DoS útoky v síti CESNET2

Podobné dokumenty
Detekce volumetrických útoků a jejich mi4gace v ISP

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

SÍŤOVÁ INFRASTRUKTURA MONITORING

Architektura připojení pro kritické sítě a služby

Ondřej Caletka. 2. března 2014

Ondřej Caletka. 23. května 2014

Pravidla pro připojení do projektu FENIX

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Falšování DNS s RPZ i bez

Stránka, doména, URL, adresa

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Jak se měří Internet

Jak se měří Internet

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Technická analýza kyberútoků z března 2013

Flow Monitoring & NBA. Pavel Minařík

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Ondřej Caletka. 5. listopadu 2013

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Demo: Multipath TCP. 5. října 2013

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Technická specifikace zařízení

Dual-stack jako řešení přechodu?

Budování sítě v datových centrech

Routování směrovač. směrovač

DDoS útoky a jak se jim bránit

Aktivní prvky: brány a směrovače. směrovače

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Architektura připojení pro kritické sítě a služby

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

FlowGuard 2.0. Whitepaper

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Seminář o bezpečnosti sítí a služeb

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

FlowMon Monitoring IP provozu

ové služby a IPv6

Sledování sítě pomocí G3

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Internetworking security

MPLS MPLS. Label. Switching) Michal Petřík -

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

BCOP aneb jak správně nasazovat

Jak funguje SH Síť. Ondřej Caletka

CESNET, jeho e-infrastruktura a služby

DNSSEC na vlastní doméně snadno a rychle

Access Control Lists (ACL)

Flow monitoring a NBA

Bezpečnostní projekt Případová studie

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Ochrana soukromí v DNS

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Řešení jádra sítě ISP na otevřených technologiích

Obrana sítě - základní principy

BEZPEČNOST. Andrea Kropáčová CESNET Praha

}w!"#$%&'()+,-./012345<ya

IPv6 v CESNETu a v prostředí akademických sítí

Monitorování datových sítí: Dnes

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Sledování provozu sítě

Koncept. Centrálního monitoringu a IP správy sítě

Strategie sdružení CESNET v oblasti bezpečnosti

DNS, DHCP DNS, Richard Biječek

Nasazení a využití měřících bodů ve VI CESNET

Y36SPS Jmenné služby DHCP a DNS

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

BEZPEČNOSTNÍ MONITORING SÍTĚ

Principy a použití dohledových systémů

Identifikátor materiálu: ICT-3-03

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Co znamená IPv6 pro podnikovou informatiku.

Útok na DNS pomocí IP fragmentů

Analýza a zabezpečení počítačové sítě

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

K čemu slouží počítačové sítě

Inteligentní NetFlow analyzátor

Budování sítě v datových centrech

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Univerzitní sít - leden 2012

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Kybernetické hrozby jak detekovat?

SOUČASNOST A BUDOUCNOST SÍTĚ CESNET SÍŤOVÁ KOMUNIKAČNÍ INFRASTRUKTURA CESNET2

Jmenné služby a adresace

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Počítačové sítě II. 13. Směrování Miroslav Spousta,

Bezpečnost síťové části e-infrastruktury CESNET

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Transkript:

DoS útoky v síti CESNET2 Ondřej Caletka 31. května 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 1 / 19

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 2 / 19

Specifické podmínky NRENu dostatečně dimenzovaná páteřní síť velká variabilita legitimního provozu žádné filtrování 1 1 kromě povinných (BCP 38) či vyžádaných klientem Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 3 / 19

Typický týdenní provoz Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 4 / 19

Fenomén DoS zábava teenagerů útrácení kapesného za (D)DoS-as-a-Service cílem zejména herní a TeamSpeak servery spolužáků velký problém pro provozovatele VPS hacktivismus rozbíjení nepopulárních služeb předpověď DoSů v blízké budoucnosti: systém elektronické evidence tržeb stránky MF ČR se seznamem blokovaných internetových stránek krátké trvání útoků (méně než pět minut) často nedetekované monitoringem zásadním způsobem naruší real-time služby lidé si dnes všímají rychleji než monitoring Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 5 / 19

