2. 2
MỤC LỤC
1. Hiện trạng và nguy cơ an ninh mạng
2. Dịch vụ phòng chống DDoS của CMC Telecom
3. Thời gian triển khai dịch vụ DDoS
4. Cam kết chất lượng dịch vụ DDoS
5. Khách hàng tiêu biểu
4. 4
Database
Application
Server
Web Page
API
Tấn công thông qua Web Application
Tấn công thông qua APIs
Tấn công thông qua IP Des
DOWN
DOWN
1. DDoS = Distributed Denial of Service – Tấn công từ chối
dịch vụ phân tán.
2. Tấn công DDoS là nỗ lực làm ngừng hoạt động một dịch vụ
bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.
Tấn công DDoS là gì?
5. 5
Các điểm thường bị tấn công DDoS?
Volumetric DDoS
• Quá tải đường truyền kết nối
• 10-500 Gbps
Tấn công làm quá tải hiệu xuất thiết bị
• Mục tiêu là các thiết bị mạng (load balancers, firewalls,
application servers)
• Mức băng thông dao động 1-10Gbps
Application DDoS
• Tấn công với mức băng thông thấp, < 1Gbps, 100+ yêu cầu/1s
• Không ảnh hưởng tới hạ tầng mạng kết nối
• Làm quá tải các server ứng dụng, down dịch vụ
ISP
Firewall IPS
Load
Balancer
Application
1. Nguồn tấn công DDoS: PC/Lap, IoT, Network Devices….
2. Lưu lượng DDoS có thể vài trăm Mbps đến vài trăm Gbps
3. Các loại tấn công DDoS
- Smart DDoS
- Volumetric
DATA
CENTER
ISP1
ISP2
ISPn
6. Đối tượng, nguy cơ, ảnh hưởng
Các Ngân hàng,
doanh nghiệp luôn
là mục tiêu tấn
công của các
nhóm tội phạm
mạng
Nguy cơ dịch vụ
bị gián đoạn,
ảnh hưởng tới
kinh doanh sản
xuất.
Nguồn lực dành
cho công tác giám
sát, xử lý sự cố
mất ATTT đang
thiếu hụt
Chi phí đầu tư
hệ thống bảo
mật chuyên biệt
giá thành cao.
7. • Theo báo cáo của
Verisign, ngành Tài
chính là ngành thường
xuyên bị tấn công nhất
trong 6 tháng đầu năm
2018, chiếm 57%
(Q1/2018) và 43%
(Q2/2018) trong tổng
số các hoạt động tấn
công DDoS
Đối tượng, nguy cơ, ảnh hưởng
8. Các xu hướng DDoS
chính:
• 50% số vụ tấn công
là ngập lụt UDP
(User Datagram
Protocol), (56%
Q2/2018)
• 26% số vụ tấn công
dựa trên TCP là
hình thức tấn công
phổ biến thứ 2.
Các hình thức tấn công DDoS phổ biến
9. Mức tấn công DDoS:
• User Datagram
Protocol (UDP)
fragment với 42
Gigabits per second
(Gbps) và 3.5 Million
packets per second
(Mpps), kéo dài 3
giờ
• Multi-vector attack
với 38 Gbps và 4.7
Mpps, kéo dài trong
vòng 2h
Các hình thức tấn công DDoS phổ biến
10. Các cuộc tấn
công DDoS với
nhiều hình thức,
nhiều lớp và
phân tán khiến
việc ngăn chặn
khó khăn hơn
Các hình thức tấn công DDoS phổ biến
12. CMC Telecom cung cấp tới khách hàng với các gói dịch vụ linh
hoạt như sau:
• Option1: Smart DDoS – Chống tấn công lớp Application DDoS
• Option2: Volumetric DDoS – Chống tấn công Volumetric DDoS
• Option3: Hybrid – Chống tấn công Application và Volumetric
DDoS
Dịch vụ chống tấn công DDoS của CMC Telecom
13. Các gói dịch vụ DDoS của CMC Telecom
STT Loại dịch vụ Triển khai Ưu điểm Hạn chế
1 Smart DDoS
Tại site khách hàng chủ yếu
dành cho phòng chống tấn
công DDoS lớp ứng dụng
(Layer 7) như DNS, SMTP,
SIP, HTTP…
Phòng chống tấn công trên
nhiều nguồn ISP
CMC Tel vận hành toàn hệ
thống
Thời gian triển khai lâu do cần thời gian
đặt hàng từ hãng (6-8 tuần)
Không phòng chống được loại tấn công
ngập lụt đường truyền (Volumetric
DDoS) do bị nghẽn băng thông đường
Uplink
2
Volumetric
DDoS
Tại CMC Telecom DC
phòng chống tấn cống
DDoS theo dạng Volumetric
DDoS (Layer 3- Layer 4)
Triển khai nhanh chóng
Đầu mối hỗ trợ tập trung
CMC Tel vận hành toàn hệ
thống
Chống được tấn công Layer 3
và 4
Không phát hiện được tấn công Layer
7
Với tấn công Volumetric DDoS, chỉ có
tác dụng trên đường truyền do CMC
cung cấp.
