DDoS. Fugindo do seguro desemprego!

DDoS Fugindo do seguro desemprego!

Igor M. de Assis Mini currículo: Bacharel em Análise de Sistemas (CESMAC/AL) Especialista de Redes na TIVIT Ambiente de redes compartilhado (CSC) 10+ anos de experiência com redes e segurança Anti-DDoS, BGP, MPLS, Peering, Datacenter, Backbone, etc. BCNE, CCNA, CCNP, CCDA, CCDP, CCXF, WSFE, etc.

DDoS Principais tipos de ataques

Principais Tipos de Ataques Ataques de Aplicação SQL Injection, Slowloris, GET Floods Cross-site Scripting (XSS) Ataques de Sessão DNS UDP Flood, DNS Query Floods SSL Flood, SSL Renegotiation Ataques de Rede (volumetria) TCP SYN Flood, UDP Flood SSDP Flood, NTP Flood

Principais tipos de ataques

DDoS Mitigando ataques de aplicação

Ataques de aplicação

Ataques de Aplicação Código de alta qualidade Boas rotinas de testes Consultorias de pentests/vulnerabilidades Serviços e frameworks seguros e escaláveis Node.JS, AngularJS, Sails Vert.x, Twisted Appliances focados em ataques L7 (WAF/LBs) Imperva SecureSphere, Radware DefensePro Arbor Pravail APS, F5 BIG-IP (ASM) Citrix Netscaler, Radware Alteon

DDoS Mitigando ataques de sessão

Ataques de Sessão Meio de campo entre ataques de aplicação e de redes Altos volumes de tráfego Limitações de hardware (capacidade) Filtragens de pacotes específicos e rate limit Chargen (UDP/19), QOTD (UDP/17) Limitar tráfego de DNS Replies maiores que 512 bytes* Limitar tráfego UDP fragmentado Appliances focados em ataques L7 (WAF/LBs) Imperva SecureSphere, Radware DefensePro Arbor Pravail APS, F5 BIG-IP (ASM) Citrix Netscaler, Radware Alteon

DDoS Mitigando ataques Volumétricos

ESTAMOS NA LAMA!

Ataques Volumétricos A última fronteira em negação de serviço Queda de braço (principalmente links) Indisponibilidade total de toda a infraestrutura de internet Geralmente através de amplificação com UDP/SSDP Volume ainda maior com Botnets A forma de se defender é complexa e cara Arquitetura diferenciada Políticas de filtragem de tráfego (Sinkhole / Blackhole) Integração intensa com os principais ISPs Quanto maior a operadora, maior a chance de gargalos

Arquitetura de um ataque de amplificação/reflexão

Here comes a new challenger!

Ataque de amplificação/reflexão com uma botnet (Mirai)

Ataque de amplificação/reflexão com uma botnet (Bashlight)

Firewalls?

Firewalls...

Arquitetura Diferenciada ASN próprio ou estar sob um ASN protegido Liberdade para selecionar suas rotas Maior resiliência (multi homing) Sessões de BGP com outros ASNs (Peering) * Manipulação de tráfego Anunciar e retirar anúncios de seus prefixos IP CDN própria ou contratação de serviço POP s nos mais diversos DCs e IXPs globais Políticas de filtragem de tráfego (Sinkhole / Blackhole) Integração intensa com os principais ISPs

Filtrando o esgoto Dashboards e Telemetria (netflow, jflow, sflow, etc) Visibilidade e awareness Detecção imediata de um ataque (top flows) Automatização de ações com scripts (cps, pps, bps, etc) Análise de Post Mortem

Filtrando o esgoto Manipulação de tráfego com BGP Blackhole (S/RTBH e D/RTBH) Sinkhole (cleanpipe) Serviços externos de scrubbing (F5, Incapsula, Arbor, etc) BGP FlowSpec Serviços externos de scrubbing Anúncio dos seus prefixos via outros ASNs Túnel GRE para redirecionamento do tráfego (limpo) F5, Incapsula, Arbor, Verisign, DOS Arrest, Prolexic, etc Capacidades de mitigação entre 1,5~3 Tbps

Remotely Triggered Blackholes (RTBH)

Link protegido com in-house scrubbing (cleanpipe)

Subindo pra Série A CDN própria ou como serviço Cloud global distribuída (BGP confederation?) Diminui drasticamente os pontos de gargalo Altíssima disponibilidade (Anycast?)

DDoS E quando a gente acha que já estamos na lama...

Utilização atual do agregado do IX.BR (PTT)

- Qual é a previsão do tempo, Maju? - Chuvas com rajadas frescas!

Durmam bem, boa noite!

PARA UM MUNDO COMPLEXO, SOLUÇÕES ÚNICAS