Embed Size (px)
Citation preview
DDoS 1x1 - Elosztott túlterheléses támadások
és az ellenük való védekezés fajtái
Internetes támadások főbb típusai
2
Jellegük szerint:
DDoS 35%
SQL Injection 29%
APT (Advanced Persistent Threat) 37%
A vállalatok 60%-át érte már valamilyen
támadás
Átlagosan ~200.000 USD kárt okozott
egy támadás
Egy kis statisztika…
3
Főbb célpontok:
• Vállalatok
• Állami szervezetek
• Szervezetek (non-profit)
• Szolgáltatók (ISP)
Az üzemszünetek költségei:
• Kevesebb mint 10.000 USD/óra: 65%
• Több mint 10.000 USD/óra: 35%
• Több mint 50.000 USD/óra: 21%
• Több mint 100.000 USD/óra: 13%
A DDoS támadások hossza:
• 1 napnál rövidebb: 60%
• 1-2 nap: 20%
• 3-7 nap: 5%
• 1 hétnél hosszabb: 10%
DDoS támadások jellemző motivációi
4
• Hacktivism
• Nyereségszerzés
• Bosszú (viszonylag ritka)
• Kísérletezés
Mi is a DoS?
5
Denial-of-Service attack (DoS attack)
Egy gép vagy hálózat, erőforrásainak
elérhetőségének megszűntetése,
akadályozása.
Mégis mi az a DDoS?
6
DDoS: Distributed Denial of Service
Központilag irányított, célzott DoS támadás kivitelezésében több eszköz van jelen
A cél mindig a megtámadott szolgáltatás elérhetetlenné tétele
IRC Server
Internet
Web Servers
HTTP Bot
(fertőzött kliens)
HTTP Bot
(fertőzött kliens)
Támadó
BOT Command
HTTP Bot
(fertőzött kliens)
HTTP Bot
(fertőzött kliens)
DDoS támadások főbb típusai
7
A hálózati kapcsolatok túlterhelése (Volumetric): annyi forgalom generálása, ami
túlterheli a megcélzott szolgáltatás Internet kapcsolatait
Syn csomag
hamisító
Célpont/megtámadott hálózat
DDoS támadások főbb típusai
8
Egy adott szolgáltatás vagy alkalmazás túlterhelése („Intelligens DDoS”): annyi új kapcsolat
létrehozása, ami túlterheli az adott szolgáltatást biztosító szervereket, alkalmazásokat
Internet
C&C Server
Támadó
Valós kliens
HTTP Bot
(fertőzött kliens)
HTTP Bot
(fertőzött kliens)
HTTP Bot
(fertőzött kliens)
HTTP Bot
(fertőzött kliens)
BOT Command
Miért nem elegendők a már meglévő megoldások
9
• Volumetric DDoS támadások állandósulása
• Intelligens DDoS támadások megjelenése és egyre nagyobb számban történő elterjedése
• Az egy másodpercben történő kapcsolatnyitások száma meghaladja a Tűzfalak, IPS-ek kapacitásából adódó feldolgozás képességét
DDoS támadás elleni védekezésre dedikált megoldás szükséges!
DDoS védelem 1.
10
• On-Premise (Inline) - a védett vonalon elhelyezett eszköz biztosítja a
védelmet (gyors reakcióidő, nagy pontosság)
• Scrubbing center - megfelelő eljárással átirányítják a forgalmat (AS,
DNS) egy erre szakosodott szolgáltatóhoz, majd az ott „megtisztított”
forgalmat visszairányítják eredeti rendeltetési helyére
(Szinte korlátlan mennyiségű forgalom kezelhető. License-elés a megoldásoktól
függően változhat)
• Hibrid - A fenti kettő kombinációja
A DDoS védelmi megoldások főbb típusai:
DDoS védelem 2.
11
A védelem rétegeinek együttműködése
Network
Flood
Server
FloodApplication
Low & Slow
Attacks
Protection Layers Flow
Allowed
Traffic
Gyártói megoldások
12
Esettanulmány – Etikus DDoS
13
• On-Premise/Felhő alapú DDoS védelem általános biztonságot nyújt a
Volumetric típusú támadások esetén
• Folyamatos konfiguráció Volumetric támadásoknál
• Kapcsolati tábla betelésének elkerülése
• Intelligens DDoS (Low and Slow) esetén konfiguráció, sok esetben
finomhangolás szükséges
Tapasztalás a vizsgálat során:
