актуальные методы противодействия D do s-атакам

1,703 views

Published on

  • Be the first to comment

  • Be the first to like this

актуальные методы противодействия D do s-атакам

  1. 1. АктуальныеметодыпротиводействияDDoS-атакамоктябрь 2010Игорь Концевой<br />
  2. 2. Slide 2<br />Содержание<br />Обзор атак 2009-2010 гг<br />Обзор технологий по отражению DoS / DDoS<br />Примеры использования <br />Пару слов о наших решениях<br />
  3. 3. Типичный цикл атаки<br />Сбор информации и планирование атаки<br />Атака<br />Время<br />Slide 3<br />
  4. 4. Атаки Low & Slow DoS<br />Типичные DoS/DDoS атаки<br />Массированные атаки на сети / приложения<br />Атака единичным пакетом (использование уязвимостей)<br />Новая тенденция: Низкоактивныеатаки с переполнением запросами <br />Использование слабых мест ПО для атаки на веб- приложения или ресурсы стэка TCP <br />Легитимные пользователи <br /> не получают услуги<br />Атаки “проходят под радаром…”<br />Примеры атак:<br />Slowloris (июль 2009)<br />Sockstress (сентябрь 2009)<br />Slide 4<br />
  5. 5. Атаки Low & Slow - Slowloris<br />Slide 5<br />HTTP GET /… CRLF/CRLF<br />HTTP REPLY<br />HTTP GET /… CRLF/<br />HTTP GET/CRLF<br />HTTP GET /… CRLF<br />HTTP GET /… CRLF<br />HTTP GET /… CRLF<br />Атакующий<br /> Веб сервер Apache <br />Атака с злоупотреблением услугой<br /><ul><li>Перегрузка сервера из-за параллельных состояний ожидания приложения
  6. 6. Минимальный обмен трафиком</li></ul>АтакаDoS с низкой интенсиностью<br /><ul><li>Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты </li></li></ul><li>Conficker: атака типа Zero-Minute <br />Malware<br />Victim<br />Victim<br />Victim<br />Victim<br />Victim<br />Victim<br />Главный вектор распространения: <br />TCP Port 445 (RPC)<br />Victim<br />Victim<br />Slide 6<br />
  7. 7. Conficker –распространение мalware<br />Slide 7<br />
  8. 8. Slide 8<br />Legitimate User<br />Характеристики атаки<br /><ul><li>~50,000зомби компьютеров
  9. 9. Разнообразные атаки:
  10. 10. HTTP флуд
  11. 11. SYN флудс использованием аномалий пакетов
  12. 12. UDP флуд
  13. 13. ICMP флуд
  14. 14. «Получатели» в США и Южной Корее
  15. 15. ~ 6-7Гбит/свходящего трафика(>2 миллионов PPS)</li></ul>C&C Server<br />Bot <br />(Infected host)<br />BOT Command<br />GET /… HTTP/1.0<br />GET /… HTTP/1.0<br />Bot <br />(Infected host)<br />Internet<br />Attacker<br />GET /… HTTP/1.0<br />Public Web Servers<br />GET /… HTTP/1.0<br />Bot <br />(Infected host)<br />Bot <br />(Infected host)<br />Mydoom.EA<br />
  16. 16. Slide 9<br />Почему так трудно противостоятьMydoom.EA?<br />Динамические инструменты для атаки<br />Одновременное использование разнотипных атак:<br />Под видом легитимного пользователя (DDoS)<br />Открытая атака (HTTP flood)<br />Высокораспределенная атака<br />Переполнение HTTP запросами нацелено на главную страницу веб-сайтов – жертв атаки<br />Высокоативная атака<br />
  17. 17. Zeus Crimeware: автоматизирует финансовые преступления<br />Slide 10<br />Browse<br />Browse<br />Установка Malware<br />Атакующий<br />Установка Malware<br />Веб сайт<br />Интернет<br />Жертва<br />
  18. 18. Zeus Crimeware: атака Man-in-the-Browser (MITB)<br />Slide 11<br />Атака MITB будет успешной – неважно сколько механизмов безопасности, таких как SSL/PKI или двух/трех уровневая авторизация используется. <br />
  19. 19. Противостояние кибератакам<br />Slide 12<br />Одно средство защиты не может справиться с современными угрозами безопасности сетей и ЦОД <br />
  20. 20. Из новостей: появление SCADA Worm<br />Slide 13<br />
  21. 21. ОStuxnet<br />ИзWikipedia:<br />Stuxnetпоражающий компьютеры под управлением операционной системы Microsoft Windows компьютерный червь, обнаруженный в июне 2010 года <br />Векторы распространения <br />Портативные устройства памяти <br />Уязвимость MS LNK <br />Впервые «червь» обнаружен в промышленных системах (SCADA) , управляющих автоматизированными производственными процессами <br />Предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление крупным производством. Возможно, нацелен на инфраструктуры, использующие системы Siemens в Иране<br />60 % всех компьютеров, пораженных этим вирусом, расположены на стратегических объектах промышленности Ирана. <br />Пресса писала, что возможно проникновение вируса задержало пуск завода по обогащению урана в Бушере и повредило атомные предприятия в Натанце <br />Slide 14<br />
  22. 22. Обзор технологий по отражению DoS / DDoS<br />
  23. 23. Технология Rate Based<br />Технология Rate Based<br />Преимущества<br />Ограничивает трафик и нормализует его объем<br />Блокируетмассированные сетевые DoS атаки<br />Недостатки<br />Блокирует легитимных пользователей во время отражения атаки<br />Пики легитимного трафика дают ложное срабатывание<br />Не помогает при атаках «низкой интенсивности»<br />Необходима ручное конфигурирование и время от времени настройка<br />Slide 16<br />
  24. 24. Технология поведенческого анализа NBA<br />Автоматическая защита в реальном времени:<br />От распространения Zero minute malware<br />От использования ресурсов приложения:<br />От взломов <br />От сканирования веб- приложений<br />От переполнения HTTP запросами к странице<br />От сканирования SIP <br />От SIP переполнения <br />Преимущества<br />Автоматическая защита от сетевых DDoS атак в реальном времени<br />Не требует вмешательства человека<br />Аккуратное обнаружение и отражение – не блокирует легитимный трафик пользователей<br />Недостатки<br />Требует примерно 1 неделю обучения для оптимизации<br />Slide 17<br />
  25. 25. IPS: технология статических сигнатур<br />“Single Pulse” Attack<br />1 - 2 packets<br />Недостатки<br /><ul><li>Отсутствует защита в реальном времени для:
  26. 26. Сетевых DDoS
  27. 27. Прикладных flood атак
  28. 28. Новых атак
  29. 29. Ограничение по числу сигнатур
  30. 30. Выигрыш в безопасности и проигрыш впроизводительности</li></ul>Преимущества<br />Определение атаки по единичному пакету (“single bullet”)<br />Аккуратное определение<br />Детальчый отчет<br />Page 18<br />
  31. 31. RSA – службы Reputation Services<br />Службы IP Reputation Service<br />Внешние службыв реальном времени от стороннего поставщика <br />Моментально блокирует атаки, используя сигнатуры реального времени<br />Преимущества<br />Защищает от:<br />Ботов (Source IP reputation)<br />Распространения Zero-minute malware (Web site reputation)<br />Атак типа социальной инженерии (фишинг и т.д.) (Web site reputation)<br />Спама (Source IP reputation)<br />Легкое внедрение посредством <br /> «Reputation Engine»<br />Slide 19<br />
  32. 32. Распространение Zero-Day Malwareи сканирование<br />Безопасная среда<br />Атаки на приложения <br />Атаки DoS/DDoS<br />NBAуровня сетизащита отDDoS<br />NBAуровня пользователя<br />NBA уровня приложения<br />Предотвращение атак – разные уровни защиты<br />Вторжения<br />Механизм проверки репутации<br />IPS – на основе сигнатур<br />Slide 20<br />
  33. 33. NBA уровня пользователя <br />Типичный цикл атаки и модули безопасности<br />Сбор информазии и планирование атаки<br />Атака<br />IPS – на основе сигнатур <br />NBAуровня приложения <br />Slide 21<br />
  34. 34. Примеры использования <br />
  35. 35. Игровой сайт <br />Slide 23<br />Глобальная архитектура<br />Internet<br />Asia DC<br />Europe DC<br />Europe DC<br />Router<br />Router<br />Router<br />DefensePro<br />Inflight<br />ADC<br />ADC<br />ADC<br />Web Servers<br />Web Servers<br />Web Servers<br />
  36. 36. ISP-4<br />Remote ISP Peering<br />ISP-A<br />ISP-A<br />ISP-B<br />ISP-B<br /><ul><li>Установка в «разрыв»
  37. 37. Защита от:
  38. 38. Сетевых DoS атаки аномалий
  39. 39. ПрикладныхDoS атак
  40. 40. Сканирования и взлома приложений
  41. 41. Использования уязвимостей
  42. 42. MSSP – защищает своих клиентов</li></ul>Border-Router-2<br />Border-Router-1<br />Active<br />Backup<br />Active<br />Backup<br />ISP-1<br />ISP-3<br />ISP-2<br />Оператор сотовой связи и ISP в Израиле<br />Local ISP Peering<br />
  43. 43. Оператор сотовой связи и ISP в Израиле<br />Slide 25<br />Распространение<br />Malware<br />Вторжение<br />Безопасная среда<br />Атаки уровня сервера<br />АтакиDoS/DDoS<br />IPS на основе сигнатур<br />NBAуровня пользователя <br />NBA уровня приложения <br />NBAуровня сети<br />ЗащитаDDoS<br />Архитектура защиты <br />Вне линии<br />В разрыв <br />
  44. 44. Финансовая компания, Новостной сайт<br />Решение для дублирования ЦОД <br />Internet<br />Multiple DefensePros<br />Router<br />Access Router<br />ADC Infrastructure <br />Firewall Cluster<br />Анализ поведения:<br /><ul><li>Предотвращение взломов </li></ul>IPS:<br /><ul><li>Профиль уязвимости ЦОД
  45. 45. Специальные сигнатуры для фирменных протоколов, используемых при торгах</li></ul>Защита DoS :<br /><ul><li>Предотвращение интенсивных атак DoS/DDoS
  46. 46. Предотвращение сканирования сети
  47. 47. Предотвращение атак с высоким числом PPS без влияния на легитимный трафик </li></ul>Slide 26<br />
  48. 48. Поставщик услуг VoIP<br />Slide 27<br />Сетевая архитектура<br />POP #1<br />POP #3<br />VoIP and DNS servers<br />VoIP and DNS servers<br />Backbone<br />POP #2<br />POP #4<br />VoIP and DNS servers<br />VoIP and DNS servers<br />Page 27<br />
  49. 49. Пару слов о наших решениях<br />
  50. 50. Решения для безопасности сетей и ЦОД<br />Slide 29<br />NBA<br />Internet<br />Anti Trojan / phishing<br />DoS Protection<br />IPS<br />Access Router<br />Firewall<br />Web Servers<br />Application Servers<br /><ul><li> IPS
  51. 51. DoSзащита
  52. 52. NBA
  53. 53. Anti Trojan, Anti Phishing</li></ul>IPS<br />DoS<br />защита<br />NBA<br />Reputation Engine<br />APSoluteпредупреждение атак для ЦОД<br />
  54. 54. Inbound Traffic<br />Initial Filter<br />Real-Time Signature<br />Final Filter<br />Start<br />mitigation<br />10+X<br />Filtered Traffic<br />Outbound Traffic<br />Анализ поведения сети и сигнатуры в реальном времени <br />Mitigation optimization process<br />Public Network<br />Closed feedback<br />3<br />Traffic characteristics <br />Learning<br />Up to 10<br />0<br />Time [sec]<br />Degree of Attack = Low <br />Degree of Attack = High <br />Initial filter is generated:<br />Packet ID <br />Filter Optimization:<br />Packet ID AND Source IP<br />Filter Optimization:<br />Packet ID AND Source IP AND Packet size <br />1<br />2<br />Filter Optimization:<br />Packet ID AND Source IP AND Packet size AND TTL <br />5<br />Detection Engine<br />Blocking Rules<br />Statistics<br />Degree of Attack = Low <br />(Positive Feedback)<br />Degree of Attack = High<br />(Negative Feedback) <br />Signature parameters<br /><ul><li>Source/Destination IP
  55. 55. Source/Destination Port
  56. 56. Packet size
  57. 57. TTL (Time To Live)
  58. 58. DNS Query
  59. 59. Packet ID
  60. 60. TCP sequence number
  61. 61. More … (up to 20)</li></ul>Narrowest filters <br /><ul><li>Packet ID
  62. 62. Source IP Address
  63. 63. Packet size
  64. 64. TTL (Time To Live)</li></ul>RT Signatures<br />4<br />LAN<br />Slide 30<br />
  65. 65. 5 причин выбрать Radware<br /><ul><li>Полное решение, включающее:</li></ul> IPS, NBA, DoS и RSA<br /><ul><li>Лучшее решение защиты отDDoS
  66. 66. NBA : создание сигнатур «на лету»
  67. 67. NBA & IPS - Лучшее решение для защиты чувствительной среды SIP
  68. 68. Мы - компания которая умеет слушать!</li></ul>Slide 31<br />
  69. 69. Спасибо за внимание!<br />

×