Embed Size (px)
Citation preview
Актуальные методы противодействия DDoS-атакам
октябрь 2010
Игорь Концевой
Slide 2
Содержание
• Обзор атак 2009-2010 гг
• Обзор технологий по отражению DoS / DDoS
• Примеры использования
• Пару слов о наших решениях
Типичный цикл атаки
Slide 3
• Сканирование• Открытые порты,
типы серверных платформ ...
Сбор информации о
сети
• Веб скан• Поиск и
мапирование уязвимостей
Сбор информации о приложениях • Вторжение
• Использование уязвимостей
• «Лобовая» атака
Атака
Время
Сбор информации и планирование атаки Атака
Атаки Low & Slow DoS
• Типичные DoS/DDoS атаки– Массированные атаки на сети / приложения– Атака единичным пакетом (использование уязвимостей)
• Новая тенденция: Низкоактивные атаки с переполнением запросами – Использование слабых мест ПО для атаки на веб- приложения
или ресурсы стэка TCP – Легитимные пользователи
не получают услуги– Атаки “проходят под радаром…”
• Примеры атак:– Slowloris (июль 2009)– Sockstress (сентябрь 2009)
Slide 4
Атаки Low & Slow - Slowloris
Slide 5
Атакующий Веб сервер Apache
HTTP GET /… CRLF/CRLF
HTTP REPLY
HTTP GET /… CRLF/
HTTP GET/CRLF
HTTP GET /… CRLF
HTTP GET /… CRLF
HTTP GET /… CRLF Атака с злоупотреблением услугой
• Перегрузка сервера из-за параллельных состояний ожидания приложения
• Минимальный обмен трафиком
Атака с злоупотреблением услугой
• Перегрузка сервера из-за параллельных состояний ожидания приложения
• Минимальный обмен трафиком
Атака DoS с низкой интенсиностью
• Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты
Атака DoS с низкой интенсиностью
• Один клиент может добиться состояния полного отказа в обслуживании за считанные минуты
Conficker: атака типа Zero-Minute
Malware
Victim
Victim
Victim
Victim
Victim
Victim
Victim
Victim
Главный вектор распространения: TCP Port 445 (RPC)
Главный вектор распространения: TCP Port 445 (RPC)
Slide 6
Conficker –распространение мalware
Slide 7
Slide 8
Internet
Public Web Servers
Bot (Infected host)
Bot (Infected host)
Attacker
BOT Command
C&C Server
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
GET /… HTTP/1.0
Bot (Infected host)
Bot (Infected host)
Legitimate User
Характеристики атаки• ~50,000 зомби компьютеров• Разнообразные атаки:
• HTTP флуд • SYN флуд с использованием аномалий пакетов• UDP флуд • ICMP флуд
• «Получатели» в США и Южной Корее• ~ 6-7 Гбит/с входящего трафика (>2 миллионов
PPS)
Mydoom.EA
Slide 9
Почему так трудно противостоять Mydoom.EA?
• Динамические инструменты для атаки• Одновременное использование
разнотипных атак:– Под видом легитимного пользователя (DDoS)– Открытая атака (HTTP flood)
• Высокораспределенная атака• Переполнение HTTP запросами нацелено на
главную страницу веб-сайтов – жертв атаки• Высокоативная атака
Zeus Crimeware: автоматизирует финансовые преступления
Slide 10
Атакующий
Установка Malware
Веб сайт
Установка Malware
Browse
Жертва
Browse Интернет
Zeus Crimeware: атака Man-in-the-Browser (MITB)
Slide 11
Атака MITB будет успешной – неважно сколько механизмов безопасности, таких как SSL/PKI или двух/трех уровневая авторизация используется.
Противостояние кибератакам
Slide 12
Вектор атаки Защита
Распространение/заражение компьютеров для БОТ сетей
IPS или NB A
Сообщения для управления БОТ сетью IPS
Сетевые переполнения Переполнения SYN/UDP/ICMP
Защита от DDoS
Прикладной флудинг - Переполнение страницы запросами HTTP
NB A
Одно средство защиты не может справиться с современными угрозами безопасности сетей и ЦОД
Из новостей: появление SCADA Worm
Slide 13
О Stuxnet
• Из Wikipedia:– Stuxnet поражающий компьютеры под управлением операционной
системы Microsoft Windows компьютерный червь, обнаруженный в июне 2010 года
– Векторы распространения • Портативные устройства памяти • Уязвимость MS LNK
– Впервые «червь» обнаружен в промышленных системах (SCADA) , управляющих автоматизированными производственными процессами
– Предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление крупным производством. Возможно, нацелен на инфраструктуры, использующие системы Siemens в Иране
– 60 % всех компьютеров, пораженных этим вирусом, расположены на стратегических объектах промышленности Ирана.
– Пресса писала, что возможно проникновение вируса задержало пуск завода по обогащению урана в Бушере и повредило атомные предприятия в Натанце
Slide 14
Обзор технологий по отражению DoS / DDoS
Технология Rate Based
• Технология Rate Based– Преимущества
• Ограничивает трафик и нормализует его объем• Блокирует массированные сетевые DoS атаки
– Недостатки• Блокирует легитимных пользователей во время отражения атаки• Пики легитимного трафика дают ложное срабатывание• Не помогает при атаках «низкой интенсивности»• Необходима ручное конфигурирование и время от времени
настройка
Slide 16
Технология поведенческого анализа NBA
• Автоматическая защита в реальном времени:– От распространения Zero minute malware – От использования ресурсов приложения:
• От взломов • От сканирования веб- приложений• От переполнения HTTP запросами
к странице • От сканирования SIP • От SIP переполнения
– Преимущества• Автоматическая защита от сетевых DDoS атак в реальном времени• Не требует вмешательства человека• Аккуратное обнаружение и отражение – не блокирует легитимный
трафик пользователей
– Недостатки• Требует примерно 1 неделю обучения для оптимизации
Slide 17
IPS: технология статических сигнатур
Преимущества• Определение атаки по
единичному пакету (“single bullet”)
• Аккуратное определение• Детальчый отчет
Недостатки• Отсутствует защита в реальном
времени для:– Сетевых DDoS– Прикладных flood атак– Новых атак
• Ограничение по числу сигнатур – Выигрыш в безопасности и
проигрыш в производительности
“Single Pulse” Attack
1 - 2 packets
Page 18
RSA – службы Reputation Services
• Службы IP Reputation Service– Внешние службы в реальном времени от стороннего
поставщика – Моментально блокирует атаки, используя сигнатуры реального
времени– Преимущества
• Защищает от:– Ботов (Source IP reputation)– Распространения Zero-minute malware (Web site reputation)– Атак типа социальной инженерии (фишинг и т.д.) (Web site
reputation)– Спама (Source IP reputation)
• Легкое внедрение посредством
«Reputation Engine»
Slide 19
Предотвращение атак – разные уровни защиты
Slide 20
Распространение Zero-Day Malwareи сканирование
Атаки DoS/DDoS Вторжения Безопасная
среда
NBA уровня сетизащита от DDoS
NBA уровня пользователя
IPS – на основе сигнатур
Атаки на приложения
NBA уровня приложения
Механизм проверки репутации
IPS – на основе сигнатур
NBA уровня пользователя
Типичный цикл атаки и модули безопасности
Slide 21
• Сканирование• Открытые порты,
типы серверных платформ ...
Сбор информации о
сети
• Веб скан• Поиск и
мапирование уязвимостей
Сбор информации о приложениях • Вторжение
• Использование уязвимостей
• «Лобовая» атака
Атака
Сбор информазии и планирование атаки Атака
NBA уровня приложения
Примеры использования
Игровой сайт
Slide 23
Internet
Web Servers
ADC
Router
Web Servers
ADC
Router
Web Servers
ADC
Inflight
Router
DefensePro
Asia DC
Europe DC
Europe DC
Глобальная архитектура
Border-Router-1 Border-Router-2
ISP-1
ISP-2
ISP-3
ISP-4
Active ActiveBackup Backup
Оператор сотовой связи и ISP в Израиле
Remote ISP PeeringISP-A ISP-AISP-B ISP-B
Local ISP Peering
• Установка в «разрыв»
• Защита от:• Сетевых DoS атак и аномалий• Прикладных DoS атак• Сканирования и взлома приложений• Использования уязвимостей
• MSSP – защищает своих клиентов
Оператор сотовой связи и ISP в Израиле
Slide 25
Архитектура защиты
РаспространениеMalwareАтаки DoS/DDoS
Вторжение Безопасная среда
NBA уровня сети
Защита DDoS
NBA уровня пользователя
IPS на основе сигнатур
Атаки уровня сервера
NBA уровня приложения
Вне линии
В разрыв
Multiple DefensePros
Финансовая компания, Новостной сайт
Решение для дублирования ЦОД
Internet
Access Router
ADC Infrastructure
Firewall Cluster
Router
Slide 26
Анализ поведения:• Предотвращение взломов IPS:• Профиль уязвимости ЦОД• Специальные сигнатуры для
фирменных протоколов, используемых при торгах
Анализ поведения:• Предотвращение взломов IPS:• Профиль уязвимости ЦОД• Специальные сигнатуры для
фирменных протоколов, используемых при торгах
Защита DoS :• Предотвращение интенсивных атак
DoS/DDoS • Предотвращение сканирования сети • Предотвращение атак с высоким числом
PPS без влияния на легитимный трафик
Защита DoS :• Предотвращение интенсивных атак
DoS/DDoS • Предотвращение сканирования сети • Предотвращение атак с высоким числом
PPS без влияния на легитимный трафик
Поставщик услуг VoIP
Slide 27
• Сетевая архитектура
Page 27
VoIP and DNS servers
VoIP and DNS servers
VoIP and DNS servers
VoIP and DNS servers
Backbone
POP #1
POP #2
POP #3
POP #4
Пару слов о наших решениях
Решения для безопасности сетей и ЦОД
Slide 29
IPSDoSзащита
NBA Reputation Engine
APSolute предупреждение атак для ЦОД
Internet
Access Router
Web ServersApplication Servers
FirewallDoS Protection
IPS
NBA
Anti Trojan / phishing
IPS DoS защита NBA Anti Trojan, Anti Phishing
Slide 30
Анализ поведения сети и сигнатуры в реальном времени
Public Network
Blocking Rules
StatisticsDetection
Engine
Learning
RT Signatures
Signature parameters
• Source/Destination IP• Source/Destination
Port• Packet size• TTL (Time To Live)• DNS Query • Packet ID• TCP sequence
number• More … (up to 20)
Initial filter is generated: Packet ID
Degree of Attack = Low (Positive Feedback)
Filter Optimization: Packet ID AND Source IPFilter Optimization: Packet ID AND Source IP AND Packet size
Degree of Attack = High(Negative Feedback)
Filter Optimization: Packet ID AND Source IP AND Packet size AND TTL
Degree of Attack = High Degree of Attack = Low
Narrowest filters • Packet ID • Source IP
Address• Packet size• TTL (Time To
Live)
1 2
3
4
5
Inbound Traffic
Outbound Traffic
LAN
Up to 100 10+X
Final FilterStart
mitigation
Closed feedbackInitial Filter
Time [sec]
Mitigation optimization process
Filtere
d T
raffic
Traffic characteristics Real-Time Signature
5 причин выбрать Radware
Полное решение, включающее:
IPS, NBA, DoS и RSAЛучшее решение защиты от DDoSNBA : создание сигнатур «на лету»NBA & IPS - Лучшее решение для
защиты чувствительной среды SIPМы - компания которая умеет
слушать!
Slide 31
Спасибо за внимание!
