Információbiztonság: DDoS - Elosztott túlterheléses támadások és az ellenük való...

DDoS 1x1 - Elosztott túlterheléses támadások

és az ellenük való védekezés fajtái

Internetes támadások főbb típusai

2

Jellegük szerint:

DDoS 35%

SQL Injection 29%

APT (Advanced Persistent Threat) 37%

A vállalatok 60%-át érte már valamilyen

támadás

Átlagosan ~200.000 USD kárt okozott

egy támadás

Egy kis statisztika…

3

Főbb célpontok:

• Vállalatok

• Állami szervezetek

• Szervezetek (non-profit)

• Szolgáltatók (ISP)

Az üzemszünetek költségei:

• Kevesebb mint 10.000 USD/óra: 65%

• Több mint 10.000 USD/óra: 35%

• Több mint 50.000 USD/óra: 21%

• Több mint 100.000 USD/óra: 13%

A DDoS támadások hossza:

• 1 napnál rövidebb: 60%

• 1-2 nap: 20%

• 3-7 nap: 5%

• 1 hétnél hosszabb: 10%

DDoS támadások jellemző motivációi

4

• Hacktivism

• Nyereségszerzés

• Bosszú (viszonylag ritka)

• Kísérletezés

Mi is a DoS?

5

Denial-of-Service attack (DoS attack)

Egy gép vagy hálózat, erőforrásainak

elérhetőségének megszűntetése,

akadályozása.

Mégis mi az a DDoS?

6

DDoS: Distributed Denial of Service

Központilag irányított, célzott DoS támadás kivitelezésében több eszköz van jelen

A cél mindig a megtámadott szolgáltatás elérhetetlenné tétele

IRC Server

Internet

Web Servers

HTTP Bot

(fertőzött kliens)

HTTP Bot

(fertőzött kliens)

Támadó

BOT Command

HTTP Bot

(fertőzött kliens)

HTTP Bot

(fertőzött kliens)

DDoS támadások főbb típusai

7

A hálózati kapcsolatok túlterhelése (Volumetric): annyi forgalom generálása, ami

túlterheli a megcélzott szolgáltatás Internet kapcsolatait

Syn csomag

hamisító

Célpont/megtámadott hálózat

DDoS támadások főbb típusai

8

Egy adott szolgáltatás vagy alkalmazás túlterhelése („Intelligens DDoS”): annyi új kapcsolat

létrehozása, ami túlterheli az adott szolgáltatást biztosító szervereket, alkalmazásokat

Internet

C&C Server

Támadó

Valós kliens

HTTP Bot

(fertőzött kliens)

HTTP Bot

(fertőzött kliens)

HTTP Bot

(fertőzött kliens)

HTTP Bot

(fertőzött kliens)

BOT Command

Miért nem elegendők a már meglévő megoldások

9

• Volumetric DDoS támadások állandósulása

• Intelligens DDoS támadások megjelenése és egyre nagyobb számban történő elterjedése

• Az egy másodpercben történő kapcsolatnyitások száma meghaladja a Tűzfalak, IPS-ek kapacitásából adódó feldolgozás képességét

DDoS támadás elleni védekezésre dedikált megoldás szükséges!

DDoS védelem 1.

10

• On-Premise (Inline) - a védett vonalon elhelyezett eszköz biztosítja a

védelmet (gyors reakcióidő, nagy pontosság)

• Scrubbing center - megfelelő eljárással átirányítják a forgalmat (AS,

DNS) egy erre szakosodott szolgáltatóhoz, majd az ott „megtisztított”

forgalmat visszairányítják eredeti rendeltetési helyére

(Szinte korlátlan mennyiségű forgalom kezelhető. License-elés a megoldásoktól

függően változhat)

• Hibrid - A fenti kettő kombinációja

A DDoS védelmi megoldások főbb típusai:

DDoS védelem 2.

11

A védelem rétegeinek együttműködése

Network

Flood

Server

FloodApplication

Low & Slow

Attacks

Protection Layers Flow

Allowed

Traffic

Gyártói megoldások

12

Esettanulmány – Etikus DDoS

13

• On-Premise/Felhő alapú DDoS védelem általános biztonságot nyújt a

Volumetric típusú támadások esetén

• Folyamatos konfiguráció Volumetric támadásoknál

• Kapcsolati tábla betelésének elkerülése

• Intelligens DDoS (Low and Slow) esetén konfiguráció, sok esetben

finomhangolás szükséges

Tapasztalás a vizsgálat során:

14

Köszönöm a figyelmet!

Gabor.Pali@snt.hu