Obrana proti DDoS útokům na úrovni datových center

Obrana proti DDoS útokům na úrovni datových center www.huawei.com Tomáš Zloch tomas.zloch@huawei.com

Zdroje DDoS útoků Hacker Internet IDC Hledánízranitelnosti Získání přístupových údajů Získání kontroly Instalce Trojského koně Příprava zadních vrátek Útok na DC Zombie Page 2

Kdo je cílem? Zdroj: www.ciberdin.com Page 3

Typické DoS útoky SYN flood: Cílem je router nebo aplikace/server využívající TCP UDP flood: Cílem je linka vyčerpání šířky pásma ICMP flood: Cílem je jakékoliv L3 zařízení a linka IP Fragment flood: Útok na všechny síťová zařízení pomocí velkých paketů (ping of death) HTTP flood: Cílem jsou webservery vyčerpat jejich zdroje DNS Query flood: Cílem jsou DNS server vyčerpání jejich zdrojů Case1 Rozložení útoku podle počtu paketů Case2 Page 4

Co je výsledkem útoku? Uživatelé/poskytovatelé: - nedostupnost služby pro zákazníka či omezení uživatelské příjemnosti - finanční ztráty pro poskytovatele služby Šířka pasmá Šířka pásma Ohrožení služby Ohrožení služby Ohrožení služby DC Online služba Společnost Operátoři: - přetížení linek - nutnost navýšení přenosových kapacit a povýšení zařízení - permanentní přenos DDoS útoků - Poskytováníkonektivity pro DC - Zdroj zombie Page 5

Sumarizace Oběti: Datová centra (cloud) a operátorské sítě Operátorské sítě přenáší DDoS útoky a dochází k vyčerpání šířky pásma Uživatelé trpí nedostupností služeb Řešení? Nasazení AntiDDoS na vstupu do sítě/dc Problém: umíme vyčistit xgbit provozu? Page 6

AntiDDoS řešení pro DC/Carrier Management Center Policy Cooperation Device Management Policy Management Report Presentation Control Cooperation Detection Center Detecting Result Cleaning Center Specialized Traffic Analysis Device Specialized Traffic Cleaning Device Page 7

Ochrana Datových center Nasazenív offline módu 1. Monitorováníprovozu Spliting Mirroring 2. Dynamické vydělení provozu BGP/Source based routing 3. Vyčištění provozu 4. Vložení čistého provozu L2 Source based routing MPLS VPN Static GRE Page 8

Procesnímodel AntiDDoS v offline modelu 1 Síť je pod útokem - docházík vyčerpání šířky pásma a nedostupnosti služeb Nadřazená sít 2 Detekčnín centrum najde anomálie v provozu (reakce do 2s) Detecting Center 3 Odhalenícíle a zdroje a export logů do ATIC centra BGP Cleaning Center Management Center Chráněná síť 5 Přesměrování provozu z páteřních routerů pomocí BGP rout 6 Vrácení vyčištěného provozu PBR, MPLS VPN,MPLS LSP,GRE. 7 Report logů o vyčištěném provozu do ATIC centra pro budoucístatistiky. 4 Vytvoření vydělovacích politik a poslánído cleaning centra Mirrored/Optically Split Traffic Traffic Logs Cleaning Logs Capture Packets Management Traffic Pre-Cleaning Traffic Post-Cleaning Traffic Page 9

Inline ochrana sítí(man) Čištění obousměrného provozu Bypass karta pro případ výpadku Nasazení v sítích menšího rozsahu Page 10

3 úrovně filtrace První úroveň Druhá úroveň využití DPI Třetí úroveň Ochrana založena na fyzických rozhraních Ochrana založena na službách Ochrana založena na hostech (cílové IP) Ochrana založena na skupinách (skupina cílových IP) Ochrana založena na zdrojových IP SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding TCP Abnormal Flooding HTTP Flooding DNS Request Flooding DNS Reply Flooding ICMP Flooding SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding IP Fragment Flooding TCP Abnormal Flooding HTTP Flooding CC HTTPS Flooding DNS Request Flooding DNS Reply Flooding DNS Amplification Attacks DNS Cache Poisoning Attack HTTP Hijacking UDP Flooding ICMP Flooding SSL-DoS SSL-DDoS SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding IP Fragment Flooding TCP Abnormal Flooding HTTP Flooding CC HTTPS Flooding DNS Request Flooding DNS Reply Flooding DNS Amplification Attacks DNS Cache-Poisoning Attack HTTP Hijacking UDP Flooding ICMP Flooding SSL-DoS SSL-DDoS SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding DNS Request Flooding DNS Reply Flooding SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding TCP Abnormal Flooding DNS Flooding Page 11

Dynamické učení Základem AntiDDoS řešení jsou limity Jak je nastavit? 1. Dynamické učení služeb = učení limitů na základě běžného zatížení služeb/aplikací (TCP/UDP port) 2. Dynamické učení provozu = učení zátížení linky/zóny Static traffic baseline Dynamic traffic baseline Traffic Time Page 12

