4. Skala problemu (2) • 2013 r. – upowszechnienie ataków typu reflected • 2016 r. – upowszechnienie ataków z botnetów IoT • IX 2016: 660 Gb/s ataku na blog Briana Krebsa • IX 2016: 1000 Gb/s sumy jednoczesnych ataków wewnątrz sieci OVH • X 2016: 1200 Gb/s ataku na Dyn (DNS), awaria wpływa na serwisy m.in. Netflix, Paypal, Spotify, Twitter
  • 5. Dominacja ataków infrastrukturalnych źródła: • Akamai 2016Q3 report • Verisign 2016Q2 report
  • 6. Pytania do firmowego IT i do ISP • Co się stanie z naszą bieżącą działalnością, jeśli otrzymamy 10, 20, … 100 gigabitów na sekundę ataku DDoS? • Czy separacja urządzeń internetowych od sieci technologicznych jest pełna? • Jaką pojemność ma zastosowane rozwiązanie anty DDoS – lokalne lub u operatora? • Czy blokada ataku polega po prostu na… zablokowaniu celu ataku? (blackholing)
  • 7. Crime as a service (CaaS)
  • 8. 100G na PC – dlaczego to takie trudne? Aby uzyskać 14,8 mln pakietów na sekundę (port 10Gb/s) potrzebujemy: • 1277 ns na duży pakiet • ~67,2 ns na mały pakiet daje to w uproszczeniu (pomijając zrównoleglanie) około 200 cykli jednego rdzenia współczesnego 3GHz CPU Dla porównania: • L2 cache: ~4 ns, L3 cache: ~8 ns • atomic lock+unlock: 16 ns • cache miss: ~32ns • syscall: 50–100 ns (uwaga na wpływ SELinux)
  • 9. redGuardian (1) Bardzo wydajny filtr pakietów rozwijany przez Atende Software od 2015 r. • zastosowanie biblioteki Intel DPDK • wykorzystanie mechanizmów dostępnych w nowych CPU Intela (AVX2, DDIO, CAT) • wydajność 100M pps (> 100 Gbps) na pojedynczym serwerze klasy PC • skalowanie liniowe przez partycjonowanie ruchu • klasyfikacja ruchu wg nagłówków IP/TCP/UDP • klasyfikacja wg payloadu • filtry stanowe • rate limiter • interfejs do samplingu (PCAP)
  • 10. redGuardian (2) Regularny profiling i testy regresyjne #50 test_gre.TestGre.test_frag_after_df ... passed #51 test_gre.TestGre.test_frag_after_large ... passed #52 test_gre.TestGre.test_frag_after_small ... passed #53 test_gre.TestGre.test_frag_before_clear_df ... passed #54 test_gre.TestGre.test_frag_before_df ... passed […] #121 test_statefilter.TestStatefilter.test_hash_dnsid ... passed #122 test_statefilter.TestStatefilter.test_hash_srcip ... passed #123 test_statefilter.TestStatefilter.test_hash_srcport ... passed #124 test_statefilter.TestStatefilter.test_make_tcp_reset ... passed
  • 11. redGuardian w akcji Reflected DNS Flood 123031 2468.332598000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123035 2468.332848000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 stagg.cpsc.gov MX 5 hormel.cpsc.gov TXT[Unreassembled Packet] 123038 2468.332977000 89.179.69.140 -> x DNS 200 Standard query response 0x1458 A 63.74.109.2 DNSKEY[Unreassembled Packet] 123044 2468.333063000 109.172.131.19 -> x DNS 194 Standard query response 0xca41 NS auth61.ns.uu.net SOA auth00.ns.uu.net NS auth00.ns.uu.net 123047 2468.360474000 109.172.2.110 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet] 123048 2468.360500000 115.42.166.98 -> x DNS 200 Standard query response 0x1458 NS auth61.ns.uu.net NS auth00.ns.uu.net MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123055 2468.360793000 77.122.99.234 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]
  • 12. Modele wdrożeniowe • BGP scrubbing center – przejęcie ruchu przychodzącego, odbiór tunelem • Lokalne scrubbing center – dosył i odbiór ruchu dedykowanym łączem • Licencja/on-premises – wdrożenie u klienta na sprzęcie własnym lub dostarczonym – testowane u jednego z krajowych ISP
  • 13. Koncepcja budowy narodowego scrubbing center • Możliwość budowy narodowego/branżowego scrubbing center przeznaczonego do ochrony administracji publicznej i operatorów infrastruktury krytycznej • Podział kosztów zakupu infrastruktury i utrzymania portów w IX • Model realizowany w Holandii, przez stowarzyszenie zrzeszające ISP • Możliwość wykorzystania tanich i wydajnych mechanizmów filtrowania ruchu
  • 14. Przyszłość • Wzrost liczebności botnetów IoT (źródła Mirai upubliczniono), miliony zapomnianych, nie aktualizowanych urządzeń • Wybór ataków w „IP streserach” zwiększy się • Próby odcinania największych firm oraz całych krajów • Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się wygrać z tym problemem