DDoS Solution Architecture and Current Threats

Transcript

1. qrator.net 2017 ЛОГИКА ПОСТРОЕНИЯ РЕШЕНИЯ ПО ЗАЩИТЕ ОТ DDOS-АТАК ВЗАИМОСВЯЗЬ

   С АКТУАЛЬНЫМИ УГРОЗАМИ

2. qrator.net 2017 Классификация атак

3. qrator.net 2017 Классификация атак ISO/OSI: •L2 •L3 •L4 •L5-L7

4. qrator.net 2017 Классификация атак •L2 ICMP Flood, UDP Flood, *

   Amplification, … •L3 Атаки на сетевую инфраструктуру •L4 Атаки на TCP: SYN Flood, TCP connection flood, … •L5-L7 Атаки прикладного уровня, имитирующие поведение пользователя

5. qrator.net 2017 Классификация атак •L2 ICMP Flood, UDP Flood, *

   Amplification, … 1 терабит/с •L3 Атаки на сетевую инфраструктуру •L4 Атаки на TCP: SYN Flood, TCP connection flood, … •L5-L7 Атаки прикладного уровня, имитирующие поведение пользователя

6. qrator.net 2017 • NTP • DNS • SNMP • SSDP

   • ICMP • NetBIOS • LDAP • RIPv1 • PORTMAP • CHARGEN • QOTD • Quake • Steam • … Vulnerable protocols Атаки с амплификацией

7. qrator.net 2017 Спад в низкоуровневых атаках

8. qrator.net 2017 Новые угрозы • Интернет Вещей

9. qrator.net 2017 Интернет Вещей • IP-камеры, роутеры, смартфоны, кофеварки… •

   Дешёвое ПО без обновлений безопасности

10. qrator.net 2017 Интернет Вещей • Множество ботнетов

11. qrator.net 2017 Интернет Вещей • Множество ботнетов • Mirai

12. qrator.net 2017 Интернет Вещей • Множество ботнетов • Mirai 21:30:01.226868

    IP 94.251.116.51 > 178.248.233.141: GREv0, length 544: IP 184.224.242.144.65323 > 167.42.221.164.80: UDP, length 512 21:30:01.226873 IP 46.227.212.111 > 178.248.233.141: GREv0, length 544: IP 90.185.119.106.50021 > 179.57.238.88.80: UDP, length 512 21:30:01.226881 IP 46.39.29.150 > 178.248.233.141: GREv0, length 544: IP 31.173.79.118.42580 > 115.108.7.79.80: UDP, length 512

13. qrator.net 2017 Интернет Вещей • Множество ботнетов • Mirai

14. qrator.net 2017 Интернет Вещей • Множество ботнетов • Mirai

15. qrator.net 2017 Интернет Вещей • Множество ботнетов • Mirai •

    Hajime • Persirai • …

16. qrator.net 2017 Новые угрозы • Интернет Вещей • ShadowBrokers

17. qrator.net 2017 Новые угрозы • Интернет Вещей • ShadowBrokers •

    Pingback

18. qrator.net 2017 Wordpress Pingback GET /whatever User-Agent: WordPress/3.9.2; http://example.com/; verifying

    pingback from 192.0.2.150 • 150 000 – 170 000 уязвимых серверов в одной атаке

19. qrator.net 2017 Pingback: HTTP/HTTPS <methodCall> <methodName>pingback.ping</methodName> <params> <param> <value><string>https://victim.com/</string></value> </param>

    <param> <value> <string> http://reflector.blog/2016/12/01/blog_post </string> </value> </param> </params> </methodCall>

20. qrator.net 2017 Wordpress Pingback GET /whatever User-Agent: WordPress/3.9.2; http://example.com/; verifying

    pingback from 192.0.2.150 • 150 000 – 170 000 уязвимых серверов в одной атаке • Умеют SSL/TLS

21. qrator.net 2017 Wordpress Pingback GET /whatever User-Agent: WordPress/3.9.2; http://example.com/; verifying

    pingback from 192.0.2.150 • 150 000 – 170 000 уязвимых серверов в одной атаке • Умеют SSL/TLS • Миллионы уязвимых серверов в Интернете

22. qrator.net 2017 Активность DDoS-атак по отрасли, 2014-2016 гг.