Příklad krátkodobého zaplavení UDP pakety Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 6 / 19

Trendy v (D)DoS použití bezespojových protokolů, často v kombinaci s falšováním zdrojových adres a odrazným/zesilujícím útokem TCP SYN flood DNS NTP SNMP SSDP DNS dotazy na náhodné subdomény použití ORR v kombinaci s botnetem nebo falšováním zdrojových adres cílem je přetížit autoritativní servery daného doménového jména zpětný rozptyl na rekurzivní resolvery Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 7 / 19

Proč operátoři neimplementují BCP 38? čím blíže ke koncové síti, tím je to snazší jednoduchý urpf-check nefunguje při multihomingu výrobci síťových prvků často stále nepodporují automatické filtrování kompatibilní s multihomingem (Feasible Reverse Path Forwarding BCP 84) uvolněná kontrola RPF-loose je neúčinná naše řešení: ACL na zákaznických portech ručně spravované náchylné na chyby nejspíše příliš nákladné pro většinu ISP Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 8 / 19

Zkušenosti s DoS v síti CESNET2 klientský router ohlašuje /16, ale pouze /17 je dále zpracováno pakety do zbývajících /17 se vrací zpět do páteře klientská linka je přetížena souhrný tok při útoku dokáže snadno zahltit 10Gbps přípojku Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 9 / 19

Přijatá protiopatření RTBH pro klienty útoky míří na malé množství IP adres zahození provozu již v páteři brání přetížení klientské linky připravujeme jemnější RTBH založené na BGP Flowspec omezení rychlosti určitých protokolů na vnějším perimetru sítě pro bezespojové protokoly jako NTP, SNMP, typický NTP provoz ~2 Mbps různé velikosti paketů pro normální provoz a pro útok omezení rychlosti DNS odpovědí pro různě sítě samostatné fronty pro skupinu /16 včetně omezení četnosti IP fragmetů (!) Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 10 / 19

Remotely triggered black hole filtering distribuce směrovacích pravidel protokolem BGP směrování nežádoucího provozu do černé díry hned u zdroje místo zahození možno přesměrovat na IPFIX sondu k analýze možnost redistribuce pravidel do Tier-1 (TeliaSonera) povinné v rámci klubu FENIX Zdroj: Cisco Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 11 / 19

GÉANT Firewall-on-demand služba provozovatele panevropské akademické páteře každý NREN může nastavovat pravidla pro své adresy pravidla jsou aplikována v celé páteři Zdroj: GÉANT Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 12 / 19

Unwanted Traffic Removal Service komunitní služba zajišťovaná organizací Team Cymru centrální BGP route server operátoři jeho prostřednictvím sdílí adresy, na které si nepřejí přijímat provoz participující operátoři zahazují provoz pro dané adresy už ve své síti Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 13 / 19

Praktické nasazení QoS NTP ukázka z reálného 10GbE rozhraní za 4 měsíce v době útoku saturováno NTP pakety QoS pravidlo zahazuje pouze v době útoku Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 14 / 19

Praktické nasazení QoS NTP detail detail jednoho útoku zdrojový tok 4 Gbps po aplikaci QoS výstupní tok 20 Mbps Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 15 / 19

Příklad zesilujícího útoku pomocí DNS nula v čísle portu označuje IP fragmenty Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 16 / 19

Fragmentovaný provoz během zesilujícího útoku Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 17 / 19

Závěr DoS útoky jsou stále častějším jevem a bude hůře krátké trvání komplikuje manuální zmírňování budoucnost patří automatizovaným proti-dos opatřením síťový hardware stále nepodporuje některé klíčové funkce požadujte Feasible Reverse Path Forwarding BCP 84 při příští obměně hardwaru podporujme komunity jako FENIX sdílení zkušeností vzájemná výpomoc autoregulace místo regulace osobní důvěra Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 18 / 19

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) DoS útoky v síti CESNET2 31. května 2016 19 / 19

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář