Más contenido relacionado
La actualidad más candente (20)
Similar a Защищаем сеть от DDoS-атак (20)
Защищаем сеть от DDoS-атак
- 1. Защищаем сеть от DDoS-атак
ведущий:
Дмитрий Карякин
6 ноября 2013
dkaryakin@juniper.net
- 2.
Защищаем сеть от DDoS-атак,
Карякин Дмитрий
Системный инженер
dkaryakin@juniper.net
2
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 3. СОДЕРЖАНИЕ
§ DOS и DDoS атаки
§ Решение Junos DDoS Secure
§ Алгоритм CHARM
§ Демонстрация защиты от DDoS атак
§ Интерфейс управления и конфигурации
3
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 4. МОТИВЫ DDOS АТАК
Последний
оставшийся
Нанять сторонних
лиц, чтобы вывести
всех конкурентов и
направить весь
трафик на свой сайт
Протестные
флэшмобы
Координация атаки
на государственные
ресурсы с
применением
социального медиа
Хулиганство
спортивных
фанатов
Фанаты атакуют
сайты клубов
соперников с целью
нарушения продаж
билетов
Диверсионная
завеса
Мгновенное
переполнение
Кибер-война
Индивидуальные
игроки
DDoS маскирует
хищение данных
или другую атаку
Резкое увеличение
посещаемости
сайтов
легитимными
пользователями
Угроза для
национальной
безопасности
государства
Подвергаются
атакам со стороны
других игроков
Криминальная
активность
Другая
активность
Политика /
протест
Возмездие и
“Потому что могу”
Шантаж
“Заплатите, чтобы
ваш сайт не
переставал
работать”
4
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 5. ВЕКТОРЫ DDOS АТАК
ОБЪЕМНАЯ ЗАГРУЗКА
“VOLUMETRIC”
• Легко обнаруживается
• Размер атак увеличивается
• Частота атак
увеличивается
умеренными темпами
ПЕРЕГРУЗКА РЕСУРСОВ
• Организованные
флэшмобы через
социальные медиа
МАЛОМОЩНЫЕ И
МЕДЛЕННЫЕ АТАКИ
“LOW AND SLOW”
• Рост атак значительно
быстрее, чем volumetricатаки – 25% от всех атак в
2013 (источник: Gartner)
• Преимущественно
легитимные запросы в
момент крупных событий,
имеющие ограниченный
период действия.
• Более сложные и трудно
детектируемые
• Целью является слабые
стороны back-end
инфраструктуры
• Небольшой объем
запросов может вывести из
строя большой веб-сайт
5
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 7. РЕШЕНИЕ JUNOS DDOS SECURE
Акцент на доступности сервисов
§ Конфиденциальность
§ Целостность
§ Доступность
Приоритезация клиентов
§ Дифференцирование между DDoS и перегрузкой
Применение stateful inspection для идентификации сессий и
очистки трафика
Технология CHARM
7
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 8. ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ
JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ
1
2
8
Автодетектирование и устранение
новых векторов атаки
Защита от атак типа low-and-slow
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 9. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
§ Проверка пакетов на
предмет соблюдения
RFC
Доверенный трафик,
поведение,
свойственное
человеку
§ Пакеты неправильного
формата или неверной
последовательности
отбрасываются
§ Индивидуальным
IP-адресам назначается
значение CHARM
§ Значение присваивается
на основе поведения
IP-источника
9
Высокое значение
CHARM
Трафик, которого
раньше не было
Среднее значение
CHARM
Механистический
трафик
Низкое значение
CHARM
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 10. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
Применение политики на основе CHARM
Доступ зависит от порога CHARM для ресурса
§ Ниже порога – трафик сбрасывается
§ Выше порога – доступ разрешается
§ Минимум ложных срабатываний
Порог CHARM изменяется динамически в
зависимости от загрузки ресурса
§ Алгоритм с сохранением состояния проверяет время
отклика ресурса
§ Серверные агенты не нужны
10
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 11. JUNOS DDoS SECURE
ПРОХОЖДЕНИЕ ПАКЕТА
Контроль доступа на основе технологии CHARM
Таблица поведения
IP-адресов
Порог CHARM для
ресурса
3 Поведение
записано
1 Проверка пакета
§ Проверка через фильтры
4
§ Соответствие RFC
§ Поддержка до 64M
§ Проверка порядка следования
профайлов
§ Старые профайлы
устаревают первыми
§ Состояние соединения TCP
Пакет
принят
Синтаксический
Screener
Пока что
ОК
2
Генератор Добавлено
значение
CHARM
CHARM
Вычисление значения CHARM
для пакета
Вычисление
порога
CHARM
Отклик ресурса
CHARM
Screener
Packet
Exits
5 Тревога или
Сброс
§ Обращается к таблице поведения IP-адресов
§ Порог CHARM
§ Функция времени и поведения
§ Значение CHARM
§ Лучше поведение = лучше CHARM
Сброс пакета
11
Сброс пакета
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 12. JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ
Resource Control
Время отклика Ресурса 2
Трафик атаки на Ресурс 2
начало ухудшаться, JDDoS
снижается и атака
поднял порог CHARM для
переключается на Ресурс3.
