Wieloetapowe filtrowanie ruchu DDoS za pomocą Wanguard i nie tylko

1. www.itoro.com.pl
Wieloetapowe filtrowanie
ruchu DDoS za pomocą
Wanguard i nie tylko
PLONG 21, Kraków 1-2.10.2018 r.

2. | PLNOG 21 | Kraków 1-2.10.2018 r. | 2
O ITORO
• Duże doświadczenie
• Pełne wsparcie przed i po wdrożeniu
• Kompleksowa obsługa i doradztwo
• Odciążenie działów technicznych
• Tuning serwerów i systemów Linux
• Pomagamy optymalizować koszty
• Szkolenia z obsługi systemu Wanguard• Jedyny na świecie
• Wdrożenia Wanguard
( ochrona przed atakami DDoS )

3. | PLNOG 21 | Kraków 1-2.10.2018 r. | 3
 Port mirror
 Aktywny / Pasywny monitoring
 sFLOW
 Sampling pakietów
 NetFlow
Na co należy zwrócić uwagę przy wyborze odpowiedniej metody:
• Infrastrukturę sieciową
• Dostępne protokoły na routerach
• Ograniczenia wydajności routerów i oprogramowania
Metody zbierania ruchu

4. | PLNOG 21 | Kraków 1-2.10.2018 r. | 4
Dlaczego jesteśmy atakowani?
• Konkurencja 
• Online Gaming
• Przygotowanie do innego ataku (poza DDoSem )
• Zabawa swoim nowym botnem / klient botnetu
• Wymuszenia / szantaże
• Zemsta za DDoS z naszej sieci

5. Kto jest celem ataków DDoS
Centra danych (hosting)
Instytucje finansowe i rządowe
Dostawcy Internetu (ISP)
| PLNOG 21 | Kraków 1-2.10.2018 r.
Serwisy gier online / hazardowe
| 5

6. Dobre praktyki
Łącza
Zapas pojemności łączy
zagranicznych oraz
peeringowych.
Polityki BGP
Ograniczenia importu, anti
spoofing, BGP BCOP 38.
Ochrona DDoS / WAF
Aktywna i automatyczna reakcja na
zagrożenia.
Monitorowanie
Monitorowanie ruchu z
zewnątrz oraz wewnątrz firmy.
| PLNOG 21 | Kraków 1-2.10.2018 r.
Rozproszenie
Podzielenie sieci na mniejsze segmenty,
filtrowanie źródłowe ruchu z regionu
EU / Świat / Państwa.
Plan akcji
Plan zagrożeń i procedury.
Public relations – informacja o awariach.
| 6

7. | PLNOG 21 | Kraków 1-2.10.2018 r.
Usługi wykorzystujące amplifikacje
| 7
źródło: https://www.us-cert.gov/ncas/alerts/TA14-017A
10000-51000
557
358
140
28-54
56-70
30
7-28
6
4
Memcached
NTP
CharGEN
QOTD
DNS
C-LDAP
SSDP
Portmap
SNMP
NetBIOS
11211
123
19
17
53
389
1900
111
161
137,138,139
Amplifikacja Protokół Port

8. SSDP
(UDP/1900)
NTP
(UDP/123)
DNS
(UDP/53)
Country Total
China 754,310
Russian Federation 478,475
Korea, Republic of 317,018
Venezuela 194,793
United States 169,473
Country Total
China 1,263,833
United States 319,053
Korea, Republic of 164,772
Russian Federation 144,922
Taiwan 115,780
Country Total
United States 738,940
Russian Federation 344,357
China 221,828
Brazil 158,221
Germany 139,066
Statystyki – czy trzeba się bać ?
| 8

9. | PLNOG 21 | Kraków 1-2.10.2018 r.
Warstwa 3 i 4
UDP Flood, Ataki SYN/ACK, ICMP
Warstwa 5 i 6
DNS/SSL Flood
Warstwa 7
HTTP POST/GET
Warstwa 7
XML-RPC Flood
XSS
SQL INJECTION
> 80 % ataków
< 20 % ataków
Dystrybucja
ataków
DNS, NTP, C-LDAP
CharGEN, SSDP
Udział ataków
| 9

10. | PLNOG 21 | Kraków 1-2.10.2018 r. | 10
Prędkości ataków
67%
11%
9%
9%
3%
0% 10% 20% 30% 40% 50% 60% 70% 80%
< 500 Mb/s
<1 Gb/s
1 - 2 Gb/s
2 - 5 Gb/s
5 - 10 Gb/s
| 10

11. | PLNOG 21 | Kraków 1-2.10.2018 r. | 11
Podsumowanie dla ISP
Czas trwania ataków <30 sekund na abonentów
Czas ataków na infrastrukturę - dłuższy: 1-6 godzin
Wiele wektorów ataku ( NTP / DNS / SSDP / ICMP )
RTBH mniej skuteczny –przez ataki Carpet Bomb
Uwagi
| 11

12. | PLNOG 21 | Kraków 1-2.10.2018 r.
Ważne pojęcia
Black Hole Routing ( Remotely Triggered Black Hole Routing )
Blokada przychodzącego ruchu na docelowy adres IP.
FlowSpec ( RFC 5575 )
Rozgłaszanie reguł o ruchu za pomocą protokołu BGP.
Pozwala na różne akcje :
- usunięcie / ograniczenie ilości pakietów
- przekierowanie
- ustawienie bitów DSCP ( Differentiated Services ) w celu zapewnienia QoS
| 12