Čištění v provozu Malformated Packets Filtering Featurebased Filtering Transport Layerbased Source Authentication Application Layerbased Source Authentication Sessionbased Defense Behavior Analysis Traffic Shaping Step 1,Malformated Packets Filtering: Filtering malformed packets by protocol stack hole and special control packets. Step 2,Feature-based Filtering: Regardless of Zones, global static filtering is implemented. First, packet content-based static filtering is performed for defending against connectionless attacks, such as UDP Flooding, DNS Flooding, and ICMP Flooding. Then static filtering is performed based on blacklists and white lists. Step3, Transport Layer-based Source Authentication: This layer can defend against spoofed source attacks. Such as SYN Flooding, ACK Flooding, SYN-ACK Flooding. Step4, Application Layer-based Source Authentication: This layer can defend against spoofed source attacks and the bonnet's attacks. Such as DNS Query Flooding, DNS Reply Flooding, HTTP Flooding, HTTS Flooding, SIP Flooding. Step5, Session-based Defense : This layer can defend against RST Flooding, FIN Flooding, TCP Connection Flooding, TCP Slow-Start Attack, TCP Retransmission Attack, TCP NULL Connection Attack, DNS ID Spoofing, DNS Cache Poisoning, DNS Reflection Attack, SSL- DoS, SSL-DDoS. Step 6, Behavior Analysis : The attack is always fixed frequency and fixed destination. The system provides monitoring the domain name query, offers the domain name query baseline, check the attacks based on the baseline. Step 7, Traffic Shaping: If the traffic is still heavy and exceeds the actual bandwidth of users after previous steps, traffic shaping is used to ensure available network bandwidths. Page 13

Příklady obrany proti vybraným útokům Page 14

Obrana proti SYN útokům Založeno na autentizaci zdroje SYN Flood Traffic Anti-DDoS Device WEB Server Client: SYN User Cleaning Center : SYN+ACK with error ACK sequence Client: RST Following Request will pass Attacker: SYN Cleaning Center : SYN+ACK with error ACK sequence Anti-DDoS Device WEB Server Bot Page 15

Obrana proti TCP flood z reálných zdrojových IP Založena na dynamickém účení limitů z daných adres Obrana může selhat pokud zdrojová IP adresa existuje... (útočník odpoví) Kontrola frekvence TCP paketů z daného zdroje, hledání nelegálních dotazů a tvorba blacklistů... Page 16

Obrana proti DNS query flood na DNS cache server Založeno na autentizaci zdroje DNS Query Traffic Anti-DDoS Device User DNS Query : www.google.com (UDP) DNS Reply : re-send with tcp please DNS Query : www.google.com (TCP) DNS Reply : 200.72.x.x (TCP) Following Query Request will pass DNS Cache Server DNS Query : www.google.com (UDP) DNS Reply : 200.72.x.x (UDP) DNS Query : www.google.com (UDP) DNS Reply : re-send with tcp please Anti-DDoS Device DNS Cache Serve Bot Page 17

Ochrana proti DNS cache poisoning Založeno na kontrole spojení DNS Reply : 200.72.x.x Check the Session Table, if hit, forward Use r Bot DNS Query : abc.baidu.com More DNS Reply : 200.72.x.x Check the Session Table, if no hit, delete the session immediately Anti-DDoS Device DNS Cache Server Page 19

Sumarizace ochrany DNS služby Možnost nasazeni v ofline i online módu Podpora ochrany proti DNS query flood na DNS cache server a DNS authoritative server. Podpora dynamické cache Použítí důvěryhodnosti zdrojů pro omezení prodlevy pro VIP služby Page 21

Zařízení... Model AntiDDoS1000 AntiDDoS8030 AntiDDoS8080 AntiDDoS8160 Defense performance Attack response latency 5 Gbit/s (3 Mpps) 20 Gbit/s (15 Mpps) <= 2s <= 2s <= 2s <= 2s Default interface 4 x GE (RJ45)+4 x GE (combo) N/A Expansion slot 2 x FIC Up to 16 expansion slots housing LPUs and anti-ddos SPUs Interface/Expansio n interface 2 x 10GE (optical) 2 x 10GE (optical)+8 x GE (electrical) 8 x GE (optical) 8 x GE (electrical) 4 x GE bypass interface card (electrical) Dual-link LC/UPC multi-mode bypass interface card (optical) Dual-link LC/UPC single-mode bypass interface card (optical) Ethernet interface: 1 x 10GE (XFP) 2 x 10GE (XFP) 12 x GE (SFP/RJ45) 20 x GE (SFP) POS interface: 1 x OC192 (XFP)SS Page 22

Co AntiDDoS dokáže zastavit... Comprehensive Attack Defense Provoz Aplikace Skanovánía sniffing Zranitelnosti Vlastnosti protoklů SYN flood ACK flood SYN-ACK flood FIN/RST flood TCP fragment flood UDP flood UDP fragment flood ICMP flood DNS query flood DNS reply flood DNS cache poisoning DNS reflection TCP connection flood TCP low-rate connection Sockstress HTTP flood CC HTTP retransmission HTTP slow headers HTTP slow post Web application threat SIP flood HTTPS flood SSL DoS/DDoS Port scanning IP scanning Tracert IP source routing packet control IP routing record packet control IP Spoofing Land Fraggle WinNuke Ping of Death Tear Drop Smurf IP option Large ICMP DNS vulnerabilities Fast-Flux Zombies/Worms/Trojan horses ICMP redirection packet ICMP unreachable packet IP timestamp packet control

Děkuji za pozornost enterprise.huawei.com Copyright 2008 Huawei Technologies Co., Ltd. All Rights Reserved. The information contained in this document is for reference purpose only, and is subject to change or withdrawal according to specific customer requirements and conditions.