3 Hybrid
Tại site khách hàng và CMC
Tel DC Phòng chống
được toàn diện các loại tấn
công DDoS.
Chống tấn công trên nhiều
nguồn ISP
CMC Tel vận hành hệ thống
Phòng chống tấn công từ
Layer 3, 4 và 7
Với tấn công Volumetric DDoS, chỉ có
tác dụng trên đường truyền do CMC
cung cấp
14. Mô hình triển khai dịch vụ DDoS – Smart DDoS
Thiết bị phòng chống DDoS sẽ
được khách hàng đầu tư hoặc
thuê lại của CMC Telecom và
đặt On-premise.
Thiết bị được cài đặt chế độ
transparent sẽ thực hiện lọc
các cuộc tấn công từ bên
ngoài internet cung cấp BW
sạch để user truy cập ứng
dụng.
Khách hàng phòng chống trên
tất cả các line internet hiện có
cho các dịch vụ được public.
Phòng chống được mức tấn
công lớp ứng dụng (lớp 7)
như: DNS, HTTP, SSL,SMTP,
SIP….
ISP
Target
Applications &
Services
Firewall
IPS
Load
Balancer
Arbor APS
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
DATA
CENTER
ISP1
ISPn
15. CMC
Telecom IP
Core
Firewall IPS
Load
Balancer
Application
DATA
CENTER
Arbor APS
• Giám sát, hiển thị, phát
hiện và xử lý tấn công
DDoS tại site khách
hàng theo license BW.
User
• Người dùng hợp lệ.
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
DDoS
• Traffic tấn công.
CMC Telecom SOC
• Vận hành và báo cáo
sự cố cho khách hàng
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
Nguyên lý hoạt động dịch vụ DDoS – Smart DDoS
16. Mô hình triển khai dịch vụ DDoS – Volumetric DDoS
Lưu lượng sẽ được đưa qua hệ
thống giám sát phòng chống
DDoS đặt tại DC của CMC
Telecom, sẽ lọc tất cả các traffic
DDoS và trả về lưu lượng sạch
cho khách hàng
Việc phòng chống DDoS và vận
hành hệ thống sẽ do chuyên gia
của CMC Telecom kết hợp với
chuyên gia bảo mật của Arbor
đảm nhiệm.
Khách hàng phòng chống trên
tất cả các line internet do CMC
Telecom cung cấp cho các dịch
vụ được public.
Phòng chống kiểu tấn công
Volumetric như: TCP/UDP
Flood, TCP SYN….
Firewall
IPS
Load
Balancer
Arbor SP DDoS Detection
• Giám sát, hiển thị, phát hiện tấn công DDoS.
• Gửi nhận BGP Flowsec.
• Quản lý thuê bao khách hàng
Arbor TMS DDoS Migration
• Xử lý các cuộc tấn công DDoS.
• Trả BW sạch về cho khách hàng.
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
DATA
CENTER
ISP2
ISPn
17. CMC
Telecom IP
Core
Firewall IPS
Load
Balancer
Application
DATA
CENTER
User
• Người dùng hợp lệ.
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
DDoS
• Traffic tấn công.
CMC Telecom SOC
• Vận hành và báo cáo
sự cố cho khách hàng
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
Arbor SP DDoS
Detection
• Nhận cảnh báo từ
router thông qua
giao thức BGP
Flowsec.
• Quản lý thuê bao
khách hàng
Arbor TMS DDoS
Migration
• Xử lý các cuộc tấn công DDoS.
• Trả BW sạch về cho khách
hàng.
Nguyên lý hoạt động dịch vụ DDoS – Volumetric DDoS
18. CMC
Telecom IP
Core
Firewall IPS
Load
Balancer
Application
DATA
CENTER
User
• Người dùng hợp lệ.
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
DDoS
• Traffic tấn công.
CMC Telecom SOC
• Vận hành và báo cáo
sự cố cho khách hàng
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
Arbor SP DDoS
Detection
• Giám sát, hiển thị, phát
hiện tấn công DDoS.
• Gửi nhận tín hiệu
Cloud Signaling.
• Quản lý thuê bao
khách hàng
Arbor TMS DDoS
Migration
• Xử lý các cuộc tấn công DDoS.
• Trả BW sạch về cho khách
hàng.
Nguyên lý hoạt động dịch vụ DDoS – Volumetric DDoS
19. Phòng chống được các
loại tấn công DDoS dạng
volumetric và application
DDoS.
Hybrid là sự kết hợp giữa
On-premise và Cloud
DDoS
Phòng chống được mức
tấn công lớp ứng dụng
như: DNS, HTTP,
SSL,SMTP, SIP…. Khi
ngưỡng băng thông chưa
vượt 75% BW đầu vào
của các line internet
Khi băng thông vượt
ngưỡng 75% trên tổng
BW internet thì lưu lượng
được điều chuyển về
Core DDoS của CMC Tel
để phòng chống DDoS
dạng volumetric.
Mô hình triển khai dịch vụ DDoS – Hybrid
DATA
CENTER
Firewall
IPS
Load
Balancer
Arbor APS
Arbor SP DDoS Detection
• Giám sát, hiển thị, phát hiện tấn công DDoS.
• Gửi nhận tín hiệu Cloud Signaling.
• Quản lý thuê bao khách hàng
Arbor TMS DDoS Migration
• Xử lý các cuộc tấn công DDoS.
• Trả BW sạch về cho khách hàng.
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
ISP2
ISPn
20. Nguyên lý hoạt động dịch vụ DDoS – Hybrid
DATA CENTER
Firewall
IPS
Load
Balancer
Arbor APS
CMC Telecom SOC
• Vận hành và báo cáo sự cố
cho khách hàng
Arbor APS
• Tự động gửi tín hiệu Cloud
Signaling khi băng vượt
ngưỡng cho phép.
ISP2
ISPn
21. Arbor Peakflow
SP / TMS-based
DDoS Service
Arbor
Pravail APS
Data
Center
Network
Firewall / IPS / WAF
Public
Facing
Servers
Subscriber Network Subscriber Network
Internet Service Provider
1. Service hoạt động
bình thường
2. Các cuộc tấn công
sẽ được bảo vệ bởi
thiết bị On-premise
3. Khi tấn công vượt
ngưỡng Bandwidth
của thiết bị APS,
Cloud Signal được
gửi từ thiết bị APS
tới CMC Tel SP/TMS
4. Traffic tấn công sẽ
được migrate về
hệ thống DDoS
của CMC Tel
Nguyên lý hoạt động dịch vụ DDoS – Hybrid
23. 23
STT Gói dịch vụ phòng chống DDoS của CMC Telecom
1 Số lượng đường truyền kết nối tới ISP 8 line kết nối
2 Mức BW sạch cam kết 20Gbps
3 Hình thức triển khai
Smart DDoS
Volumetric DDoS
Hybrid
4 Vị trí triển khai dịch vụ Internet/WAN
5 Đường truyền
CMC Telecom cung cấp tới khách hàng 02 đường
truyền:
- 1 đường ILL theo mức BW phòng chống DDoS cam
kết.
- 1 đường truyền CMC Telecom dùng để vận hành dịch
vụ (Smart và Hybrid).
6 Thiết bị
CMC Telecom cung cấp thiết bị tới khách hàng với dịch
vụ Smart và Hybrid
7 Vận hành cảnh báo
CMC Telecom vận hành, và báo cáo hàng tuần/tháng
định kỳ tới khách hàng.
Gói dịch vụ phòng chống DDoS – CMC Telecom
25. Thời gian triển khai dịch vụ On-premise & Cloud Hybrid
Công việc Thời gian CMC Telecom Khách hàng Lưu Ý
Ký hợp đồng và load thiết bị 50 Ngày R S
Sau khi khách hàng ký hợp
đồng
Gắn thiết bị APS lên Rack và đấu nối vật lý,
Cấu hình các thông số cơ bản
1 Ngày R
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Khởi tạo cấu hình theo yêu cầu 1 Ngày R
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Cấu hình và UAT các rule theo yêu cầu của
Khách hàng
4 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Chạy thử nghiệm sau khi kiểm thử UAT 3 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Tối ưu lại hệ thống rule sau khi chạy thử
nghiệm
4 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Khởi tạo report theo yêu cầu của Khách
hàng
1 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Tạo tài liệu hướng dẫn monitor cho nhân sự
Khách hàng
2 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Đào tạo về dịch vụ, mô hình triển khai và
cách thức phối hợp cho nhân sự Khách hàng
1 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Tổng thời gian dự kiến 68 Ngày Hoàn thành dự án
26. Thời gian triển khai dịch vụ Cloud DDoS
Công việc Thời gian CMC Telecom Khách hàng Lưu Ý
Khảo sát hệ thống khách hàng 1 Ngày R S
Sau khi khách hàng ký hợp
đồng
Triển khai kênh truyền 2 Ngày R
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Khởi tạo cấu hình theo yêu cầu 0.5 Ngày R
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Cấu hình và UAT các rule theo yêu cầu của
Khách hàng
0.5 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Chạy thử nghiệm sau khi kiểm thử UAT 1 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Tối ưu lại hệ thống rule sau khi chạy thử
nghiệm
1 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Khởi tạo report theo yêu cầu của Khách
hàng
1 Ngày R S
Khách hàng cử nhân sự hỗ
trợ, phối hợp
Tổng thời gian dự kiến 7 Ngày Hoàn thành dự án
R: Responsibility S: Support
28. Cam kết chất lượng dịch vụ DDoS - CMC Telecom
STT Nội dung cam kết
Thông số
cam kết
1
Phát hiện và cảnh báo tấn công DDoS 24/7
Hình thức cảnh báo & thông báo:
- Phone
- SMS
- Email
24/7
2 Phòng chống & xử lý tấn công DDos 10 phút
Thông báo xử lý tấn công DDoS 10 phút
Xử lý ngăn chặn cuộc tấn công DDoS 15 phút
3 Báo cáo
Có báo cáo phân tích, phát hiện định kỳ về dấu hiện, nguy cơ, tình trạng tấn công DDoS
đối với hệ thống Khách hàng hoặc theo yêu cầu của Khách hàng.