23. qrator.net 2017 Классификация атак •L2 ICMP Flood, UDP Flood, *

    Amplification, … •L3 Атаки на сетевую инфраструктуру •L4 Атаки на TCP: SYN Flood, TCP connection flood, … •L5-L7 Атаки прикладного уровня, имитирующие поведение пользователя

24. qrator.net 2017 Классификация атак •L2 ICMP Flood, UDP Flood, *

    Amplification, … •L3 Атаки на сетевую инфраструктуру •L4 Атаки на TCP: SYN Flood, TCP connection flood, … •L5-L7 Атаки прикладного уровня, имитирующие поведение пользователя

25. qrator.net 2017 Логика построения сети • Внутренние факторы

26. qrator.net 2017 Логика построения сети • Внутренние факторы • Внешние

    факторы

27. qrator.net 2017 Логика построения сети • Внутренние факторы • Внешние

    факторы Основная задача: аутсорсинг управления рисками

28. qrator.net 2017 Вопросы, замечания, предложения? Артём Гавриченков <[email protected]>

29. qrator.net 2017 Цели • Забава • Самореклама, демонстрация возможностей •

    Ограничение доступа к информации • Месть • Шантаж • Конкуренция на рынке

30. qrator.net 2017 Цели • Забава • Самореклама, демонстрация возможностей •

    Ограничение доступа к информации • Месть • Шантаж • Конкуренция на рынке

31. qrator.net 2017 Цели • Забава • Самореклама, демонстрация возможностей •

    Ограничение доступа к информации • Месть • Шантаж • Конкуренция на рынке

32. qrator.net 2017 Цели • Забава • Самореклама, демонстрация возможностей •

    Ограничение доступа к информации • Месть • Шантаж • Конкуренция на рынке

33. qrator.net 2017 Обзор методик подключения

34. qrator.net 2017 Обзор методик подключения • Ingress protection • 2-way

    mitigation

35. qrator.net 2017 Обзор методик подключения Ingress protection 2-way mitigation

36. qrator.net 2017 Обзор методик подключения Ingress protection • Легко интегрируется

    • Защищает от ряда простых сетевых DDoS-атак: Amplification, ICMP Flood, … 2-way mitigation

37. qrator.net 2017 «Тройное рукопожатие»

38. qrator.net 2017 TLS-рукопожатие

39. qrator.net 2017 TCP-соединение

40. qrator.net 2017 HTTP-запрос

41. qrator.net 2017 Обзор методик подключения Ingress protection • Легко интегрируется

    • Защищает от ряда простых сетевых DDoS-атак: Amplification, ICMP Flood, … • Не защищает от атак, начиная с транспортного уровня • Не защищает от атак сетевого уровня с IoT, Wordpress, etc. 2-way mitigation

42. qrator.net 2017 Обзор методик подключения Ingress protection • Легко интегрируется

    • Защищает от ряда простых сетевых DDoS-атак: Amplification, ICMP Flood, … • Не защищает от атак, начиная с транспортного уровня • Не защищает от атак сетевого уровня с IoT, Wordpress, etc. 2-way mitigation • Может защищать от DDoS-атак на всех уровнях сети • Может учитывать параметры работоспособности ресурса при фильтрации

43. qrator.net 2017 Обзор методик подключения Ingress protection • Легко интегрируется

    • Защищает от ряда простых сетевых DDoS-атак: Amplification, ICMP Flood, … • Не защищает от атак, начиная с транспортного уровня • Не защищает от атак сетевого уровня с IoT, Wordpress, etc. 2-way mitigation • Может защищать от DDoS-атак на всех уровнях сети • Может учитывать параметры работоспособности ресурса при фильтрации • Сложна в построении

44. qrator.net 2017 Incapsula

45. qrator.net 2017 Incapsula

46. qrator.net 2017 Incapsula

47. qrator.net 2017 CDN+DDoSM User ISP 1 Tier-1 ISP ISP 2

    Target site Tier-1 ISP 1

48. qrator.net 2017 CDN+DDoSM User ISP 1 Tier-1 ISP Qrator ISP

    2 Target site Tier-1 ISP 1

49. qrator.net 2017 CDN+DDoSM User ISP 1 Tier-1 ISP Qrator ISP

    2 Target site Tier-1 ISP 1

50. qrator.net 2017 TIME: 05/16/17 08:46:49 TYPE: BGP4MP/MESSAGE/Update FROM: *** AS12389

    TO: *** AS197068 ORIGIN: IGP ASPATH: 12389 19551 1299 3356 9680 3462 NEXT_HOP: *** COMMUNITY: 1299:20000 12389:6 12389:7 12389:1711 ANNOUNCE 1.164.0.0/16 1.168.0.0/16 1.161.0.0/16 1.174.0.0/16 Rostelecom Telia Incapsula??

51. qrator.net 2017 TIME: 05/16/17 08:46:49 TYPE: BGP4MP/MESSAGE/Update FROM: *** AS12389

    TO: *** AS197068 ORIGIN: IGP ASPATH: 12389 19551 1299 3356 9680 3462 NEXT_HOP: *** COMMUNITY: 1299:20000 12389:6 12389:7 12389:1711 ANNOUNCE 1.164.0.0/16 1.168.0.0/16 1.161.0.0/16 1.174.0.0/16 Rostelecom Telia Incapsula?? Russia Telia Incapsula Europe Rostelecom

52. qrator.net 2017 CDN+DDoSM User ISP 1 Tier-1 ISP Qrator ISP

    2 Target site Tier-1 ISP 1

53. qrator.net 2017 CDN+DDoSM User ISP 1 CDN Tier-1 ISP Qrator

    ISP 2 Target site Tier-1 ISP 1

54. qrator.net 2017 CDN+DDoSM User ISP 1 CDN Tier-1 ISP Qrator

    ISP 2 Target site Tier-1 ISP 1

55. qrator.net 2017 Характер схемы защиты • 2-Way Mitigation • Без

    “переключения при атаке” • Выделенные каналы связи — latency и стабильность • Вариативность подключения (префиксы, DNS)

56. qrator.net 2017 L2-связность

57. qrator.net 2017 L2-связность

58. qrator.net 2017 Логическая связность

59. qrator.net 2017 Решение для защиты статического контента •G2O •Поинцидентное переключение

    DNS

60. qrator.net 2017 Ключевые особенности • Защита от L2 до L7

    без CAPTCHA и других челленджей • Защита шифрованных сервисов без раскрытия • Масштабируемость по числу сервисов • Решение для CDN

61. qrator.net 2017 The Solution:: Network Intelligence •L5-L7 Application-level attacks, mimicking

    human behaviour That’s how they are doing it: “5-Ring Application (Layer 7) DDoS Protection: • Ring 5: Client Classification vs Volumetric Layer 7 Attacks • Ring 4: Visitor Whitelisting and Reputation • Ring 3: Web Application Firewall for Direct Attack Vectors • Ring 2: Progressive Challenges • Ring 1: Behavioral Anomaly Detection (last resort)”

62. qrator.net 2017 • Why on Earth you even need “progressive

    challenges” (i.e. Recaptcha) if your behavioral anomaly detection is good enough? “5-Ring Application (Layer 7) DDoS Protection: • Ring 5: Client Classification vs Volumetric Layer 7 Attacks • Ring 4: Visitor Whitelisting and Reputation • Ring 3: Web Application Firewall for Direct Attack Vectors • Ring 2: Progressive Challenges • Ring 1: Behavioral Anomaly Detection (last resort)”

63. qrator.net 2017 21:30:01.226868 IP 94.251.116.51 > 178.248.233.141: GREv0, length 544:

    IP 184.224.242.144.65323 > 167.42.221.164.80: UDP, length 512 21:30:01.226873 IP 46.227.212.111 > 178.248.233.141: GREv0, length 544: IP 90.185.119.106.50021 > 179.57.238.88.80: UDP, length 512 21:30:01.226881 IP 46.39.29.150 > 178.248.233.141: GREv0, length 544: IP 31.173.79.118.42580 > 115.108.7.79.80: UDP, length 512

64. qrator.net 2017 The Solution:: Network Intelligence •L5-L7 Application-level attacks, mimicking

    human behaviour Behavior analysis. Correlation analysis. Server status monitoring. No active challenges whatsoever.