ddos defence 101

DDoS Defence 101

Артём Гавриченков <[email protected]>

WWW.QRATOR.NET

История• Первые атаки – 1999-2000 гг.

WWW.QRATOR.NET

История• Первые атаки – 1999-2000 гг.

• 2005: модель STRIDE- Spoofing Identity- Tampering with Data- Repudiation- Information Disclosure- Denial of Service- Elevation of Privileges

WWW.QRATOR.NET

[D]DoS

WWW.QRATOR.NET

[D]DoS• DoS – эксплуатация уязвимостей в ПО

WWW.QRATOR.NET

[D]DoS• DoS – эксплуатация уязвимостей в ПО

• DDoS – исчерпание ресурсов компьютерной системы

WWW.QRATOR.NET

Цели• Ограничение доступа к информации

• Месть

• Вымогательство

• Конкуренция

WWW.QRATOR.NET

Типы атак

WWW.QRATOR.NET

Типы атак

!

WWW.QRATOR.NET

Типы атак• L2

• L3

• L4

• L7

WWW.QRATOR.NET


«Забивание» канала: ICMP Flood, * Amplification…

• L3

• L4

• L7

WWW.QRATOR.NET


Amplification:

• L3

• L4

• L7

• NTP• DNS• SNMP• SSDP• CHARGEN• RIPv1• Bittorrent!

WWW.QRATOR.NET


«Забивание» канала: ICMP Flood, * Amp…

• L3Нарушение функционирования сетевой инфраструктуры

• L4

• L7

WWW.QRATOR.NET




• L4Эксплуатация слабых мест TCP-драйвера

• L7

WWW.QRATOR.NET




• L4Эксплуатация слабых мест TCP-драйвера

• L7Деградация Web-приложения

WWW.QRATOR.NET

Параметры атак• L2

Gbps

• L3Pps, …

• L4Pps, …

• L7Rps/IPs

WWW.QRATOR.NET

Противомеры• L2

Полоса!

• L3Аналитика

• L4Анализ поведения и эвристика

• L7Поведенческий, корреляционный анализ, мониторинг

WWW.QRATOR.NET

Расследование?

• Очень сложно

• ОЧЕНЬ ДОРОГО

• В основном, благодаря ошибкам атакующих

WWW.QRATOR.NET

Сетевая архитектура

• «Земной» хостинг

• «Облачный» хостинг

• CDN

WWW.QRATOR.NET

Оценка рисковProbability/Impact Matrix

Trivial Minor Moderate Significant Severe

Rare

Unlikely

Moderate

Likely

Very Likely

Impact:Severe

Probability:Moderate/Unlikely

WWW.QRATOR.NET

Оценка рисковХостинг Облако CDN

L2

L3

L4

L7

WWW.QRATOR.NET


L2 High

L3 Low

L4 High

L7 High

WWW.QRATOR.NET


L2 High Moderate

L3 Low Low

L4 High Low

L7 High High

WWW.QRATOR.NET


L2 High Moderate Moderate

L3 Low Low High

L4 High Low Low

L7 High High Low

WWW.QRATOR.NET

Оценка рисковХостинг

L2 High

L3 Low

L4 High

L7 High

• Что ни размещай, в т.ч.специализированноеоборудование

• У приложениядолжен быть запаспроизводительности (2x)

• INSTANT RELOCATION

WWW.QRATOR.NET

Оценка рисковОблако

L2 Moderate

L3 Low

L4 Low

L7 High

• BGP Anycast!

• 500 Гбит/с – не шутки

• У приложениядолжен быть запаспроизводительности (2x)

• «DoS via billing»

WWW.QRATOR.NET

Оценка рисковCDN

L2 Moderate

L3 High

L4 Low

L7 Low

• BGP Anycast

• Защищённый DNS-сервер

WWW.QRATOR.NET


• Anycast-адрес – это вообще полезно!

• IPv4, кстати, заканчивается

• IPv6 плохо внедряется

• Anycast можно арендовать

WWW.QRATOR.NET


• Приложение, отвязанное от платформы

• Docker?

• Документация

WWW.QRATOR.NET

Сетевая архитектураВозможности для защиты от DDoS нужно предусматривать заранее:

• В протоколе

• В архитектуре

• В реализации

WWW.QRATOR.NET


Защита – это не продукт, а процесс

• Своевременное обновление

• Реагирование на тенденции

• Реагирование на инциденты

WWW.QRATOR.NET

Дивный новый мир

• IPv4 NAT – боль

• Приходится блокировать NAT pool’ы целиком

• Размер пространства IPv6 – БОЛЬ

• Придётся банить подсетями, иначе никак

WWW.QRATOR.NET

Спасибо за внимание!

Artyom Gavrichenkov<[email protected]>

ddos defence 101

Internet