Hàng tuần
4 Báo cáo xử lý & nguyên nhân sự cố sau tấn công DDoS
Trong 90 phút sau
sự cố
29. Quy trình xử lý dịch vụ DDoS – CMC Telecom
CMC
SOC/NOC
Khách
hàng xác
nhận dịch
vụ online
CMC Tel xử
lý sự cố
Nhận sự
tiếp nhận
sự cố
*CMC Tel có nhân sự SOC/NOC
trực 24x7x365 kể cả lễ tết
Khách Hàng
31. Các dự án tiêu biểu
STT Tên KH Dịch vụ sử dụng Dung lượng đáp ứng Hiện trạng
1 Ngân hàng ABB Dịch vụ Smart DDoS
- Chống tấn công L7
- BW = 250Mbps
Đang sử dụng dịch vụ
2 Ngân hàng ACB Dịch vụ Hybrid
- Chống tấn công L3/L4
- Chống tấn công L7
- BW = 1000Mbps
Đang sử dụng dịch vụ
3 Báo VietnamNet Dịch vụ Hybrid
- Chống tấn công L3/L4
- Chống tấn công L7
- BW = 1000Mbps
Đang tư vấn
32. ISP2
ISPn
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
Target
Applications &
Services
Firewall
IPS
Load
Balancer
Arbor APS
Disaster Recovery
Target
Applications &
Services
Firewall
IPS
Load
Balancer
Arbor APS
DATA CENTER BW = 250Mbps theo
năng lực thiết bị đặt
tại site
Phòng chống tấn
công DDoS L7 trên
các line internet hiện
có.
Phòng chống tấn
công vào các server
ứng dụng như:
Web Servers –
HTTP.
SSL Secured
Services
SIP Servers
DNS Servers
CMC Telecom vận
hành và báo cáo cho
khách hàng.
Các dự án tiêu biểu
33. ISP2
ISPn
User
• Người dùng hợp lệ.
DDoS
• Traffic tấn công.
BW = 1000Mbps theo năng
lực thiết bị đặt tại site
Phòng chống tấn công
DDoS L7 trên các line
internet hiện có.
Phòng chống Volumetric
DDoS
CMC Telecom vận hành và
báo cáo cho khách hàng.
Target
Applications &
Services
Firewall
IPS
Load
Balancer
Arbor APS
DATA CENTER
Các dự án tiêu biểu
For the incoming years, we have plans to expand our network structure and upgrade our capacity to pursuit our vision to become the first choice ISP for both domestic and multi national companies in VN.
Link Qúy I: https://blog.verisign.com/security/q1-2018-ddos-trends-report-58-percent-of-attacks-employed-multiple-attack-types/
Tiếng Việt: https://ictnews.vn/cntt/bao-mat/top-3-nganh-muc-tieu-cua-cac-cuoc-tan-cong-ddos-trong-quy-dau-nam-2018-169430.ict
Link Quý II: https://blog.verisign.com/security/ddos-protection/q2-2018-ddos-trends-report-52-percent-of-attacks-employed-multiple-attack-types/
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
DNS Reroute:
DNS A records are modified to point attack FQDN to Arbor cloud
Full DNS proxy in cloud will route clean traffic to its destination
Full proxy requires traffic in both directions
Clean Traffic = Inbound + outbound traffic
BGP Reroute
Must divert a minimum of a /24 subnet
Arbor requires 3 days to register routes with Internet Registry
If customer only has a /24, then customer must de-announce the route when Arbor announces it
Traffic returned via GRE
Clean Traffic = Inbound traffic only
By BGP Diversion here we mean the case where the route to the /24 netblock is taken over by a different provider by publishing the route to the Internet.
For the incoming years, we have plans to expand our network structure and upgrade our capacity to pursuit our vision to become the first choice ISP for both domestic and multi national companies in VN.