ограничения трафика
атаки. DDoS Secure
Junos
реагирует путем
Легитимный трафик
динамического увеличения
проходит без ограничений,
порога для Ресурса 3
в то время как атакующий
ограничивая трафик атаки
начинает полагать, что его
атака была успешной, т.к.
его запросы не проходят.
Resource 1
12
Resource 2
Resource 3
Resource ‘N’
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 13. ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ
Легитимный трафик
Легитимный трафик
Ресурсы
Трафик DDoS атаки
Легитимный трафик
Junos DDoS Secure
Эвристический анализ
13
Трафик DDoS атаки
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
PC управления
- 14. ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ
ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ
A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
Z
A
A
14
A
A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
Z
A
A
Легитимные
A пользователи
A
Интернет поток
A
A
A
A
A
A
A
A
A
A
A
A
A
CHARM распознает
быстрые запросы
A
страниц и
A
соответственно
Web сервер
Использование ресурсов
Attackers
снижает значение для
пакета
Время
CHARM проактивно
защищает от
переполнения SYNзапросами и
уменьшает
последствия
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
CHARM проактивно
защищает исходящий
канал
- 15. CHARM СГЛАЖИВАЕТ ТРАФИК
Resource Saturated
100
Good
80
Traffic if Undefended
70
Charm Scale
Resource CHARM Scale %
90
60
50
40
Good Traffic Charm
Attack Traffic Charm
30
20
Charm Threshold
10
Bad
0
Time
15
Defended Traffic
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 16. DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ
Application
Presentation
Sessions
Transport
Network
Data Link
Physical
Application
Transport
Internet
Network Access
Physical
Layer 2-4 and Application (http / dns / sip) Protection
16
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 17. ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE?
§ Servers
§ Routers
§ Firewalls
§ Load Balancers
§ NAT
§ Multiple Gateways, asymmetric routes
§ URL
17
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 18. ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ
Виртуализация внутри Virtual Junos DDoS Secure
§ Каждый портал защищает определенный набор IP-адресов
§ Множественная аренда
Пользователи / клиенты имеют возможность управлять
только своим порталом
§ Аутентификация
§ Характеристики сервера
§ Обзор инцидентов
§ Статистическая информация
§ Отчеты по email
18
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 19. РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE
Работает как L2 мост
§ Один двунаправленный путь передачи данных через два
§
§
§
§
сетевых интерфейса
Нет IP-адресации на сетевых интерфейсах
Включается в существующий Ethernet сегмент
Нет необходимости переконфигурировать других сетевые
устройства
При установке время прерывания существующего потока
данных не превышает нескольких секунд
Управление - out of band, через третий L3 интерфейс
Поддерживается отказоустойчивая конфигурация
§ Передача состояния между несколькими устройствами JDDS
осуществляется через четвертый интерфейс
19
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 22. JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ
§ 1Gbps Virtual Appliance (ESX и KVM)
§ 10Gbps 1U appliance с функцией обхода при сбое
§ Оптические порты (10G SR/LR)
§ Медные порты (10M/100M/1G)
§ Оба варианта могут разворачиваться обособленно
или в составе Active – Standby пары
§ или Active – Active (Asymmetric Routing)
22
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 23. СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ
Характеристика
J-DDOS-SEC-AP4 J-DDOS-SEC-AP1
J-DDOS-SEC-AP2
J-DDOS-SEC-AP3
Пропускная способность в каждом 1G
направлении
10G
Количество защищаемых IP
64 000
64 000
Количество отслеживаемых IP
(v4/v6)
32 000 000
64 000 000
Одновременных ТСР сессий
4 000 000
4 000 000
Скорость установки сессий
750 000 в секунду
750 в секунду
Интерфейсы
1G RJ45
10GBASE-T/ SX / LR
Габариты, высота
1RU
1RU
23
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 24. ОДНО БАЗОВОЕ ШАССИ
ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ
Базовое шасси (все модели)
Процессор
Память
32GB
HDD
2x300GB 10K RPM SAS, RAID-1
Блок питания
8 Core Xeon @ 2.9GHz
2 шт.
Модели и сетевые адаптеры
Модель SKU
Сетевые адаптеры
1200-C
J-DDOS-SEC-AP4
Два порта 1G RJ45 с обходом
1210-SR
J-DDOS-SEC-AP2
Два порта 10GASE-SR с обходом
1210-LR
J-DDOS-SEC-AP1
Два порта 10GASE-LR с обходом
1210-TX
J-DDOS-SEC-AP3
Два порта 10GASE-T с обходом
Сетевые адаптеры не заменяются
Замена с случае выхода из строя (RMA и т.д.)
24
Copyright © 2013 Juniper Networks, Inc.
www.juniper.net
- 25. СХЕМА ЛАБОРАТОРНОГО СТЕНДА
Злоумышленник
Пользователь
Производит регулярные легитимные
запросы на веб-сервер
Атаки на веб-сервер:
• SYN flood
• HTTP stress test
• Slow-rate HTTP GET
• Slow-rate HTTP POST
Коммутатор
• Slow-rate HTTP read
Junos DDoS Secure
Режимы работы:
• логирование
• защита
Отклик от веб-сервера:
Web сервер
25
Copyright © 2013 Juniper Networks, Inc.
• Время отклика пропорционально
количеству одновременных соединений
www.juniper.net