defendiéndose de ataques de ddos
TRANSCRIPT
![Page 1: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/1.jpg)
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
.
Mayo 2016
Defendiéndose de Ataques DDoS Ivan Salazar, Enterprise Solutions Architect AWS
Gerardo Littman, Systems Engineer, Palo Alto Networks
![Page 2: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/2.jpg)
Objetivos de hoy
• Ataques comunes: Los ataques más comunes de negación de servicio distribuidos (DDoS)
• Mitigaciones: Se utilizan para proteger la infraestructura de AWS
• Arquitectura: Tomar ventaja de las capacidades de mitigación
![Page 3: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/3.jpg)
Ataques comúnes
![Page 4: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/4.jpg)
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMPRESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
![Page 5: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/5.jpg)
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
![Page 6: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/6.jpg)
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
ATAQUES DDOS REFLECTION ESTAN DE REGRESO
![Page 7: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/7.jpg)
Encabezados de los ataques DDoS
CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS
LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
LOS MEGA ATAQUES AUMENTAN
DDOS REFLECTION ATTACKS ARE BACK
LA NUEVA NORMA: ATAQUES DDOS DE 200 – 400 GBPS
![Page 8: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/8.jpg)
1.04 39 Tamaño promedio
de un ataque DDoS
Fuente: Arbor Networks
Duración promedio de ataques > 10 Gbps
Ataques DDoS que apuntan a redes y
servicios de infraestructura
Ataques DDoS en Q2 2015
85% Gbps Minutes
![Page 9: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/9.jpg)
Tipos de ataques DDoS
![Page 10: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/10.jpg)
Tipos de ataques DDoS
Ataques DDoS Volumetricos
Congestionan las redes indundándolas con más tráfico del que pueden soportar
(ejemplo: ataque UDP reflection)
![Page 11: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/11.jpg)
Tipos de ataques DDoS
Ataque DDoS State-exhaustion
Un tipo de abuso de protocolo que estresa sistemas como firewalls, IPS o
balanceadores de carga. (ejemplo: TCP SYN flood)
![Page 12: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/12.jpg)
Tipos de ataques DDoS
Ataques DDoS a la capa de aplicación
Menor frecuencia, un atacante usará conexiones bien formadas para dar la vuelta a la mitigación y
consumir los recursos de la aplicación (ejemplo: HTTP GET, DNS query floods)
![Page 13: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/13.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 14: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/14.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los ataques SSDP reflection son muy comúnes
Los ataques tipo reflection tienen fimas
abiertas, pero pueden consumir ancho de banda disponible
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 15: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/15.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Otros ataques volumétricos comunes:
NTP reflection, DNS reflection, Chargen reflection, SNMP reflection
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 16: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/16.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los SYN floods pueden parecer como intentos de conexiones reales
Y en promedio, son más grandes en
volúmen. Pueden evitar que los usuarios reales establezcan conexiones.
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 17: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/17.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
Los DNS query floods son peticiones reales de DNS
Pueden durar horas y agotar los recursos
disponibles del servidor DNS.
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 18: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/18.jpg)
Tendencias de los ataques DDoS
Volumetric State exhaustion Application layer
DNS query floods are real DNS requests
They can also go on for hours and exhaust the available resources of the DNS server.
Otros ataques comunes en la capa de aplicación:
HTTP GET flood, Slowloris
65% Volumetrico
20% State exhaustion
15% Capa aplicación
![Page 19: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/19.jpg)
Volumétrico: amplificación UDP
Atacante 192.0.2.1
Víctima 198.51.100.4
src=198.51.100.4 dst=203.0.113.32
NTP DNS SNMP SSDP
Reflectores 203.0.113.32
![Page 20: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/20.jpg)
Factores de amplificación volumétrica
Vector Factor Common Cause SSDP 30.8 Servicio uPnP expuesto a Internet NTP 556.9 Servidores de tiempo con monlist habilitado DNS 28 - 54 Puetos abiertos Chargen 358.8 Servicio Chargen abilitado SNMP 6.3 Servicio SNMP abierto
Source: US-CERT
![Page 21: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/21.jpg)
Ataques DDoS con vectores múltiples
Single vector Multi-vector
85% Single vector
15% Multi-vector
![Page 22: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/22.jpg)
Los atacantes son persistentes
![Page 23: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/23.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification
![Page 24: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/24.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
![Page 25: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/25.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
![Page 26: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/26.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
![Page 27: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/27.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
UDP/123 – NTP reflection
![Page 28: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/28.jpg)
Los atacantes son persistentes
UDP/161 – SNMP
amplification UDP fragments
UDP/1900 – SSDP reflection
UDP/1900 – SSDP reflection
UDP/123 – NTP reflection
6 hours
![Page 29: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/29.jpg)
Mitigaciones
![Page 30: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/30.jpg)
Modelo de responsabilidad compartida
• Nosotros protegemos los centros de datos, tráfico IP e infraestructura.
