Paweł Kuśmierski -is a Senior Engineer and Lead of Akamai’s System Operations in Krakow, Poland. He’s responsible for operational oversight of Internet Mapping and Distributed Storage systems. In the past he interned at Google’s Mountain View office as a Software Engineer. He lives with his wife and three year old son in Krakow. He likes building electronic devices, systems programming and flying gliders. Topic of Presentation: How Akamai and Prolexic mitigate (D)DoS attacks Language: Polish Abstract: The presentation will cover the common types of attacks Akamai and Prolexic see, and what mitigation techniques are available to protect against them. It will start with a short architectural description of how their networks are built. It will describe at what level they get attacked, and how are the attacks handled.

1. Jak Akamai i Prolexic radzą sobie z atakami DDoS
Paweł Kuśmierski, Senior Engineer, Lead System Operations, Akamai, Kraków

2. ©2013 AKAMAI | FASTER FORWARDTM
Czym jest Akamai?
Firmą założoną na MIT w 1998 przez prof. Toma Leightona i doktoranta Dannego Lewina
Akamai posiada najbardziej rozproszoną platfomrę internetową na świecie (ponad 150 000 serwerów, w 2000 lokalizacjach w 92 krajach)
Platforma Akamai pośredniczy w dostarczaniu od 15 do 30% światowego ruchu www
Jesteśmy jeden „skok” od 90% procent uzytkowników Internetu (ich routera brzegowego)
Dzienny ruch w sieci:
10+ Tbps -- 30 PB/dziennie
20+ milionów zapytań na sekundę
10 milionów jednoczesnych strumieni video

3. ©2013 AKAMAI | FASTER FORWARDTM
Czym jest Prolexic?
Firmą założoną w 2003 roku w celu zapogiegania atakom DDoS
Prolexic posiada platformę o pojemności 1.8Tbps
Oferuje filtrowanie od poziomu IP wzwyż
Reguły tworzone są przez zespół doświadczonych ekspertów wdrażający strategie zapobiegania (Security Operations Center, w Krakowie powstaje właśnie nowy ośrodek)
PLXsert – ostrzeżenia o nowych zagrożeniach (twitter: @PLXSERT)

4. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Przykładowi klienci z róznych branży
10 największych amerykańskich banków
Przemysł
10 z 12 największych firm e-bezpieczeństwa
Technologia
30 największych firm medialnych
Media i Rozrywka
Wszystkie dowództwa armii USA
Sektor Publiczny
97 ze 100 największych serwisów e-commerce
Usługi

5. ©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.

6. ©2013 AKAMAI | FASTER FORWARDTM
Sieć Prolexic
Centra filtracyjne:
San Jose, CA (Equinix)
Ashburn, VA (Equinix)
London, UK (LINX)
Hong Kong, Chiny (HKIX)
Frankfurt, Niemcy
Tokyo, Japonia Q4 2014
Sydney, Australia Q1 2015 Różni dostawcy i połączenia:
3-4 dostawców “Tier 1” na centrum
Polityka Public Peering
Pojemność 1.8Tbps
Centrum filtracyjne
Botnety
Powstające centrym

7. ©2013 AKAMAI | FASTER FORWARDTM
Origin Traffic
1
10
100
10,000
1,000
Prolexic Traffic
1
10
100
10,000
1,000
Blokowanie DDoS w przez Prolexic
Z usługą Prolexic Routed
•Atak jest blokowany na poziomie centrum filtrującego, z daleka od infrastruktury klienta
Prolexic Platform
3 Tier-1 Providers
1.8 Tbs/Sec
PROLEXIC
In-the-cloud
SecurityOperationsCenter
Serwerownia klienta

