ddos defence 101
TRANSCRIPT
DDoS Defence 101
Артём Гавриченков <[email protected]>
WWW.QRATOR.NET
История• Первые атаки – 1999-2000 гг.
WWW.QRATOR.NET
История• Первые атаки – 1999-2000 гг.
• 2005: модель STRIDE- Spoofing Identity- Tampering with Data- Repudiation- Information Disclosure- Denial of Service- Elevation of Privileges
WWW.QRATOR.NET
[D]DoS
WWW.QRATOR.NET
[D]DoS• DoS – эксплуатация уязвимостей в ПО
WWW.QRATOR.NET
[D]DoS• DoS – эксплуатация уязвимостей в ПО
• DDoS – исчерпание ресурсов компьютерной системы
WWW.QRATOR.NET
Цели• Ограничение доступа к информации
• Месть
• Вымогательство
• Конкуренция
WWW.QRATOR.NET
Цели• Ограничение доступа к информации
• Месть
• Вымогательство
• Конкуренция
WWW.QRATOR.NET
Цели• Ограничение доступа к информации
• Месть
• Вымогательство
• Конкуренция
WWW.QRATOR.NET
Цели• Ограничение доступа к информации
• Месть
• Вымогательство
• Конкуренция
WWW.QRATOR.NET
Цели• Ограничение доступа к информации
• Месть
• Вымогательство
• Конкуренция
WWW.QRATOR.NET
Типы атак
WWW.QRATOR.NET
Типы атак
WWW.QRATOR.NET
Типы атак
!
WWW.QRATOR.NET
Типы атак• L2
• L3
• L4
• L7
WWW.QRATOR.NET
Типы атак• L2
«Забивание» канала: ICMP Flood, * Amplification…
• L3
• L4
• L7
WWW.QRATOR.NET
Типы атак• L2
Amplification:
• L3
• L4
• L7
• NTP• DNS• SNMP• SSDP• CHARGEN• RIPv1• Bittorrent!
WWW.QRATOR.NET
Типы атак• L2
Amplification:
• L3
• L4
• L7
• NTP• DNS• SNMP• SSDP• CHARGEN• RIPv1• Bittorrent!
WWW.QRATOR.NET
Типы атак• L2
Amplification:
• L3
• L4
• L7
• NTP• DNS• SNMP• SSDP• CHARGEN• RIPv1• Bittorrent!
WWW.QRATOR.NET
Типы атак• L2
«Забивание» канала: ICMP Flood, * Amp…
• L3Нарушение функционирования сетевой инфраструктуры
• L4
• L7
WWW.QRATOR.NET
Типы атак• L2
«Забивание» канала: ICMP Flood, * Amp…
• L3Нарушение функционирования сетевой инфраструктуры
• L4Эксплуатация слабых мест TCP-драйвера
• L7
WWW.QRATOR.NET
Типы атак• L2
«Забивание» канала: ICMP Flood, * Amp…
• L3Нарушение функционирования сетевой инфраструктуры
• L4Эксплуатация слабых мест TCP-драйвера
• L7Деградация Web-приложения
WWW.QRATOR.NET
Параметры атак• L2
Gbps
• L3Pps, …
• L4Pps, …
• L7Rps/IPs
WWW.QRATOR.NET
Противомеры• L2
Полоса!
• L3Аналитика
• L4Анализ поведения и эвристика
• L7Поведенческий, корреляционный анализ, мониторинг
WWW.QRATOR.NET
Расследование?
• Очень сложно
• ОЧЕНЬ ДОРОГО
• В основном, благодаря ошибкам атакующих
WWW.QRATOR.NET
Сетевая архитектура
• «Земной» хостинг
• «Облачный» хостинг
• CDN
WWW.QRATOR.NET
Оценка рисковProbability/Impact Matrix
Trivial Minor Moderate Significant Severe
Rare
Unlikely
Moderate
Likely
Very Likely
Impact:Severe
Probability:Moderate/Unlikely
WWW.QRATOR.NET
Оценка рисковХостинг Облако CDN
L2
L3
L4
L7
WWW.QRATOR.NET
Оценка рисковХостинг Облако CDN
L2 High
L3 Low
L4 High
L7 High
WWW.QRATOR.NET
Оценка рисковХостинг Облако CDN
L2 High Moderate
L3 Low Low
L4 High Low
L7 High High
WWW.QRATOR.NET
Оценка рисковХостинг Облако CDN
L2 High Moderate Moderate
L3 Low Low High
L4 High Low Low
L7 High High Low
WWW.QRATOR.NET
Оценка рисковХостинг
L2 High
L3 Low
L4 High
L7 High
• Что ни размещай, в т.ч.специализированноеоборудование
• У приложениядолжен быть запаспроизводительности (2x)
• INSTANT RELOCATION
WWW.QRATOR.NET
Оценка рисковОблако
L2 Moderate
L3 Low
L4 Low
L7 High
• BGP Anycast!
• 500 Гбит/с – не шутки
• У приложениядолжен быть запаспроизводительности (2x)
• «DoS via billing»
WWW.QRATOR.NET
Оценка рисковCDN
L2 Moderate
L3 High
L4 Low
L7 Low
• BGP Anycast
• Защищённый DNS-сервер
WWW.QRATOR.NET
Сетевая архитектура
• Anycast-адрес – это вообще полезно!
• IPv4, кстати, заканчивается
• IPv6 плохо внедряется
• Anycast можно арендовать
WWW.QRATOR.NET
Сетевая архитектура
• Приложение, отвязанное от платформы
• Docker?
• Документация
WWW.QRATOR.NET
Сетевая архитектураВозможности для защиты от DDoS нужно предусматривать заранее:
• В протоколе
• В архитектуре
• В реализации
WWW.QRATOR.NET
Сетевая архитектура
Защита – это не продукт, а процесс
• Своевременное обновление
• Реагирование на тенденции
• Реагирование на инциденты
WWW.QRATOR.NET
Дивный новый мир
• IPv4 NAT – боль
• Приходится блокировать NAT pool’ы целиком
• Размер пространства IPv6 – БОЛЬ
• Придётся банить подсетями, иначе никак
WWW.QRATOR.NET
Дивный новый мир
• IPv4 NAT – боль
• Приходится блокировать NAT pool’ы целиком
• Размер пространства IPv6 – БОЛЬ
• Придётся банить подсетями, иначе никак