DDoS útoky a jak se jim bránit

Podobné dokumenty
DDoS útoky a jak se jim bránit

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Detekce volumetrických útoků a jejich mi4gace v ISP

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

DoS útoky v síti CESNET2

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Ochrana před DoS/DDOS útoky

FlowGuard 2.0. Whitepaper

Kybernetické hrozby jak detekovat?

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Co vše přináší viditelnost do počítačové sítě?

Proč prevence jako ochrana nestačí? Luboš Lunter

Útoky DoS a DDoS. Přehled napadení. Projektování distribuovaných systémů Ing. Jiří ledvina, CSc. Lokální útoky. Vzdálené útoky

Filip Kolář F5 Networks F5 Networks, Inc 2

Jak přežít DDoS? IDG Cyber Security Martin Půlpán CEO net.pointers s.r.o.

Komentáře CISO týkající se ochrany dat

Architektura připojení pro kritické sítě a služby

QoS na L2/L3/L4. Brno, Ing. Martin Ťupa

Internetworking security

Seminář o bezpečnosti sítí a služeb

SÍŤOVÁ INFRASTRUKTURA MONITORING

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

ANECT, SOCA a bezpečnost aplikací

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Vývoj Internetových Aplikací

}w!"#$%&'()+,-./012345<ya

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

ComSource Efektivní ochrana kritických infrastruktur IT Security Workshop 2016 Jaroslav Cihelka

Technická specifikace zařízení

DDoS ochrana. Petr Lasek, RADWARE

Rozdělení odpovědnosti za zabezpečení sdíleného cloud prostředí

Nástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha

DDoS a IDS/IPS ochrana u WEDOS

Anatomie současných útoků a jak se před nimi chránit

Pravidla pro připojení do projektu FENIX

Kybernetické hrozby - existuje komplexní řešení?

FlowMon Monitoring IP provozu

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Flow Monitoring & NBA. Pavel Minařík

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Analýza protokolů rodiny TCP/IP, NAT

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Strategie sdružení CESNET v oblasti bezpečnosti

Důvěřuj, ale prověřuj aneb jak bezpečná je Vaše síť? Vít Kančo

Monitoring sítě. CESNET Day Universita Karlova, Tomáš Košňar CESNET z. s. p. o.

DNS, DHCP DNS, Richard Biječek

QoS na L2/L3/L4. Jak prokazovat kvalitu přípojky NGA. Ing. Martin Ťupa Ing. Jan Brouček, CSc. PROFiber Networking CZ s.r.o.

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Monitorování datových sítí: Dnes

Routing & VPN. Marek Bražina

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Měření kvality služeb - QoS

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

X36PKO Úvod Protokolová rodina TCP/IP

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Všechno přes IP, IP přes všechno. Propustnost včetně agregace (kolik je agregace?) Nabízená rychlost vs garantovaná rychlost. VoIP

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Obrana proti DDoS útokům na úrovni datových center

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Geolokace a bezpečnost počítačových sítí

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

DDoSaaS: DDoS jako služba

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Efektivní řízení rizik

Měření kvality služeb. Kolik protlačíte přes aktivní prvky? Kde jsou limitní hodnoty ETH spoje? Data Hlas Video. Black Box Network Infrastructure

Demilitarizovaná zóna (DMZ)

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Access Control Lists (ACL)

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Filter online threats off your network

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

Jak se bránit před DDoS útoky

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Telekomunikační sítě Protokolové modely

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Bezpečnost sítí útoky

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Zakladatel Next-generation firewallů, které rozpoznají a kontrolují více než 1300 síťových aplikací

Výzkumný projekt automatizovaného zpracování útoků. Michal Drozd TrustPort a.s.

Bezpečnostní monitoring v praxi. Watson solution market

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

DoS/DDoS ochrana. Petr Lasek, RADWARE

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Administrace Unixu (Nastavení firewallu)

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Technické aspekty zákona o kybernetické bezpečnosti

BEZPEČNOSTNÍ MONITORING SÍTĚ

Transkript:

DDoS útoky a jak se jim bránit LinuxDays 2016 Martin Žídek

Úvod Cíl přednášky Seznámit se s dostupnými typy DDoS útoků a ochranami Jak je definován DDoS Distributed Denial of Service Neexistuje univerzální ochrana

Agenda Zdroje, cíle a důvody útoků? Typy útoků Typy ochran a jejich nasazení

Cíle útoků Vysoké riziko ISP, Hosting Services, Governments, Education Střední riziko - Financial, Health, Retail, Mobile Nízké riziko - Energy & Utility, Individuals Cílem může být každý s útoky je nutné předem počítat.

2x více než maximum v IX nix.cz

Důvody útoků

Zdroje útoků Vyhackované počítače / botnety Špatně zabezpečené UDP služby (DNS/NTP...) Staré verze CMS Drupal, WordPress, Joomla SOHO routery DDoS-as-a-Service - Gwapo s Professional DDOS, vdos IoT ( Botnets of Things ) Časem budou využívány určitě i vyhackované mobily

Typy útoků UDP Amplification Attacks UDP (DNS, NTP, CharGen, SNMP,..) Stateless Protocols Attacks UDP, ICMP Flood spoofed source Stateful Protocols Attacks - SYN Flood, HTTP based, SSL, SIP,... Application and Slow Pace Attacks - Slowloris, Brute Force, SQL injections, XSS, PHP code injection Nárůst multi vector a burst útoků

Jak útok vypadá Upstream ISP1 Upstream ISP2 BGP BGP ISP - Master NIX.cz

UDP Amplification Attacks Spoofed source - UDP (DNS, NTP, CharGen, SNMP,..) Protokol Zesílení Příkaz DNS 28-54 Amplification Factor NTP 556.9 Vulnerable SNMPv2 6.3 GetBulk request SSDP 30.8 SEARCH request NetBIOS 3.8 Problém filtrace zdrojových IP u ISP (BCP-38) Cíl saturace linek

UDP Amplification Attacks Nezabezpečený server Podvržená zdroj. adresa Nezabezpečený server Útočník Upstream ISP1 Upstream ISP2 ISP - Master NIX.cz

UDP Amplification Attacks Rychlý scan zdrojů zesílení snadné a levné pro útočníka Zabezpečení http://openresolverproject.org/ http://openntpproject.org/ Poměrně snadná filtrace pro ne UDP služby

Stateless Protocols Attacks TCP Fragmentation Flood UDP Flood UDP Fragmentation Flood ICMP Flood IGMP Flood Zdroje botnety CMS, malware Cíl saturace linek

Stateful Protocols Attacks SYN Flood TCP ACK + FIN Flood TCP RST Flood TCP SYN + ACK Flood HTTP/HTTPS Flood SIP Menší objem cíl zaplnění stavových tabulek

Application and Slow Pace Attacks Slowloris Brute Force SQL injections, XSS Řeší se na straně aplikace nebo klasická IDS/IPS, WAF Nejmenší objem dat.

Kde pracují ochrany Podle typu útoku - saturace linek Nedošlo k saturaci možno řešit lokálně scrubbing Došlo k saturaci je nutno řešit přes saturovanou linkou

Typy ochran v síti ISP, upstream ISP Filtrace podle granularity BGP RTBH (Realtime blackhole) dest / source ACL Filtry Limited scope RTBH Fenix, RTBH v transitu BGP FlowSpec Scrubbing podle umístění on demand central, distributed Arbor in line Radware mixed

Typy ochran Scrubbing Cloud Založené na DNS Cloudflare, Prolexic (Akamai), Impreva Incapsula, Radware DefensePipe Založené na BGP - Radware DefensePipe

Typy ochran Hybridní Radware DefensePro + DefensePipe

IX Upstream ISP1 Upstream ISP2 ISP - Master NIX.cz RTBH Filtry ACL, FlowSpec Cloud scrubbing Inline/on demand scrubbing

Řetězec připojení

Filtrace BGP RTBH (Realtime blackhole) dest / source collateral damage Limited scope RTBH Fenix, RTBH v transitu ACL Filtry BGP FlowSpec

Filtrace BGP RTBH Výhoda možnost nastavení zákazníkem Nevýhoda někdy není podporováno ISP, blackhole splněn cíl útočníka Limited scope RTBH Fenix, RTBH v transitu

Filtrace BGP RTBH IX Upstream ISP1 BGP 1.1.1.1/31 RTBH Community Upstream ISP2 ISP - Master NIX.cz RTBH 1.1.1.1/31

