2. | PLNOG 21 | Kraków 1-2.10.2018 r. | 2
O ITORO
• Duże doświadczenie
• Pełne wsparcie przed i po wdrożeniu
• Kompleksowa obsługa i doradztwo
• Odciążenie działów technicznych
• Tuning serwerów i systemów Linux
• Pomagamy optymalizować koszty
• Szkolenia z obsługi systemu Wanguard• Jedyny na świecie
• Wdrożenia Wanguard
( ochrona przed atakami DDoS )
3. | PLNOG 21 | Kraków 1-2.10.2018 r. | 3
Port mirror
Aktywny / Pasywny monitoring
sFLOW
Sampling pakietów
NetFlow
Na co należy zwrócić uwagę przy wyborze odpowiedniej metody:
• Infrastrukturę sieciową
• Dostępne protokoły na routerach
• Ograniczenia wydajności routerów i oprogramowania
Metody zbierania ruchu
4. | PLNOG 21 | Kraków 1-2.10.2018 r. | 4
Dlaczego jesteśmy atakowani?
• Konkurencja
• Online Gaming
• Przygotowanie do innego ataku (poza DDoSem )
• Zabawa swoim nowym botnem / klient botnetu
• Wymuszenia / szantaże
• Zemsta za DDoS z naszej sieci
5. Kto jest celem ataków DDoS
Centra danych (hosting)
Instytucje finansowe i rządowe
Dostawcy Internetu (ISP)
| PLNOG 21 | Kraków 1-2.10.2018 r.
Serwisy gier online / hazardowe
| 5
6. Dobre praktyki
Łącza
Zapas pojemności łączy
zagranicznych oraz
peeringowych.
Polityki BGP
Ograniczenia importu, anti
spoofing, BGP BCOP 38.
Ochrona DDoS / WAF
Aktywna i automatyczna reakcja na
zagrożenia.
Monitorowanie
Monitorowanie ruchu z
zewnątrz oraz wewnątrz firmy.
| PLNOG 21 | Kraków 1-2.10.2018 r.
Rozproszenie
Podzielenie sieci na mniejsze segmenty,
filtrowanie źródłowe ruchu z regionu
EU / Świat / Państwa.
Plan akcji
Plan zagrożeń i procedury.
Public relations – informacja o awariach.
| 6
8. SSDP
(UDP/1900)
NTP
(UDP/123)
DNS
(UDP/53)
Country Total
China 754,310
Russian Federation 478,475
Korea, Republic of 317,018
Venezuela 194,793
United States 169,473
Country Total
China 1,263,833
United States 319,053
Korea, Republic of 164,772
Russian Federation 144,922
Taiwan 115,780
Country Total
United States 738,940
Russian Federation 344,357
China 221,828
Brazil 158,221
Germany 139,066
Statystyki – czy trzeba się bać ?
| 8
11. | PLNOG 21 | Kraków 1-2.10.2018 r. | 11
Podsumowanie dla ISP
Czas trwania ataków <30 sekund na abonentów
Czas ataków na infrastrukturę - dłuższy: 1-6 godzin
Wiele wektorów ataku ( NTP / DNS / SSDP / ICMP )
RTBH mniej skuteczny –przez ataki Carpet Bomb
Uwagi
| 11
12. | PLNOG 21 | Kraków 1-2.10.2018 r.
Ważne pojęcia
Black Hole Routing ( Remotely Triggered Black Hole Routing )
Blokada przychodzącego ruchu na docelowy adres IP.
FlowSpec ( RFC 5575 )
Rozgłaszanie reguł o ruchu za pomocą protokołu BGP.
Pozwala na różne akcje :
- usunięcie / ograniczenie ilości pakietów
- przekierowanie
- ustawienie bitów DSCP ( Differentiated Services ) w celu zapewnienia QoS
| 12
13. Internet
Nasza
Sieć
Black Hole Routing
| PLNOG 21 | Kraków 1-2.10.2018 r. | 13
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Kopia ruchu
BGP Update
Black Hole IP
14. | PLNOG 21 | Kraków 1-2.10.2018 r.
Możliwości ochrony przed atakami DDoS
Blokada ruchu Remotely Triggered Black Hole Routing (RTBH)
• Black Hole IP
• Black Hole Selektywny ( Świat / Regiony / Kraje / Peeringi)
Filtrowanie ruchu :
• Blokowanie lub ograniczenie protokołów wykorzystujących amplifikacje
• Filtrowanie na serwerach za pomocą kart sieciowych lub iptables
• Filtrowanie za pomocą FlowSpec na routerach
| 14
15. | PLNOG 21 | Kraków 1-2.10.2018 r. | 15
FlowSpec
Reguły FlowSpec:
• Źródłowy/ Docelowy IP
• Źródłowy/ Docelowy Port
• Protokół
• Długość Pakietu
• Flagi TCP
• Fragmentacja pakietów
Akcje FlowSpec do wykonania:
• Ustawienie limitu prędkości ( np.: 10Mb/s lub 0 )
• Ustawienie bitów DSCP
• Przekierowanie do Target VRF ( Juniper & Cisco )
• Przekierowanie do IP NextHop ( Cisco )
16. | PLNOG 21 | Kraków 1-2.10.2018 r.
FlowSpec
CISCO – Limit 3000 reguł
ASR 1xxx
ASR 9xxx
CSR 1000v
CRS-3 (Taiko) LC, CRS-X (Topaz) LC
NCS 5500/6000
XRv 9000
Juniper – Limit 8000 reguł
Seria MX
PTX 10002
QFX 1000[2/8/16]
SRX
Sprawdź czy Twój router
wspiera FlowSpec !
| 16
17. Internet
Nasza
Sieć
Filtrowanie – 3 stopniowe
Wejście
Powrót
| PLNOG 21 | Kraków 1-2.10.2018 r. | 17
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Scrubbing Center
Kopia ruchu
BGP FlowSpec Drop
18. Internet
Nasza
Sieć
Filtrowanie – 2 stopniowe bez FlowSpec
Wejście Powrót ruchu
| PLNOG 21 | Kraków 1-2.10.2018 r. | 18
Firewall
Black Hole Routing (RTBH)
FlowSpecPE Router
Switch
Scrubbing Center
Kopia ruchu
19. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie bez FlowSpec
20. | PLNOG 21 | Kraków 1-2.10.2018 r. | 20
Chain wanguard_4_2_0 (0 references)
pkts bytes target prot opt in out source destination
Chain wanguard_custom (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- eth7 * 0.0.0.0/0 0.0.0.0/0
multiport sports 123 limit: above 500/sec burst 5
9399K 13G RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Wanguard - Filtrowanie Software
21. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie
23. | PLNOG 21 | Kraków 1-2.10.2018 r.
Wanguard - Filtrowanie z FlowSpec
24. | PLNOG 21 | Kraków 1-2.10.2018 r. | 24
Wanguard - Filtrowanie Hardware FlowSpec
mx80.lab> show firewall filter __flowspec_default_inet__
Filter: __flowspec_default_inet__
Counters:
Name Bytes Packets
*,1.1.1.1,proto=17,srcport=123 841816 5234116
mx80.lab> show route protocol bgp table inetflow.0 extensive
inetflow.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
*,1.1.1.1,proto=17,srcport=123/term:2 (1 entry, 1 announced)
TSI:
KRT in dfwd;
Action(s): routing-instance DIRTY-VRF,count
*BGP Preference: 170/-101
Next hop type: Fictitious, Next hop index: 0
Next-hop reference count: 1
State: <Active Int Ext>
Local AS: 65000 Peer AS: 65000
Age: 37
Task: BGP_65000.10.0.9.66
Announcement bits (1): 0-Flow
AS path: I
Communities: traffic-rate:0:1875
Accepted
Localpref: 100
Router ID: 10.0.9.66
25. Szybkie wdrożenie Wanguard z FlowSpec
Wdrożenie
• Wystarczy 1 router !
• Konfiguracja sesji BGP.
• Brak pętli dzięki FlowSpec !
• Użycie VRF zamiast GRE.
Filtracja
• Wanguard wysyła reguły filtrujące.
• Automatyczna filtracja za pomocą
dostępnych metod.
Ochrona
| PLNOG 21 | Kraków 1-2.10.2018 r. | 25
• Monitorowanie sieci.
• Raporty na e-mail.
26. | PLNOG 21 | Kraków 1-2.10.2018 r.
Sposoby na skuteczną redukcję ataków
• Korzystanie z serwisów n6 CERT i ShadowServer
• Blokada portów używanych do ataków
• Blokada spoofowanych adresów z naszej sieci (Spoofer) *
• Czynne skanowanie swojej sieci (np.: OpenVAS, Suricata)
• Monitoring wyjściowego ruchu sieciowego
* https://www.caida.org/projects/spoofer/