100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS. Przemysław Frasunek 24 listopada 2016 r.

Podobne dokumenty
Lodówki i kamery atakują. Mariusz Sawczuk Specialist Systems Engineer North & East EMEA [ ]

Opis usługi Atman AntyDDoS 2.0

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Załącznik nr 9 do Umowy Ramowej Usługa Dostęp do Sieci Internet

Wykład 3: Internet i routing globalny. A. Kisiel, Internet i routing globalny

Załącznik nr 9 do Umowy Ramowej Usługa Dostęp do Sieci Internet

CloudFerro. Chmury publiczne, chmury prywatne, serwery dedykowane zalety, wady, problemy, ograniczenia, wyzwania.

Załącznik nr 9 do Umowy Ramowej Usługa Dostęp do Sieci Internet

Nieustanny rozwój. Daniel Fenert

Skuteczne metody przechwytywania ruchu sieciowego w różnych konfiguracjach sieciowych. Adrian Turowski

Najpopularniejsze rodzaje ataków DDoS. Kaspersky DDoS Protection Ochrona firm przed atakami DDoS

Monitoring ruchu sieciowego w nk.pl w oparciu o protokół netflow oraz rozwiązania opensource

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projekty Inwestycyjne IT w Lublinie Miejskie Centrum Przetwarzania Danych. Grzegorz Hunicz

Imperva Incapsula. ochrona przed atakami DDoS. Korzyści. Automatyczne przeciwdziałanie nawet największym i najsprytniejszym atakom DDoS

PLAN Podstawowe pojęcia techniczne charakteryzujące dostęp do Internetu prędkość podłączenia opóźnienia straty Umowa SLA inne parametry dostępność

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

PARAMETRY TECHNICZNE I FUNKCJONALNE

Załącznik Nr 9 do Umowy Ramowej USŁUGA DOSTĘP DO SIECI INTERNET

Prezentacja Grupy Atende

Załącznik produktowy nr 6 do Umowy Ramowej - Usługa Dostępu do Sieci Internet

DZIERŻAWA I KOLOKACJA SERWERÓW DEDYKOWANYCH

Zarządzanie procesowe w Urzędzie Miasta Lublin. Krzysztof Łątka

DZIERŻAWA I KOLOKACJA SERWERÓW DEDYKOWANYCH

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Podstawy bezpieczeństwa

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Ataki na serwery Domain Name System (DNS Cache Poisoning)

Zakresy prywatnych adresów IPv4: / / /24

Prezentacja Grupy Atende 2017

Nie śpię, bo łatam modemy!

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

7. zainstalowane oprogramowanie zarządzane stacje robocze

Integrator obecnych czasów GigaCon Marcin Germel Dyrektor Działu Sprzedaży Sektor Finanse

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

BGP Blackholing PL. v2.0 re(boot reload) Łukasz Bromirski

Puławy w Sieci budowa szerokopasmowej sieci teleinformatycznej. Urząd Miasta Puławy II LUBELSKI KONWENT INFORMATYKÓW Janów Lubelski 2013

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Zapory sieciowe i techniki filtrowania.

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Rentgen współczesnych ataków DoS. Marcin Ulikowski Network Engineer, Atos IT Services

Jak ograniczyć zagrożenie związane ze zjawiskiem credential abuse? Bartlomiej Jakubowski Solutions Engineer II, CISSP, CCSP

SERWERY KOMUNIKACYJNE ALCATEL-LUCENT

Podstawy działania sieci

Pełna specyfikacja pakietów Mail Cloud

Serwer biznesowy o podwójnym zastosowaniu moc obliczeniowa i pamięć masowa w jednej obudowie

CENNIK USŁUG TELEKOMUNIKACYJNYCH

SPRAWOZDANIE SIECI KOMPUTEROWE I BAZY DANYCH LABORATORIUM NR2 BADANIE SIECI KAMIL BOGDANOWSKI

Robaki sieciowe. + systemy IDS/IPS

oszczędność i wygoda alternatywne podejście do IT w małej i średniej firmie

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Into the cloud... Based on a true story. Solidna i elastyczna infrastruktura dla dostawcy usług hostingowych w Wielkiej Brytanii

Infrastruktura PL-LAB2020

AUTOMATYZACJA USŁUG I SESJI KLIENTÓW, CZYLI JAK ZROBIĆ SPRZĘTOWY KONCENTRATOR BO CISCO TO NIE TYLKO BGP

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SANSEC Poland S.A. dla III Konwent Informatyków Warmii i Mazur Bezpieczna administracja w mobilnym świecie

Firewall bez adresu IP

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Router programowy z firewallem oparty o iptables

GSMONLINE.PL. Światłowód w małej firmie testujemy go od roku

Wykrywanie podejrzanych domen internetowych poprzez pasywną analizę ruchu DNS

PROGRAMOWANIE WSPÓŁCZESNYCH ARCHITEKTUR KOMPUTEROWYCH DR INŻ. KRZYSZTOF ROJEK

n6: otwarta wymiana danych

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Projekt i implementacja filtra dzeń Pocket PC

Wykorzystanie układów FPGA w implementacji systemów bezpieczeństwa sieciowego typu Firewall

Przegląd zagrożeń związanych z DNS. Tomasz Bukowski, Paweł Krześniak CERT Polska

Bezpieczeństwo usług a zasoby sprzętowe platformy dostępowej. Ryszard Czernecki Kraków, 23 października 2012

Rozbudowa infrastruktury szerokopasmowego dostępu do Internetu i sieci PIAP-ów

Technologia VoIP w aspekcie dostępu do numerów alarmowych

Wprowadzenie do zagadnień związanych z firewallingiem

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

DZIERŻAWA I KOLOKACJA SERWERÓW DEDYKOWANYCH

CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Outsourcing informatyczny i kolokacja - wady i zalety pod kątem wykorzystania w administracji

Konsolidacja wysokowydajnych systemów IT. Macierze IBM DS8870 Serwery IBM Power Przykładowe wdrożenia

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Ulotka informacyjna HelpDesk SoftwareStudio Sp. Z o.o. (Oparte na OTRS )

Co w sieci piszczy? Programowanie aplikacji sieciowych w C#

DOTACJE NA INNOWACJE O G Ł O S Z E N I E

Next Generation Firewall (NGF) kontra Unfied Threat Management (UTM)

Aurea BPM Dokumenty pod kontrolą

Składowanie, archiwizacja i obliczenia modelowe dla monitorowania środowiska Morza Bałtyckiego

Pełna specyfikacja usługi Kreator WWW

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

HP Service Anywhere Uproszczenie zarządzania usługami IT

FOSA. SYSTEM DETEKCJI I FILTRACJI ATAKÓW DDoS

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

L2 Security (dla administratorów i uczestników PWR) Bartek Raszczyk & Robert Woźny

Botnet Hamweq - analiza

Transkrypt:

100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS Przemysław Frasunek 24 listopada 2016 r.

DDoS? DDoS - skoordynowany, rozproszony atak system teleinformatyczny Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych komputerów innych urządzeń IP (routery, kamery CCTV, drukarki itp.) Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu Prosty, tani, skuteczny Dostępny jako usługa (CaaS), nie trzeba być specjalistą Przystępny cenowo Cel ataku jest przeciążony i przestaje działać (strona, łącze, serwery) Nie wiadomo, kto stoi za atakiem

Skala problemu (1)

Skala problemu (2) 2013 r. upowszechnienie ataków typu reflected 2016 r. upowszechnienie ataków z botnetówiot IX 2016: 660 Gb/s ataku na blog Briana Krebsa IX 2016: 1000 Gb/s sumy jednoczesnych ataków wewnątrz sieci OVH X 2016: 1200 Gb/s ataku na Dyn (DNS), awaria wpływa na serwisy m.in. Netflix, Paypal, Spotify, Twitter

Dominacja ataków infrastrukturalnych źródła: Akamai 2016Q3 report Verisign 2016Q2 report

Pytania do firmowego IT i do ISP Co się stanie z naszą bieżącą działalnością, jeśli otrzymamy 10, 20, 100 gigabitów na sekundę ataku DDoS? Czy separacja urządzeń internetowych od sieci technologicznych jest pełna? Jaką pojemność ma zastosowane rozwiązanie anty DDoS lokalne lub u operatora? Czy blokada ataku polega po prostu na zablokowaniu celu ataku? (blackholing)

Crime as a service (CaaS)

100G na PC dlaczego to takie trudne? Aby uzyskać 14,8 mln pakietów na sekundę (port 10Gb/s) potrzebujemy: 1277 ns na duży pakiet ~67,2 ns na mały pakiet daje to w uproszczeniu (pomijając zrównoleglanie) około 200 cykli jednego rdzenia współczesnego 3GHz CPU Dla porównania: L2 cache: ~4 ns, L3 cache: ~8 ns atomic lock+unlock: 16 ns cache miss: ~32ns syscall: 50 100 ns (uwaga na wpływ SELinux)

redguardian (1) Bardzo wydajny filtr pakietów rozwijany przez Atende Software od 2015 r. zastosowanie biblioteki Intel DPDK wykorzystanie mechanizmów dostępnych w nowych CPU Intela (AVX2, DDIO, CAT) wydajność 100M pps (> 100 Gbps) na pojedynczym serwerze klasy PC skalowanie liniowe przez partycjonowanie ruchu klasyfikacja ruchu wg nagłówków IP/TCP/UDP klasyfikacja wg payloadu filtry stanowe rate limiter interfejs do samplingu (PCAP)

redguardian (2) Regularny profiling i testy regresyjne #50 test_gre.testgre.test_frag_after_df... passed #51 test_gre.testgre.test_frag_after_large... passed #52 test_gre.testgre.test_frag_after_small... passed #53 test_gre.testgre.test_frag_before_clear_df... passed #54 test_gre.testgre.test_frag_before_df... passed [ ] #121 test_statefilter.teststatefilter.test_hash_dnsid... passed #122 test_statefilter.teststatefilter.test_hash_srcip... passed #123 test_statefilter.teststatefilter.test_hash_srcport... passed #124 test_statefilter.teststatefilter.test_make_tcp_reset... passed

redguardian w akcji Reflected DNS Flood 123031 2468.332598000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123035 2468.332848000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 stagg.cpsc.gov MX 5 hormel.cpsc.gov TXT[Unreassembled Packet] 123038 2468.332977000 89.179.69.140 -> x DNS 200 Standard query response 0x1458 A 63.74.109.2 DNSKEY[Unreassembled Packet] 123044 2468.333063000 109.172.131.19 -> x DNS 194 Standard query response 0xca41 NS auth61.ns.uu.net SOA auth00.ns.uu.net NS auth00.ns.uu.net 123047 2468.360474000 109.172.2.110 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet] 123048 2468.360500000 115.42.166.98 -> x DNS 200 Standard query response 0x1458 NS auth61.ns.uu.net NS auth00.ns.uu.net MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123055 2468.360793000 77.122.99.234 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]

Modele wdrożeniowe BGP scrubbing center przejęcie ruchu przychodzącego, odbiór tunelem Lokalne scrubbing center dosył i odbiór ruchu dedykowanym łączem Licencja/on-premises wdrożenie u klienta na sprzęcie własnym lub dostarczonym testowane u jednego z krajowych ISP

Koncepcja budowy narodowego scrubbing center Możliwość budowy narodowego/branżowego scrubbing center przeznaczonego do ochrony administracji publicznej i operatorów infrastruktury krytycznej Podział kosztów zakupu infrastruktury i utrzymania portów w IX Model realizowany w Holandii, przez stowarzyszenie zrzeszające ISP Możliwość wykorzystania tanich i wydajnych mechanizmów filtrowania ruchu

Przyszłość Wzrost liczebności botnetów IoT (źródła Mirai upubliczniono), miliony zapomnianych, nie aktualizowanych urządzeń Wybór ataków w IP streserach zwiększy się Próby odcinania największych firm oraz całych krajów Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się wygrać z tym problemem

Dziękuję za uwagę

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres