Ataques DDoS Panorama, Mitigação e Evolução

Documentos relacionados
Ataques DDoS Panorama, Mitigação e Evolução. Wilson Rogério Lopes GTER 39 05/2015

DDoS. Fugindo do seguro desemprego!

A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP

MANRS. Mutually Agreed Norms for Routing Security

SEGURANÇA APLICADA MATERIAL 19

Segurança de Redes de Computadores

VI Fórum Brasileiro de IPv6

BT Assure DDoS Mitigation

Boas práticas para obter o máximo de desempenho com equipamentos da MikroTik.

Configuração do Servidor Gateway Firewall e DHCP

ENDEREÇAMENTO PRIVADO PROXY E NAT

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Boas práticas para peering no PTTMetro

Ferramentas para Coexistência e Transição IPv4 e IPv6. Módulo 7

Curso BCOP. Boas Práticas BGP

Caso Directnet (AS22818)

Eduardo Barasal Morales Tiago Jun Nakamura Maputo, Moçambique 18/07/17-21/07/17


2 A Avaliação de RMU 20/12/2012. Nome:

Encontro Provedores Regionais Belém / PA Agosto / 2017

Implantando IPv6 da rede de acesso ao BGP com um bom plano de endereçamento VINICIUS OCHIRO

Modelo OSI x Modelo TCP/IP

IV Workshop POP-RS / Rede Tche

Análise de Tráfego Externo em Situações de Roteamento Parcial. Eduardo Ascenço Reis

TRANSPORTE DE PREFIXOS VIA VPNV4

6 motivos para atualizar a versão do RouterOS. Pietro Scherer MUM Brazil São Paulo

BITDEFENDER GRAVITYZONE. Diogo Calazans Diretor Comercial

Responsabilidade de provedores na conexão à Internet. Notas para discussão. Danton Nunes, Internexo Ltda.

Configurar OSPFv3 como o protocolo PE-CE com técnicas de prevenção do laço

Firewall e Proxy. Relatório do Trabalho Prático nº 2. Segurança em Sistemas de Comunicação

Redes de Computadores e a Internet Kurose. Prof. Rone Ilídio da Silva DTECH-CAP-UFSJ

Aula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.

BGP no Bloqueio de DoS Flood

Firewall - Inspeção com estado. (Stateful Inspection)

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Grupo de Trabalho de Engenharia e Operação de Redes (GTER39) Conexão com PTT's utilizando Vyatta/Vyos/EdgeMAX

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

O que é FlowSpec? Gustavo Rodrigues Ramos.

Situação Atual do IPv6. Utilizando o novo protocolo Internet

Tutorial IPv6 Avançado Técnicas de Transição

Capítulo 4 TCP/IP FIREWALLS.

Endereçamento. Um endereço IPv4 é formado por 32 bits. 2³² = Um endereço IPv6 é formado por 128 bits.

Netfilter e Iptables

Redes de Computadores

Transcrição:

Ataques DDoS Panorama, Mitigação e Evolução Wilson Rogério Lopes LACNIC 26 / LACNOG 2016 09/2016

Wilson Rogério Lopes Especialista em arquitetura e segurança de redes, com 12 anos de atuação em grandes provedores do mercado de internet no Brasil. Pós-graduado pela Universidade de São Paulo USP. Palestrante frequente no GTER e GTS Grupo de trabalho de engenharia e segurança de redes no Brasil. Áreas de Interesse - Arquitetura e Segurança de Redes, IaaS, SDN, DNS, DNSSEC. Contato wilsonlopes00@gmail.com https://br.linkedin.com/in/wrlopes

Disclaimer As informações e opiniões contidas nesta apresentação não representam o meu empregador. Todas as informações e estatísticas apresentadas são de domínio público, coletadas de blogs e sites de notícias na internet.

Agenda DDoS - Panorama atual e Evolução Mitigação Opções e aplicabilidade Recomendações gerais

DDoS is a new spam and it s everyone s problem now.

Technical Details Behind a 400Gbps NTP Amplification DDoS Attack 13 Feb 2014 by Matthew Prince http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/ To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks. On average, each of these servers sent 87Mbps of traffic to the intended victim on CloudFlare's network. Remarkably, it is possible that the attacker used only a single server running on a network that allowed source IP address spoofing to initiate the requests.

Fonte: Atlas Arbor Networks

SSDP - Simple Service Discovery Protocol UDP porta 1900 Search Request Fator de amplificação 30x 8 milhões de dispositivos abertos Fonte: https://ssdpscan.shadowserver.org/

2016 - IoT CCTV Botnet CCTV devices telnet, admin com senha default Mesmo firmware em pelo menos 70 vendors Lizard Squad Bot LizardStresser 400Gbps de volumetria sem amplificação HTTP Request flood, tcp connections flood, udp flood Fonte: https://www.arbornetworks.com/blog/asert/lizard-brain-lizardstresser/

2016 Olimpíada Rio de Janeiro Início atividade IoT botnet 540Gbps de volume sustentados durante horas Alvos Governo, Patrocinadores, Instituições Financeiras Uso de GRE para bypass das mitigações Fonte: https://www.arbornetworks.com/blog/asert/lizard-brain-lizardstresser/

2016 21/09 - Retaliação vdos Israelense identificado e proprietários presos Noticiado pelo repórter Brian Krebs - http://krebsonsecurity.com/about/ 665Gbps 143Mpps Sem amplificação!

2016 25/09 Google Project Shield #dig krebsonsecurity.com. krebsonsecurity.com. 246 IN A 130.211.45.45 CIDR: 130.211.0.0/16 NetName: GOOGLE-CLOUD

Ataques DDoS IPv6 354 Service Providers entrevistados 70% responderam ter IPv6 implementado 2015 2% reportaram ter sofrido pelo menos 1 ataque DDoS 2016 9% Ataque de maior volumetria - 6Gbps Fonte: Arbor 2016 Worldwide Infrastructure Security Report

Mitigação Team Cymru UTRS Attack Traffic UTRS - Unwanted Traffic Removal Service Destination RTBH multihop BGP AS vítima anuncia o ip atacado Verificação da autenticidade whois e peering db Bloqueio do ataque no AS de origem Restrito a prefixo /32 Quanto maior o número de ASs, maior a eficácia AS YYYY route x.x.x.x/32 null0 BGP update UTRS BGP update AS XXXX route x.x.x.x/32 null0 Recomendado Provedores de acesso para usuário doméstico Usuário(s) fica(m) sem acesso e o provedor salva sua rede BGP Peering x.x.x.x/32 announce Upstream 1 Upstream 2 Talvez Recomendado... ISPs, Provedores de conteúdo e aplicações web Efetiva ao DoS - Serviço inacessível (news home, e-commerce basket, bakline page) AS 1234 Network Under Attack Destination: x.x.x.x/32

Mitigação Clean Pipe IP Transit Providers Detecção do ataque via Netflow Anúncio mais específico via BGP do ip/prefixo atacado Limpeza do tráfego - Syn cookies - Filtros estáticos: drop udp src port 1900 drop udp src port 123 - Rate Limit per src/dst prefix and ports Cleaning Center - Protocol Authentication - Payload regular expressions - TCP connection limit - Rate limit using GeoIP Normal Traffic Attack Traffic Cleaned Traffic PE Operadora CPE Cliente

Mitigação Cloud DDoS Mitigation Service Providers Túnel GRE com a rede do Cloud Provider Sessão BGP estabelecida Detecção do ataque via Netflow Anúncio do bloco atacado via BGP Cloud Provider divulga o anúncio para seus upstreams Bloqueio de ataques de camada 3 e 4 Serviço de Proxy / WAF HTTP/HTTPS Cloud Provider Network GRE Normal Traffic Attack Traffic Cleaned Traffic Prós Capacidade/Superfície de mitigação Implementação sem necessidade de adequações na infra Contras Latência GRE e MSS adequação do MSS, TCP DF bit setado Inbound traffic BGP GRE PE Operadora Outbound traffic CPE Cliente

Mitigação Load Balancers Syn Flood - Syn Cookies por hardware Centenas de milhões de syn cookies por segundo L7 HTTP/HTTPS Floods - Rate limit IP/URL/URI - Análise header HTTP Check de User Agent Check de Referer - Inserção de cookies - Inserção de js - Inserção de captcha

Mitigação Home Made Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT notrack iptables -I INPUT -p tcp -m tcp -m conntrack ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460

Mitigação Home Made Mod Evasive Limita número de requests baseado na URL, URI, ip de origem e intervalo de tempo DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 60 DOSEmailNotify admin@example.org

Mitigação Home Made Mod Security WAF Monitoração, log e bloqueio OWASP Core rules - https://www.owasp.org/index.php/category:owasp_modsecurity_core_rule_set_project Violação de protocolo RBL Bloqueio de floods e slow attacks Bot, crowler e scan detection

Mitigação Recomendações Gerais Mitigação híbrida Tenha o controle nas mãos para não morrer pela vacina Bloqueio de ataques l3/l4 no provedor Bloqueio local de ataques de aplicação Monitoração com foco específico para DDoS Monitorações do NOC geralmente não atendem à agilidade que a mitigação de um DDoS necessita Configure Control Plane Policy. Filtre tráfego com destino ao control plane dos equipamentos Separe prefixos ip de infraestrutura de prefixos ip de serviços e clientes Facilite a mitigação Separe ips/servidores para cada tipo de serviço http(s), dns, smtp... Bom e velho Anycast Fuja de controles statefull na borda

Referências CERT.BR - Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS) http://www.cert.br/docs/whitepapers/ddos/ Mod Evasive - http://www.zdziarski.com/blog/?page_id=442 Mod Security - https://www.modsecurity.org/ Iptables SynProxy - http://rhelblog.redhat.com/2014/04/11/mitigate-tcp-syn-flood-attacks-with-red-hatenterprise-linux-7-beta/ UTRS - https://www.cymru.com/jtk/misc/utrs.html Google Project Shield - https://projectshield.withgoogle.com/public

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback