2. Objetivos de hoy
• Ataques comunes: Los ataques más comunes de
negación de servicio distribuidos (DDoS)
• Mitigaciones: Se utilizan para proteger la infraestructura
de AWS
• Arquitectura: Tomar ventaja de las capacidades de
mitigación
4. Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMPRESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO
MÁS PODEROSOS
5. Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO
MÁS PODEROSOS
LOS MEGAATAQUES AUMENTAN
6. Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO
MÁS PODEROSOS
LOS MEGAATAQUES AUMENTAN
ATAQUES DDOS
REFLECTIONESTAN DEREGRESO
7. Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO
MÁS PODEROSOS
LOS MEGAATAQUES AUMENTAN
DDOS
REFLECTIONATTACKS ARE
BACK
LA NUEVA NORMA: ATAQUES DDOS DE 200 – 400 GBPS
8. 1.04 39
Tamaño promedio
de un ataque DDoS
Fuente: Arbor Networks
Duración promedio
de ataques > 10 Gbps
Ataques DDoS que
apuntan a redes y
servicios de
infraestructura
Ataques DDoS en Q2 2015
85%
Gbps Minutes
10. Tipos de ataques DDoS
Ataques DDoS Volumetricos
Congestionan las redes indundándolas con
más tráfico del que pueden soportar
(ejemplo: ataque UDP reflection)
11. Tipos de ataques DDoS
Ataque DDoS State-exhaustion
Un tipo de abuso de protocolo que estresa
sistemas como firewalls, IPS o
balanceadores de carga.
(ejemplo: TCP SYN flood)
12. Tipos de ataques DDoS
Ataques DDoS a la capa de aplicación
Menor frecuencia, un atacante usará conexiones
bien formadas para dar la vuelta a la mitigación y
consumir los recursos de la aplicación
(ejemplo: HTTP GET, DNS query floods)
13. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
14. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los ataques SSDP reflection son muy
comúnes
Los ataques tipo reflection tienen fimas
abiertas, pero pueden consumir ancho de
banda disponible
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
15. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Otros ataques volumétricos comunes:
NTP reflection, DNS reflection, Chargen
reflection, SNMP reflection
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
16. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los SYN floods pueden parecer como
intentos de conexiones reales
Y en promedio, son más grandes en
volúmen. Pueden evitar que los usuarios
reales establezcan conexiones.
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
17. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los DNS query floods son peticiones
reales de DNS
Pueden durar horas y agotar los recursos
disponibles del servidor DNS.
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
18. Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
DNS query floods are real DNS
requests
They can also go on for hours and exhaust
the available resources of the DNS server.
Otros ataques comunes en la capa de
aplicación:
HTTP GET flood, Slowloris
65%
Volumetrico
20%
State exhaustion
15%
Capa aplicación
20. Factores de amplificación volumétrica
Vector Factor Common Cause
SSDP 30.8 Servicio uPnP expuesto a Internet
NTP 556.9 Servidores de tiempo con monlist habilitado
DNS 28 - 54 Puetos abiertos
Chargen 358.8 Servicio Chargen abilitado
SNMP 6.3 Servicio SNMP abierto
Source: US-CERT
21. Ataques DDoS con vectores múltiples
Single vector Multi-vector
85%
Single vector
15%
Multi-vector
30. Modelo de responsabilidad compartida
• Nosotros protegemos los
centros de datos, tráfico IP
e infraestructura.
• Usted mantiene control
sobre la seguridad de su
aplicación.
31. Antes de la mitigación de DDoS
Centro de datos convencionalAtaque DDoS
Usuarios
32. Servicios convencionales de mitigación DDoS
Centro de datos convencional
Ataque DDoS
Usuarios Servicio de mitigación DDoS
36. Resiliente por diseño
IP ICMP
TCP
Elastic Load
Balancing
UDP
No
DNS
Amazon
Route 53
Amazon
CloudFront
37. Resiliente por diseño
IP ICMP
TCP
Elastic Load
Balancing
UDP
No
DNS
Amazon
Route 53
Amazon
CloudFront
38. Mitigación DDoS para la infraestructura de AWS
virtual private cloud
Infraestructura global de AWS
DDoS attack
Users
Mitigación DDoS de
AWS
Mitigación DDoS de
AWS
CloudFront
Route 53
Características
• Siempre en línea
• Commodity hardware
• Mitigaciones Targeted and
heuristic mitigations
Beneficios
• Bajo MTTR (Mean Time To
Respond)
• Latencias de
microsegundos
41. Moldeado de tráfico basado en prioridad
• Los ataques DDoS pueden parecer tráfico real.
• Al tráfico se le asigna una prioridad, y usamos esa
información para proteger la disponibilidad.
• Evitamos falsos positivos y mitigamos ataques conocidos
y desconocidos.
43. Identificar el objetivo en espacio compartido
• Cada grupo de IP
tiene una
combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
44. Identificar el objetivo en espacio compartido
Ataque DDoS
• Cada grupo de IP
tiene una
combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
45. Identificar el objetivo en espacio compartido
• Cada grupo de IP
tiene una
combinación única
• Permite la
identificación del
objetivo
Ubicación Edge
Distribución Distribución
Ataque DDoS
Usuarios
46. Identificar el objetivo en espacio compartido
Ubicación Edge
Ubicación EdgeAtaque DDoS
Usuarios
Usuarios
Distribución
Distribución
Distribución
• Cada grupo de IP
tiene una
combinación única
• Permite la
identificación del
objetivo
• Habilita nuevas
opciónes de
mitigación
56. ¿Por qué es importante?
• Los ataques DDoS Volumétricos pueden
congestionar la capacidad de tráfico de la
infraestructura tradicional
– Más de un tercio de los operadores de centros de datos
experimentaron congestión de tráfico relacionada a DDoS en
2014 (fuente: Arbor Networks).
58. Route 53 health checks en instancias ELB
ELB
Usuarios
Security group
ELB
instances
Route 53
59. Route 53 health checks en instancias ELB
ELB
Security group
ELB
instances
Route 53
Usuarios
60. Route 53 health checks en instancias ELB
ELB
Security group
ELB
instances
Route 53
Usuarios
61. Route 53 health checks en instancias ELB
ELB
Security group
ELB
instances
Route 53
Usuarios
62. Route 53 health checks en instancias ELB
ELB
Security group
ELB
instances
Route 53
Usuarios
63. Route 53 health checks en instancias ELB
ELB
Users
Security group
ELB
instances
Route 53
DDoS
Usuarios
64. Route 53 health checks en instancias ELB
ELB
Users
Security group
ELB
instances
Route 53
DDoS
Usuarios
65. Minimizar la superficie de ataque
Amazon Virtual Private Cloud (VPC)
• Le permite definir una red virtual en su propia
sección aislada de AWS
• Le permite ocultar instancias de Internet usando
grupos de seguridad network access control lists
(NACLs)
66. Seguridad en su VPC
Grupos de Seguridad
• Operan a nivel de instancia (primera capa de defensa)
• Sólo soportan reglas “allow”
• Stateful: el tráfico de regreso es permitido automáticamente
• Todas las reglas son evaluadas entes de permitir el tráfico
Network ACLs
• Operan a nivel de subred (segunda capa de defensa)
• Soporta reglas de “allow” y “deny”
• Stateless: EL regreso de tráfico debe ser permitido explícitamente
• Las reglas se procesan en orden
67. Web app
server
DMZ public subnet
SSH
bastion
NAT
ELB
Amazon EC2
security group
security group
security group
security group
Front-end private subnet
Amazon EC2
Back-end private subnet
security group
MySQL
MySQL db
Amazon VPC
68. Web app
server
DMZ public subnet
SSH
bastion
NAT
ELB
Usuario
Amazon EC2
security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306
MySQL
MySQL db
Amazon VPC
69. Web app
server
DMZ public subnet
SSH
bastion
NAT
ELB
Admin
Amazon EC2
security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306
MySQL
MySQL db
TCP: 22
Amazon VPC
Usuario
70. Web app
server
DMZ public subnet
SSH
bastion
NAT
ELB
Users
Admin
Internet
Amazon EC2
security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306
MySQL
MySQL db
TCP: Outbound
TCP: 22
Amazon VPC
Usuario
74. Prepárese a escalar y absorber
Route 53
• Servicio de DNS altamente disponible, escalable
• Utiliza el ruteo anycast para baja latencia
75. Prepárese a escalar y absorber
Route 53
• Servicio de DNS altamente disponible, escalable
• Utiliza el ruteo anycast para baja latencia
CloudFront
• Mejora el rendimiento optimizando las conexiones y
guardando el contenido en caché
• Dispersa el tráfico entre diferentes ubicaciones edge
globalmente
• Los ataques DDoS se absorven cerca de la fuente
76. Prepárese a escalar y absorber
Elastic Load Balancing
• Tolerancia a fallas para aplicaciones
• Escalamiento automático
• Múltiples Zonas de Disponibilidad
84. Ruteo anycast de Route 53
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a
example.com?
85. Ruteo anycast de Route 53
How do I get to
example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a
example.com?
86. Ruteo anycast de Route 53
How do I get to
example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
.net
Cómo llego a
example.com?
87. Ruteo anycast de Route 53
How do I get to
example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a
example.com?
.net
89. ¿Por qué es importante?
• Los ataques State-exhaustion pueden impactar la
disponibilidad de firewalls, IPS, y balanceadores de carga.
– Más de una tercio de las empresas experimentaron
una falla de firewall o IPS relacionada con DDoS en
2014 (fuente: Arbor Networks).
90. SYN proxy y SYN cookies
DDoS
mitigation
system
CloudFront host
Client
91. SYN proxy y SYN cookies
SYN
ACK
SYN/ACK
DDoS
mitigation
system
CloudFront host
Client
92. SYN proxy y SYN cookies
SYN
ACK
SYN/ACK
DDoS
mitigation
system
CloudFront host
Client
!
SYN
ACK
SYN/ACK!
!
TCP connection table
93. SYN proxy y SYN cookies
SYN
ACK
SYN/ACK
DDoS
mitigation
system
CloudFront host
Client
!
Spoofed IP
SYN
ACK
SYN/ACK!
!
SYN
SYN/ACK
TCP connection table
96. Las apariencias pueden engañar
• Los ataques DDoS a la capa de aplicación parecen tráfico
real y pueden consumir recursos del servidor
• Los ejemplos incluyen: HTTP GET floods apuntando a
aplicaciones web, o DNS query floods apuntando a
servidores DNS
97. Asegure recursos expuestos
• Protega la entrada a su aplicación
• Geo-restricción de CloudFront
• Connection reaping de CloudFront
• Web Application Firewalls (WAFs) del Marketplace
• Use AWS WAF para construir sus propias mitgaciones en
CloudFront
107. ¿Por qué AWS WAF?
Vulnebilidad en la aplicación
Los buenos
Los malos
Web server Base de datos
Código
Exploit
108. ¿Por qué AWS WAF?
Abuso
Los buenos
Los malos
Web server Database
109. ¿Por qué AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
110. ¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS
WAF
111. ¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS
WAF
Reglas AWS WAF:
1: BLOCK peticiones de los malos
2: ALLOW peticiones de los buenos
112. ¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS
WAF