8. ©2013 AKAMAI | FASTER FORWARDTM
Asymetryczna ścieżka
Asymetryczna ścieżka
Clean traffic
Attack traffic
Telemetria
Monitoring Aplikacji i oparty o przepływy (ich odchylenie od normy)
Internet
Centrum danych klienta
Część publiczna
Część prywatna
•Aktywacja w ciągu minut
•Ochrona całej podsieci
•I wielu usług, nie tylko HTTP i HTTPS
•Ruch przychodzący automatycznie kieruje się do najbliższego centrum
•Chroni dużą przestrzeń adresową
•Monitoring 24/7 przez Prolexic SOC
•Powstrzymuje ciągłe ataki 200+ Gbps
Dwa tunele GRE lub łącza MPLS
SecurityOperationsCenters
Aktywacja przez rozgłaszanie BGP
Asymetryczna ścieżka

9. ©2013 AKAMAI | FASTER FORWARDTM
SLA dla powstrzymania ataku
Attack Category
TTM - Time to Mitigate (typical)
TTM - Time to Mitigate Guaranteed (SLA)
UDP/ICMP Floods
1 minute or less
5 minutes
SYN Floods
1 minute or less
5 minutes
TCP Flag Abuses
1 minute or less
5 minutes
GET/POST Floods
10 minutes or less
20 minutes
DNS Reflection
5 minutes or less
10 minutes
DNS Attack
5 minutes or less
10 minutes

10. ©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.

11. ©2013 AKAMAI | FASTER FORWARDTM
Akamai oka rzutem

12. ©2013 AKAMAI | FASTER FORWARDTM
Optymalizacje Akamai: „Chmura”
Użytkownik łączy się zawsze z najbliższym serwerem Akamai
Serwerwnie źródłowe są zazwyczaj daleko od klienta końcowego
... Co skutkuje dłuższym czasem RTT
Użytkownik
Serwerownia Klienta
Serwery brzegowe Akamai

13. ©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Optymalizacje przesyłania
Problem 1:
Tam-i-z-powrotem dla dużych ilości danych
Serwerownia Klienta
Serwery brzegowe Akamai
Optymalizacja: protokół przesyłania (TCP)

14. ©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Problem 2:
Na trasie do serwerowni może wydarzyć się awaria (lub de-peering)
Serwerownia Klienta
X
X
Optymalizacje Akamai: Wybór tras

15. ©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Akamai SureRoute
Problem 2:
Na trasie do serwerowni może wydarzyć się awaria (lub de-peering)
Serwery brzegowe Akamai
X
Serwerownia Klienta
Optymalizacje Akamai: Wybór tras

16. ©2013 AKAMAI | FASTER FORWARDTM
Packet Loss
50% 40% 30% 20% 10% 0%
Generic Internet
Akamai
Akamai SureRoute Straty pakietów w Indiach po przecięciu kabla na Bliskim Wschodzie

17. ©2013 AKAMAI | FASTER FORWARDTM
(Cloud) Datacenters
Użytkownik
1
10
100
10000
Origin Traffic
1000
Akamai Traffic
10
100
10000
1000
Ochrona brzegowa Akamai (Permeter defence, WAF)
ZATRZYMANE
1

18. ©2013 AKAMAI | FASTER FORWARDTM
Dane o reputacji klienta
Zapisywanie danych o znanych źródłach ataku pozwala na lepszą ochronę
•Identyfikujemy złych użytkowników na podstawie reguł dla różnych typów ataków
•Dla każdego z nich obliczamy reputację w 10-cio punktowej skali
•Odfiltrowujemy ruch z podejrzanych źródeł (specjalna strona, opóźnienie, 501)
•Dane dostarczane do ponad 100k serwerów brzegowych
•Dane wspólne dla wszystkich klientów Akamai
•Akamai obsługuje 15-30% ruchu www w Internecie
•W ciągu miesiąca widzimy większość użytkowników Internetu

19. ©2013 AKAMAI | FASTER FORWARDTM
Client Reputation Console

20. ©2013 AKAMAI | FASTER FORWARDTM
Błędy reguł obliczania reputacji
37.35%
19.68%
4.89%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
CloudFlare
Incapsula
Akamai
False Positives
False Negatives
.09%
.31%
.48%
Source: Akamai
Cloud-based WAF 1
Cloud-based WAF 2

21. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Na czym skupiają się ataki DDoS?
27%
24%
8%
4%
30%
5%

22. ©2013 AKAMAI | FASTER FORWARDTM
W tym roku: 320 Gbps DDoS na klienta z branży gier
Celem była główna strona www, infrastruktura sieciowa i DNS
Atak na kilka sposobów:
•SYN / UDP floods na całą podsieć
•Atak objętościowy na DNS
Attack characteristics:
•Szczytowo 320 Gbps i 71.5 Mpps przez centra filrowania Prolexica
•2.1 milion zapytań/s przez Fast DNS Akamai
Prolexic:
Fast DNS:

23. ©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
+

24. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – DDoS (Proxy)
•Always on (for immediate response)
•Automated (rate controls, caching)
•High performance (no degradation + acceleration)
•HTTP / HTTPS (defense against SSL attacks)
•Capacity 21 Tbps

25. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF
•Always on (defense against data theft)
•High performance and highly scalable
•Highly accurate (reduced FP and FN)
•HTTP / HTTPS
•Local or cloud-based applications
Perimeter 1 – DDoS (Proxy)
•Always on (for immediate response)
•Automated (rate controls, caching)
•High performance (no degradation + acceleration)
•HTTP / HTTPS (defense against SSL attacks)
•Capacity 21 Tbps

26. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF
•Always on (defense against data theft)
•High performance and highly scalable
•Highly accurate (reduced FP and FN)
•HTTP / HTTPS
•Local or cloud-based applications
Perimeter 1 – DDoS (Proxy)
•Always on (for immediate response)
•Automated (rate controls, caching)
•High performance (no degradation + acceleration)
•HTTP / HTTPS (defense against SSL attacks)
•Capacity 21 Tbps
Perimeter 2 – DDoS (BGP)
•Comprehensive (all ports + protocols)
•Entire data center (all apps, bandwidth)
•Configurable (IP subnet granularity)
•Always on or on demand (5-20 min SLA)

27. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Perimeter 3 – DNS
•Highly scalable (<1% total capacity)
•Highly available (24x7 SLA)
•High performance (zone apex)
•Supports DNSSEC
•Primary and secondary DNS
Perimeter 1 – WAF
•Always on (defense against data theft)
•High performance and highly scalable
•Highly accurate (reduced FP and FN)
•HTTP / HTTPS
•Local or cloud-based applications
Perimeter 1 – DDoS (Proxy)
•Always on (for immediate response)
•Automated (rate controls, caching)
•High performance (no degradation + acceleration)
•HTTP / HTTPS (defense against SSL attacks)
•Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
Perimeter 2 – DDoS (BGP)
•Comprehensive (all ports + protocols)
•Entire data center (all apps, bandwidth)
•Configurable (IP subnet granularity)
•Always on or on demand (5-20 min SLA)

28. ©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the security perimeter outside the data-center and protect from increasing frequency, scale and sophistication of web attacks.
Perimeter 3 – DNS
•Highly scalable (<1% total capacity)
•Highly available (24x7 SLA)
•High performance (zone apex)
•Supports DNSSEC
•Primary and secondary DNS
Perimeter 1 – WAF
•Always on (defense against data theft)
•High performance and highly scalable
•Highly accurate (reduced FP and FN)
•HTTP / HTTPS
•Local or cloud-based applications
Perimeter 1 – DDoS (Proxy)
•Always on (for immediate response)
•Automated (rate controls, caching)
•High performance (no degradation + acceleration)
•HTTP / HTTPS (defense against SSL attacks)
•Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
SOC Managed Service
•People-driven security
•Experience Security Professionals
•Staffed 24x7 SOC
•Monitor / Alert
•Respond
Perimeter 2 – DDoS (BGP)
•Comprehensive (all ports + protocols)
•Entire data center (all apps, bandwidth)
•Configurable (IP subnet granularity)
•Always on or on demand (5-20 min SLA)

29. ©2013 AKAMAI | FASTER FORWARDTM
Result: 2-100X compression
Result: 2-100X compression
Result: 2-100X compression
Aplikacja do wizualizacji sieci Akamai

30. ©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
Dziękuję za uwagę
Paweł Kuśmierski, pkusmier@akamai.com