• Usted mantiene control sobre la seguridad de su aplicación.
![Page 31: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/31.jpg)
Antes de la mitigación de DDoS
Centro de datos convencional Ataque DDoS
Usuarios
![Page 32: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/32.jpg)
Servicios convencionales de mitigación DDoS
Centro de datos convencional
Ataque DDoS
Usuarios Servicio de mitigación DDoS
![Page 33: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/33.jpg)
Resiliente por diseño
IP ICMP
TCP
UDP
No DNS
![Page 34: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/34.jpg)
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon CloudFront
![Page 35: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/35.jpg)
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon CloudFront
![Page 36: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/36.jpg)
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon Route 53
Amazon CloudFront
![Page 37: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/37.jpg)
Resiliente por diseño
IP ICMP
TCP
Elastic Load Balancing
UDP
No DNS
Amazon Route 53
Amazon CloudFront
![Page 38: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/38.jpg)
Mitigación DDoS para la infraestructura de AWS
virtual private cloud
Infraestructura global de AWS
DDoS attack
Users
Mitigación DDoS de AWS
Mitigación DDoS de AWS
CloudFront Route 53
Características • Siempre en línea • Commodity hardware • Mitigaciones Targeted and
heuristic mitigations Beneficios • Bajo MTTR (Mean Time To
Respond) • Latencias de
microsegundos
![Page 39: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/39.jpg)
Priorización de paquetes
IP Origen
Reputación
Niveles de tráfico
Fuente ASN
Fuentes válidas
![Page 40: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/40.jpg)
Priorización de paquetes
Prioridad
IP Origen
Reputación
Niveles de tráfico
Fuente ASN
Fuentes válidas
![Page 41: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/41.jpg)
Moldeado de tráfico basado en prioridad
• Los ataques DDoS pueden parecer tráfico real. • Al tráfico se le asigna una prioridad, y usamos esa
información para proteger la disponibilidad. • Evitamos falsos positivos y mitigamos ataques conocidos
y desconocidos.
![Page 42: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/42.jpg)
Mitigación: Detección e ingeniería de tráfico
![Page 43: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/43.jpg)
Identificar el objetivo en espacio compartido
• Cada grupo de IP tiene una combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
![Page 44: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/44.jpg)
Identificar el objetivo en espacio compartido
Ataque DDoS
• Cada grupo de IP tiene una combinación única
Ubicación Edge
Usuarios
Distribución Distribución Distribución
![Page 45: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/45.jpg)
Identificar el objetivo en espacio compartido
• Cada grupo de IP tiene una combinación única
• Permite la identificación del objetivo
Ubicación Edge
Distribución Distribución
Ataque DDoS
Usuarios
![Page 46: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/46.jpg)
Identificar el objetivo en espacio compartido
Ubicación Edge
Ubicación Edge Ataque DDoS
Usuarios
Usuarios
Distribución
Distribución
Distribución
• Cada grupo de IP tiene una combinación única
• Permite la identificación del objetivo
• Habilita nuevas opciónes de mitigación
![Page 47: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/47.jpg)
Ingeniería del tráfico
![Page 48: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/48.jpg)
Ingeniería del tráfico
Ataque DDoS
![Page 49: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/49.jpg)
Ingeniería del tráfico
Mitigar
Ataque DDoS
![Page 50: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/50.jpg)
Ingeniería del tráfico
Aislar
Ataque DDoS
![Page 51: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/51.jpg)
Ingeniería del tráfico
Aislar
Desocupar
Ataque DDoS
![Page 52: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/52.jpg)
Ingeniería del tráfico
Dispersar Ataque DDoS
![Page 53: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/53.jpg)
Arquitectura
![Page 54: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/54.jpg)
Arquitectura en AWS para resistencia DDoS
• Volumétrica • State exhaustion • Capa de aplicación
![Page 55: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/55.jpg)
Arquitectura: Volumétrico
![Page 56: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/56.jpg)
¿Por qué es importante?
• Los ataques DDoS Volumétricos pueden congestionar la capacidad de tráfico de la infraestructura tradicional – Más de un tercio de los operadores de centros de datos
experimentaron congestión de tráfico relacionada a DDoS en 2014 (fuente: Arbor Networks).
![Page 57: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/57.jpg)
Escalamiento con ELB
ELB Usuarios
Security group
DMZ public subnet
Security group
Front-end server private subnet
Instances
![Page 58: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/58.jpg)
Route 53 health checks en instancias ELB
ELB Usuarios
Security group ELB
instances
Route 53
![Page 59: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/59.jpg)
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
![Page 60: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/60.jpg)
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
![Page 61: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/61.jpg)
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
![Page 62: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/62.jpg)
Route 53 health checks en instancias ELB
ELB
Security group ELB
instances
Route 53
Usuarios
![Page 63: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/63.jpg)
Route 53 health checks en instancias ELB
ELB Users
Security group ELB
instances
Route 53
DDoS
Usuarios
![Page 64: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/64.jpg)
Route 53 health checks en instancias ELB
ELB Users
Security group ELB
instances
Route 53
DDoS
Usuarios
![Page 65: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/65.jpg)
Minimizar la superficie de ataque
Amazon Virtual Private Cloud (VPC) • Le permite definir una red virtual en su propia
sección aislada de AWS • Le permite ocultar instancias de Internet usando
grupos de seguridad network access control lists (NACLs)
![Page 66: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/66.jpg)
Seguridad en su VPC
Grupos de Seguridad • Operan a nivel de instancia (primera capa de defensa) • Sólo soportan reglas “allow” • Stateful: el tráfico de regreso es permitido automáticamente • Todas las reglas son evaluadas entes de permitir el tráfico
Network ACLs • Operan a nivel de subred (segunda capa de defensa) • Soporta reglas de “allow” y “deny” • Stateless: EL regreso de tráfico debe ser permitido explícitamente • Las reglas se procesan en orden
![Page 67: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/67.jpg)
Web app server
DMZ public subnet
SSH bastion
NAT
ELB
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
Amazon EC2
Back-end private subnet
security group
MySQL
MySQL db
Amazon VPC
![Page 68: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/68.jpg)
Web app server
DMZ public subnet
SSH bastion
NAT
ELB Usuario
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
Amazon VPC
![Page 69: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/69.jpg)
Web app server
DMZ public subnet
SSH bastion
NAT
ELB
Admin Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
TCP: 22
Amazon VPC
Usuario
![Page 70: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/70.jpg)
Web app server
DMZ public subnet
SSH bastion
NAT
ELB Users
Admin
Internet
Amazon EC2 security group
security group
security group
security group
Front-end private subnet
TCP: 8080
Amazon EC2
TCP: 80/443
Back-end private subnet
security group
TCP: 3306 MySQL
MySQL db
TCP: Outbound
TCP: 22
Amazon VPC
Usuario
![Page 71: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/71.jpg)
Grupos de seguridad de referencia
ELB
![Page 72: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/72.jpg)
Grupos de seguridad de referencia
Web application server
![Page 73: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/73.jpg)
Network ACL de referencia
![Page 74: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/74.jpg)
Prepárese a escalar y absorber
Route 53 • Servicio de DNS altamente disponible, escalable • Utiliza el ruteo anycast para baja latencia
![Page 75: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/75.jpg)
Prepárese a escalar y absorber
Route 53 • Servicio de DNS altamente disponible, escalable • Utiliza el ruteo anycast para baja latencia
CloudFront • Mejora el rendimiento optimizando las conexiones y
guardando el contenido en caché • Dispersa el tráfico entre diferentes ubicaciones edge
globalmente • Los ataques DDoS se absorven cerca de la fuente
![Page 76: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/76.jpg)
Prepárese a escalar y absorber
Elastic Load Balancing • Tolerancia a fallas para aplicaciones • Escalamiento automático • Múltiples Zonas de Disponibilidad
![Page 77: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/77.jpg)
Presencia global de AWS y redundancia
![Page 78: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/78.jpg)
Presencia global de AWS y redundancia
Conexión a Internet C
Conexión a Internet A
Conexión a Internet B
![Page 79: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/79.jpg)
Presencia global de AWS y redundancia
CloudFront
Solicitud de objeto válida
Protocolo inválido
Solicitud de Objeto inválida
![Page 80: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/80.jpg)
Presencia global de AWS y redundancia
ELB
TCP
UDP
![Page 81: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/81.jpg)
Presencia global de AWS y redundancia
Route A
Route B
Route C
users
![Page 82: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/82.jpg)
Presencia global de AWS y redundancia
ELB instances
Availability Zone
ELB instances
Availability Zone
ELB
![Page 83: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/83.jpg)
Ruteo anycast de Route 53
Cómo llego a example.com?