13. Internet
Nasza
Sieć
Black Hole Routing
| PLNOG 21 | Kraków 1-2.10.2018 r. | 13
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Kopia ruchu
BGP Update
Black Hole IP

14. | PLNOG 21 | Kraków 1-2.10.2018 r.
Możliwości ochrony przed atakami DDoS
Blokada ruchu Remotely Triggered Black Hole Routing (RTBH)
• Black Hole IP
• Black Hole Selektywny ( Świat / Regiony / Kraje / Peeringi)
Filtrowanie ruchu :
• Blokowanie lub ograniczenie protokołów wykorzystujących amplifikacje
• Filtrowanie na serwerach za pomocą kart sieciowych lub iptables
• Filtrowanie za pomocą FlowSpec na routerach
| 14

15. | PLNOG 21 | Kraków 1-2.10.2018 r. | 15
FlowSpec
Reguły FlowSpec:
• Źródłowy/ Docelowy IP
• Źródłowy/ Docelowy Port
• Protokół
• Długość Pakietu
• Flagi TCP
• Fragmentacja pakietów
Akcje FlowSpec do wykonania:
• Ustawienie limitu prędkości ( np.: 10Mb/s lub 0 )
• Ustawienie bitów DSCP
• Przekierowanie do Target VRF ( Juniper & Cisco )
• Przekierowanie do IP NextHop ( Cisco )

16. | PLNOG 21 | Kraków 1-2.10.2018 r.
FlowSpec
CISCO – Limit 3000 reguł
ASR 1xxx
ASR 9xxx
CSR 1000v
CRS-3 (Taiko) LC, CRS-X (Topaz) LC
NCS 5500/6000
XRv 9000
Juniper – Limit 8000 reguł
Seria MX
PTX 10002
QFX 1000[2/8/16]
SRX
Sprawdź czy Twój router
wspiera FlowSpec !
| 16

17. Internet
Nasza
Sieć
Filtrowanie – 3 stopniowe
Wejście
Powrót
| PLNOG 21 | Kraków 1-2.10.2018 r. | 17
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Scrubbing Center
Kopia ruchu
BGP FlowSpec Drop

18. Internet
Nasza
Sieć
Filtrowanie – 2 stopniowe bez FlowSpec
Wejście Powrót ruchu
| PLNOG 21 | Kraków 1-2.10.2018 r. | 18
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Scrubbing Center
Kopia ruchu

19. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie bez FlowSpec

20. | PLNOG 21 | Kraków 1-2.10.2018 r. | 20
Chain wanguard_4_2_0 (0 references)
pkts bytes target prot opt in out source destination
Chain wanguard_custom (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth7 * 0.0.0.0/0 0.0.0.0/0
multiport sports 123 limit: above 500/sec burst 5
9399K 13G RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Wanguard - Filtrowanie Software

21. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie

22. | PLNOG 21 | Kraków 1-2.10.2018 r. | 22
#cat /sys/kernel/debug/cxgb4/0000:05:00.4/filters
LE-TCAM Filters:
[[Legend: '!' => locked; '+' => pending set; '-' => pending clear]]
Idx Hits Hit-Bytes FCoE Port vld:iVLAN Prot MPS Frag
LIP FIP LPORT FPORT Action
10 823481 0 0/0 0/0 0:0000/0:0000 11/ff 0/0 0/0
00000000/00000000 00000000/00000000 0000/0000 007b/ffff Drop
Wanguard - Filtrowanie Hardware

23. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie z FlowSpec

24. | PLNOG 21 | Kraków 1-2.10.2018 r. | 24
Wanguard - Filtrowanie Hardware FlowSpec
mx80.lab> show firewall filter __flowspec_default_inet__
Filter: __flowspec_default_inet__
Counters:
Name Bytes Packets
*,1.1.1.1,proto=17,srcport=123 841816 5234116
mx80.lab> show route protocol bgp table inetflow.0 extensive
inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
*,1.1.1.1,proto=17,srcport=123/term:2 (1 entry, 1 announced)
TSI:
KRT in dfwd;
Action(s): routing-instance DIRTY-VRF,count
*BGP Preference: 170/-101
Next hop type: Fictitious, Next hop index: 0
Next-hop reference count: 1
State: <Active Int Ext>
Local AS: 65000 Peer AS: 65000
Age: 37
Task: BGP_65000.10.0.9.66
Announcement bits (1): 0-Flow
AS path: I
Communities: traffic-rate:0:1875
Accepted
Localpref: 100
Router ID: 10.0.9.66

25. Szybkie wdrożenie Wanguard z FlowSpec
Wdrożenie
• Wystarczy 1 router !
• Konfiguracja sesji BGP.
• Brak pętli dzięki FlowSpec !
• Użycie VRF zamiast GRE.
Filtracja
• Wanguard wysyła reguły filtrujące.
• Automatyczna filtracja za pomocą
dostępnych metod.
Ochrona
| PLNOG 21 | Kraków 1-2.10.2018 r. | 25
• Monitorowanie sieci.
• Raporty na e-mail.

26. | PLNOG 21 | Kraków 1-2.10.2018 r.
Sposoby na skuteczną redukcję ataków
• Korzystanie z serwisów n6 CERT i ShadowServer
• Blokada portów używanych do ataków
• Blokada spoofowanych adresów z naszej sieci (Spoofer) *
• Czynne skanowanie swojej sieci (np.: OpenVAS, Suricata)
• Monitoring wyjściowego ruchu sieciowego
* https://www.caida.org/projects/spoofer/

27. Piotr Okupski
| PLNOG 21 | Kraków 1-2.10.2018 r. | 27
itoro.com.pl