plnog 13: paweł kuśmierski: how akamai and prolexic mitigate (d)dos attacks
DESCRIPTION
Paweł Kuśmierski -is a Senior Engineer and Lead of Akamai’s System Operations in Krakow, Poland. He’s responsible for operational oversight of Internet Mapping and Distributed Storage systems. In the past he interned at Google’s Mountain View office as a Software Engineer. He lives with his wife and three year old son in Krakow. He likes building electronic devices, systems programming and flying gliders. Topic of Presentation: How Akamai and Prolexic mitigate (D)DoS attacks Language: Polish Abstract: The presentation will cover the common types of attacks Akamai and Prolexic see, and what mitigation techniques are available to protect against them. It will start with a short architectural description of how their networks are built. It will describe at what level they get attacked, and how are the attacks handled.TRANSCRIPT
Jak Akamai i Prolexic radzą sobie z atakami DDoS
Paweł Kuśmierski, Senior Engineer, Lead
System Operations, Akamai, Kraków
©2013 AKAMAI | FASTER FORWARDTM
Czym jest Akamai?
Firmą założoną na MIT w 1998 przez prof. Toma Leightona i doktoranta
Dannego Lewina
Akamai posiada najbardziej rozproszoną platfomrę internetową na świecie
(ponad 150 000 serwerów, w 2000 lokalizacjach w 92 krajach)
Platforma Akamai pośredniczy w dostarczaniu od 15 do 30% światowego
ruchu www
Jesteśmy jeden „skok” od 90% procent
uzytkowników Internetu (ich routera brzegowego)
Dzienny ruch w sieci:
10+ Tbps -- 30 PB/dziennie
20+ milionów zapytań na sekundę
10 milionów jednoczesnych strumieni video
©2013 AKAMAI | FASTER FORWARDTM
Czym jest Prolexic?
Firmą założoną w 2003 roku w celu zapogiegania atakom DDoS
Prolexic posiada platformę o pojemności 1.8Tbps
Oferuje filtrowanie od poziomu IP wzwyż
Reguły tworzone są przez zespół doświadczonych ekspertów
wdrażający strategie zapobiegania (Security Operations Center, w
Krakowie powstaje właśnie nowy ośrodek)
PLXsert – ostrzeżenia o nowych zagrożeniach
(twitter: @PLXSERT)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Przykładowi klienci z róznych branży
10 największych
amerykańskich banków
Przemysł
10 z 12 największych
firm e-bezpieczeństwa
Technologia
30 największych firm
medialnych
Media i Rozrywka
Wszystkie dowództwa
armii USA
Sektor Publiczny
97 ze 100 największych
serwisów e-commerce
Usługi
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
©2013 AKAMAI | FASTER FORWARDTM
Sieć Prolexic
Centra filtracyjne:
San Jose, CA (Equinix)
Ashburn, VA (Equinix)
London, UK (LINX)
Hong Kong, Chiny (HKIX)
Frankfurt, Niemcy
Tokyo, Japonia Q4 2014
Sydney, Australia Q1 2015
Różni dostawcy i połączenia:
3-4 dostawców “Tier 1” na
centrum
Polityka Public Peering
Pojemność 1.8Tbps
Centrum filtracyjne
Botnety
Powstające centrym
©2013 AKAMAI | FASTER FORWARDTM
Origin Traffic
1
10
100
10,000
1,000
Prolexic Traffic
1
10
100
10,000
1,000
Blokowanie DDoS w przez Prolexic
Z usługą Prolexic Routed
• Atak jest blokowany na poziomie
centrum filtrującego, z daleka od
infrastruktury klienta
Prolexic Platform
3 Tier-1 Providers
1.8 Tbs/Sec
PROLEXIC
In-the-cloud
Security Operations Center
Serwerownia
klienta
©2013 AKAMAI | FASTER FORWARDTM
Asymetryczna ścieżka Asymetryczna ścieżka
Clean traffic
Attack traffic
Telemetria
Monitoring Aplikacji i oparty
o przepływy (ich odchylenie
od normy)
Internet Centrum danych klienta Część
publiczna Część
prywatna • Aktywacja w
ciągu minut
• Ochrona całej
podsieci
• I wielu usług,
nie tylko HTTP
i HTTPS
• Ruch
przychodzący
automatycznie
kieruje się do
najbliższego
centrum
• Chroni dużą
przestrzeń
adresową
• Monitoring
24/7 przez
Prolexic SOC
• Powstrzymuje
ciągłe ataki
200+ Gbps
Dwa tunele GRE
lub łącza MPLS
Security Operations Centers
Aktywacja przez rozgłaszanie BGP
Asymetryczna ścieżka
©2013 AKAMAI | FASTER FORWARDTM
SLA dla powstrzymania ataku
Attack Category TTM - Time to Mitigate
(typical)
TTM - Time to Mitigate
Guaranteed (SLA)
UDP/ICMP Floods 1 minute or less 5 minutes
SYN Floods 1 minute or less 5 minutes
TCP Flag Abuses 1 minute or less 5 minutes
GET/POST Floods 10 minutes or less 20 minutes
DNS Reflection 5 minutes or less 10 minutes
DNS Attack 5 minutes or less 10 minutes
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
©2013 AKAMAI | FASTER FORWARDTM
Akamai oka rzutem
©2013 AKAMAI | FASTER FORWARDTM
Optymalizacje Akamai: „Chmura” Użytkownik łączy się zawsze z najbliższym serwerem Akamai
Serwerwnie źródłowe są zazwyczaj daleko od klienta końcowego
... Co skutkuje dłuższym czasem RTT
Użytkownik
Serwerownia Klienta
Serwery brzegowe Akamai
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Optymalizacje przesyłania
Problem 1:
Tam-i-z-powrotem
dla dużych ilości danych
Serwerownia Klienta
Serwery brzegowe Akamai
Optymalizacja: protokół przesyłania (TCP)
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Problem 2:
Na trasie do serwerowni może
wydarzyć się awaria (lub de-peering)
Serwerownia Klienta
X
X
Optymalizacje Akamai: Wybór tras
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Akamai SureRoute
Problem 2:
Na trasie do serwerowni może
wydarzyć się awaria (lub de-peering)
Serwery brzegowe Akamai
X
Serwerownia Klienta
Optymalizacje Akamai: Wybór tras
©2013 AKAMAI | FASTER FORWARDTM
Packet
Loss
50%
40%
30%
20%
10%
0%
Generic Internet Akamai
Akamai SureRoute Straty pakietów w Indiach po przecięciu kabla na Bliskim Wschodzie
©2013 AKAMAI | FASTER FORWARDTM
(Cloud)
Datacenters
Użytkownik
1
10
100
10000
Origin
Traffic
1000
Akamai
Traffic
10
100
10000
1000
Ochrona brzegowa Akamai (Permeter defence, WAF)
ZATRZYMANE
1
©2013 AKAMAI | FASTER FORWARDTM
Dane o reputacji klienta
Zapisywanie danych o znanych źródłach ataku
pozwala na lepszą ochronę
• Identyfikujemy złych użytkowników na podstawie reguł dla
różnych typów ataków
• Dla każdego z nich obliczamy reputację w 10-cio punktowej
skali
• Odfiltrowujemy ruch z podejrzanych źródeł (specjalna strona,
opóźnienie, 501)
• Dane dostarczane do ponad 100k serwerów brzegowych
• Dane wspólne dla wszystkich klientów Akamai
• Akamai obsługuje 15-30% ruchu www w Internecie
• W ciągu miesiąca widzimy większość użytkowników Internetu
©2013 AKAMAI | FASTER FORWARDTM
Client Reputation Console
©2013 AKAMAI | FASTER FORWARDTM
Błędy reguł obliczania reputacji
37.35%
19.68%
4.89%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
CloudFlare Incapsula Akamai
False Positives False Negatives
.09%
.31%
.48%
Source: Akamai
Cloud-based
WAF 1
Cloud-based
WAF 2
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Na czym skupiają się ataki DDoS?
27%
24%
8%
4%
30%
5%
©2013 AKAMAI | FASTER FORWARDTM
W tym roku: 320 Gbps DDoS na klienta z branży gier
Celem była główna strona www,
infrastruktura sieciowa i DNS
Atak na kilka sposobów:
• SYN / UDP floods na całą podsieć
• Atak objętościowy na DNS
Attack characteristics:
• Szczytowo 320 Gbps i 71.5 Mpps przez centra
filrowania Prolexica
• 2.1 milion zapytań/s przez Fast DNS Akamai
Prolexic:
Fast DNS:
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection. +
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Perimeter 3 – DNS
• Highly scalable (<1% total capacity)
• Highly available (24x7 SLA)
• High performance (zone apex)
• Supports DNSSEC
• Primary and secondary DNS
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Perimeter 3 – DNS
• Highly scalable (<1% total capacity)
• Highly available (24x7 SLA)
• High performance (zone apex)
• Supports DNSSEC
• Primary and secondary DNS
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
SOC Managed Service • People-driven security
• Experience Security Professionals
• Staffed 24x7 SOC
• Monitor / Alert
• Respond
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Result:
2-100X compression
Result:
2-100X compression
Result:
2-100X compression
Aplikacja do wizualizacji
sieci Akamai
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
Dziękuję za uwagę
Paweł Kuśmierski, [email protected]