![Page 84: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/84.jpg)
Ruteo anycast de Route 53
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
![Page 85: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/85.jpg)
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
.net
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
![Page 86: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/86.jpg)
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
.net
Cómo llego a example.com?
![Page 87: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/87.jpg)
Ruteo anycast de Route 53
How do I get to example.com?
.org
.co.uk
Por acá!
Por acá!
Por acá!
.com
Por acá!
.co.uk
Por acá!
.net
.org
Por acá!
.com
Por acá!
Por acá!
Cómo llego a example.com?
.net
![Page 88: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/88.jpg)
Arquitectura: State exhaustion
![Page 89: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/89.jpg)
¿Por qué es importante?
• Los ataques State-exhaustion pueden impactar la disponibilidad de firewalls, IPS, y balanceadores de carga. – Más de una tercio de las empresas experimentaron
una falla de firewall o IPS relacionada con DDoS en 2014 (fuente: Arbor Networks).
![Page 90: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/90.jpg)
SYN proxy y SYN cookies
DDoS mitigation
system
CloudFront host
Client
![Page 91: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/91.jpg)
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client
![Page 92: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/92.jpg)
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client !
SYN
ACK
SYN/ACK !!
TCP connection table
![Page 93: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/93.jpg)
SYN proxy y SYN cookies
SYN
ACK
SYN/ACK DDoS
mitigation system
CloudFront host
Client !
Spoofed IP
SYN
ACK
SYN/ACK !!
SYN
SYN/ACK
TCP connection table
![Page 94: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/94.jpg)
Usando proxies propios
NGINX
Security group
DMZ public subnet
Security group
Front-end server private subnet
Instances DDoS
Users
![Page 95: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/95.jpg)
Arquitectura: Capa aplicación
![Page 96: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/96.jpg)
Las apariencias pueden engañar
• Los ataques DDoS a la capa de aplicación parecen tráfico real y pueden consumir recursos del servidor
• Los ejemplos incluyen: HTTP GET floods apuntando a aplicaciones web, o DNS query floods apuntando a servidores DNS
![Page 97: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/97.jpg)
Asegure recursos expuestos
• Protega la entrada a su aplicación • Geo-restricción de CloudFront • Connection reaping de CloudFront • Web Application Firewalls (WAFs) del Marketplace • Use AWS WAF para construir sus propias mitgaciones en
CloudFront
![Page 98: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/98.jpg)
Arquitectura resiliente
Web app server
![Page 99: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/99.jpg)
Arquitectura resiliente
Users Web app
server
![Page 100: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/100.jpg)
Arquitectura resiliente
DDoS
Users Web app
server
![Page 101: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/101.jpg)
Arquitectura resiliente
DDoS
Users
Auto Scaling
Web app server
![Page 102: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/102.jpg)
Arquitectura resiliente
Security group
DDoS
Users
Auto Scaling
Front-end servers private subnet
Web app server
![Page 103: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/103.jpg)
Arquitectura resiliente
ELB
Security group
DMZ public subnet
Security group
WAF/proxy private subnet
DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
![Page 104: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/104.jpg)
Arquitectura resiliente
ELB
Security group
DMZ public subnet
CloudFront edge location
Security group
WAF/proxy private subnet
DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
![Page 105: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/105.jpg)
Arquitectura resiliente
ELB
Security group
DMZ public subnet
CloudFront edge location
Security group
WAF/proxy private subnet DDoS
Users
WAF
Auto Scaling
ELB
Securitygroup
Auto Scaling
Security group
Front-end servers private subnet
Web app server
Reglas de AWS WAF
![Page 106: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/106.jpg)
AWS WAF
![Page 107: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/107.jpg)
¿Por qué AWS WAF?
Vulnebilidad en la aplicación
Los buenos
Los malos
Web server Base de datos
Código Exploit
![Page 108: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/108.jpg)
¿Por qué AWS WAF?
Abuso
Los buenos
Los malos
Web server Database
![Page 109: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/109.jpg)
¿Por qué AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
![Page 110: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/110.jpg)
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
![Page 111: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/111.jpg)
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
Reglas AWS WAF: 1: BLOCK peticiones de los malos 2: ALLOW peticiones de los buenos
![Page 112: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/112.jpg)
¿Qué es AWS WAF?
DDoS en aplicación
Los buenos
Los malos
Web server Database
AWS WAF
![Page 113: Defendiéndose de ataques de DDoS](https://reader034.vdocuments.site/reader034/viewer/2022051318/589ee01e1a28ab39498b6b95/html5/thumbnails/113.jpg)
¡Gracias!