Filtrace BGP RTBH IX Upstream ISP1 BGP 1.1.1.1/31 RTBH Community Upstream ISP2 ISP - Master NIX.cz RTBH 1.1.1.1/31

Filtrace - ACL Nestavové deny udp192.168.190.100 0.0.0.1 host 192.168.190.200 eq 53 Nevýhoda ruční konfigurace přes NOC

Filtrace - ACL IX Upstream ISP1 Upstream ISP2 ISP - Master NIX.cz Filtry ACL, FlowSpec

Filtrace BGP Flowspec Signalizace filtrů pomocí BGP / RFC5575 Akce Trafic rate Redirect Mark Výhoda - Automatické generování, pokud podporuje ISP Nevýhody - malá podpora u poskytovatelů, omezené množství

Scrubbing - Cloud Přesměrování DNS chráněné domény na DNS servery providera. Princip CDN. V každém regionu jiná IP IP scrubbing centra Rozmělnění útoku Nevýhody - zjištění skutečné IP zdroje, složitý monitoring

Scrubbing - Cloud IX Upstream ISP1 Upstream ISP2 ISP - Master NIX.cz Cloud scrubbing www.mysite.cz -> DNS cloud providera

Scrubbing - Cloud

Scrubbing - Cloud Propagace v BGP specifičtějšího prefixu od providera Rychlost reakce GRE/IPsec tunel k cílovému serveru

Scrubbing Out of path Přesměrování provozu do scrubbing centra, distribuovaný scrubbing Pomalá reakce nutnost zásahu NOC Výhoda provoz neprochází ochranou Nevýhoda pomalost detekce

Scrubbing Out of path IX Upstream ISP1 Upstream ISP2 Detektor Netflow ISP - Master NIX.cz Out of path scrubbing

Scrubbing Out of path IX Upstream ISP1 Upstream ISP2 Detektor Netflow ISP - Master NIX.cz BGP / BGP FlowSpec redirect Out of path scrubbing

Scrubbing Out of path IX Upstream ISP1 Upstream ISP2 Detektor Netflow ISP - Master NIX.cz BGP / BGP FlowSpec redirect Out of path scrubbing

Scrubbing Out of path

Scrubbing Inline Rychlá reakce Funkce, které nelze u out of path implementovat Nevýhoda data musejí zařízením procházet

Scrubbing - Inline IX Upstream ISP1 Upstream ISP2 ISP - Master NIX.cz Inline scrubbing

Scrubbing - Hybrid Kombinace scrubbingu

Dotazy?

MasterDC

Zdroje Approaches for DDoS an ISP Perspective https://www.youtube.com/watch?v=ftaysbwenng Radware 2015-2016 Global Application & Network Security Report - https://www.radware.com/ert-report- 2015/?utm_source=security_radware&utm_medium=promo&utm_campaign=2015-ERT-Report DDoS Attacks: End-to-End Mitigation - https://www.ciscolive.com/online/connect/sessiondetail.ww?session_id=89285&tclass=popup Leveraging BGP FlowSpec to Protect Your Infrastructure - https://www.ciscolive.com/online/connect/sessiondetail.ww?session_id=89328&tclass=popup Arbor annual Worldwide Infrastructure Security Report (WISR) - https://www.arbornetworks.com/insight-into-the-globalthreat-landscape Digital attack map - http://www.digitalattackmap.com/ Your Bitcoins or Your Site: An Analysis of the DDoS for Bitcoins (DD4BC) DDoS Extortion Campaign - https://www.youtube.com/watch?v=yswyidbv1ro Radware On-Premise, Cloud or Hybrid? Approaches to Stop DDoS Attacks - http://www.radware.com/pleaseregister.aspx?returnurl=6442452954 DefensePro Security Deployment Strategy Enterprise Data Center Technical Note June 09, 2015 není dostupné online UDP-Based Amplification Attacks - https://www.us-cert.gov/ncas/alerts/ta14-017a DDoS Tutorial - https://www.nanog.org/sites/default/files/tzvetanov_ddos.pdf TeliaSonera DDoS Protection Product Sheet není dostupné online TeliaSonera Intelligent DDoS Protection Service Presentation není dostupné online

Zdroje Radware Attack Mitigation Solution Technology Overview - http://www.radware.com/assets/0/314/6442477977/9901697b-2f2b-4323-a040-3ca4c6d4fed9.pdf

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář