SlideShare a Scribd company logo

Защищаем сеть от DDoS-атак

SkillFactory, profile picture
SkillFactory

Документ описывает методики защиты сетей от DDoS-атак, включая решение Junos DDoS Secure и его работу. Рассматриваются различные векторы DDoS-атак, алгоритм CHARM для фильтрации трафика и эффективности анализа трафика для обеспечения доступности услуг. Также представлены детали реализации и аппаратные характеристики решения.

Technology
1 of 26
Downloaded 98 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Защищаем сеть от DDoS-атак ведущий: Дмитрий Карякин 6 ноября 2013 dkaryakin@juniper.net
  Защищаем сеть от DDoS-атак, Карякин Дмитрий Системный инженер dkaryakin@juniper.net 2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СОДЕРЖАНИЕ §  DOS и DDoS атаки §  Решение Junos DDoS Secure §  Алгоритм CHARM §  Демонстрация защиты от DDoS атак §  Интерфейс управления и конфигурации 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
МОТИВЫ DDOS АТАК Последний оставшийся Нанять сторонних лиц, чтобы вывести всех конкурентов и направить весь трафик на свой сайт Протестные флэшмобы Координация атаки на государственные ресурсы с применением социального медиа Хулиганство спортивных фанатов Фанаты атакуют сайты клубов соперников с целью нарушения продаж билетов Диверсионная завеса Мгновенное переполнение Кибер-война Индивидуальные игроки DDoS маскирует хищение данных или другую атаку Резкое увеличение посещаемости сайтов легитимными пользователями Угроза для национальной безопасности государства Подвергаются атакам со стороны других игроков Криминальная активность Другая активность Политика / протест Возмездие и “Потому что могу” Шантаж “Заплатите, чтобы ваш сайт не переставал работать” 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ВЕКТОРЫ DDOS АТАК ОБЪЕМНАЯ ЗАГРУЗКА “VOLUMETRIC” •  Легко обнаруживается •  Размер атак увеличивается •  Частота атак увеличивается умеренными темпами ПЕРЕГРУЗКА РЕСУРСОВ •  Организованные флэшмобы через социальные медиа МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ “LOW AND SLOW” •  Рост атак значительно быстрее, чем volumetricатаки – 25% от всех атак в 2013 (источник: Gartner) •  Преимущественно легитимные запросы в момент крупных событий, имеющие ограниченный период действия. •  Более сложные и трудно детектируемые •  Целью является слабые стороны back-end инфраструктуры •  Небольшой объем запросов может вывести из строя большой веб-сайт 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
Junos DDoS Secure 6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
РЕШЕНИЕ JUNOS DDOS SECURE Акцент на доступности сервисов §  Конфиденциальность §  Целостность §  Доступность   Приоритезация клиентов §  Дифференцирование между DDoS и перегрузкой Применение stateful inspection для идентификации сессий и очистки трафика Технология CHARM 7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ 1 2 8 Автодетектирование и устранение новых векторов атаки Защита от атак типа low-and-slow Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ §  Проверка пакетов на предмет соблюдения RFC Доверенный трафик, поведение, свойственное человеку §  Пакеты неправильного формата или неверной последовательности отбрасываются §  Индивидуальным IP-адресам назначается значение CHARM §  Значение присваивается на основе поведения IP-источника 9 Высокое значение CHARM Трафик, которого раньше не было Среднее значение CHARM Механистический трафик Низкое значение CHARM Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ Применение политики на основе CHARM   Доступ зависит от порога CHARM для ресурса §  Ниже порога – трафик сбрасывается §  Выше порога – доступ разрешается §  Минимум ложных срабатываний   Порог CHARM изменяется динамически в зависимости от загрузки ресурса §  Алгоритм с сохранением состояния проверяет время отклика ресурса §  Серверные агенты не нужны 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE ПРОХОЖДЕНИЕ ПАКЕТА Контроль доступа на основе технологии CHARM Таблица поведения IP-адресов Порог CHARM для ресурса 3 Поведение записано 1 Проверка пакета §  Проверка через фильтры 4 §  Соответствие RFC §  Поддержка до 64M §  Проверка порядка следования профайлов §  Старые профайлы устаревают первыми §  Состояние соединения TCP Пакет принят Синтаксический Screener Пока что ОК 2 Генератор Добавлено значение CHARM CHARM Вычисление значения CHARM для пакета Вычисление порога CHARM Отклик ресурса CHARM Screener Packet Exits 5 Тревога или Сброс §  Обращается к таблице поведения IP-адресов §  Порог CHARM §  Функция времени и поведения §  Значение CHARM §  Лучше поведение = лучше CHARM Сброс пакета 11 Сброс пакета Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ Resource Control Время отклика Ресурса 2 Трафик атаки на Ресурс 2 начало ухудшаться, JDDoS снижается и атака поднял порог CHARM для переключается на Ресурс3. ограничения трафика атаки. DDoS Secure Junos реагирует путем Легитимный трафик динамического увеличения проходит без ограничений, порога для Ресурса 3 в то время как атакующий ограничивая трафик атаки начинает полагать, что его атака была успешной, т.к. его запросы не проходят. Resource 1 12 Resource 2 Resource 3 Resource ‘N’ Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ Легитимный трафик Легитимный трафик Ресурсы Трафик DDoS атаки Легитимный трафик Junos DDoS Secure Эвристический анализ 13 Трафик DDoS атаки Copyright © 2013 Juniper Networks, Inc. www.juniper.net PC управления
ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ   A A A A A A A A A A A A A Z A A A A A A A A A A A A A A A A A A Z A Z A A 14 A A A A A A A A A A A A A A Z A Z A A Легитимные A пользователи A Интернет поток A A A A A A A A A A A A A CHARM распознает быстрые запросы A страниц и A соответственно Web сервер Использование ресурсов Attackers снижает значение для пакета Время CHARM проактивно защищает от переполнения SYNзапросами и уменьшает последствия Copyright © 2013 Juniper Networks, Inc. www.juniper.net CHARM проактивно защищает исходящий канал
CHARM СГЛАЖИВАЕТ ТРАФИК Resource Saturated 100   Good 80 Traffic if Undefended 70 Charm Scale Resource CHARM Scale % 90 60 50 40 Good Traffic Charm Attack Traffic Charm 30 20 Charm Threshold 10 Bad 0 Time 15 Defended Traffic Copyright © 2013 Juniper Networks, Inc. www.juniper.net
DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ   Application Presentation Sessions Transport Network Data Link Physical Application Transport Internet Network Access Physical Layer 2-4 and Application (http / dns / sip) Protection 16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE? §  Servers §  Routers §  Firewalls §  Load Balancers §  NAT §  Multiple Gateways, asymmetric routes §  URL   17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ   Виртуализация внутри Virtual Junos DDoS Secure §  Каждый портал защищает определенный набор IP-адресов §  Множественная аренда   Пользователи / клиенты имеют возможность управлять только своим порталом §  Аутентификация §  Характеристики сервера §  Обзор инцидентов §  Статистическая информация §  Отчеты по email 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE   Работает как L2 мост §  Один двунаправленный путь передачи данных через два §  §  §  §      сетевых интерфейса Нет IP-адресации на сетевых интерфейсах Включается в существующий Ethernet сегмент Нет необходимости переконфигурировать других сетевые устройства При установке время прерывания существующего потока данных не превышает нескольких секунд Управление - out of band, через третий L3 интерфейс Поддерживается отказоустойчивая конфигурация §  Передача состояния между несколькими устройствами JDDS осуществляется через четвертый интерфейс 19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРИМЕРЫ РАЗВЕРТЫВАНИЯ   Коммутатор Маршрутизатор X Web сервер Коммутатор Web сервер 20 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ   Router Router Router Switch Switch Switch Router* Router* Switch** Switch** Web Server * Firewall Switch Web Server ** Load Balancer 21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ §  1Gbps Virtual Appliance (ESX и KVM) §  10Gbps 1U appliance с функцией обхода при сбое §  Оптические порты (10G SR/LR) §  Медные порты (10M/100M/1G) §  Оба варианта могут разворачиваться обособленно или в составе Active – Standby пары §  или Active – Active (Asymmetric Routing) 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ Характеристика J-DDOS-SEC-AP4 J-DDOS-SEC-AP1 J-DDOS-SEC-AP2 J-DDOS-SEC-AP3 Пропускная способность в каждом 1G направлении 10G Количество защищаемых IP 64 000 64 000 Количество отслеживаемых IP (v4/v6) 32 000 000 64 000 000 Одновременных ТСР сессий 4 000 000 4 000 000 Скорость установки сессий 750 000 в секунду 750 в секунду Интерфейсы 1G RJ45 10GBASE-T/ SX / LR Габариты, высота 1RU 1RU 23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
ОДНО БАЗОВОЕ ШАССИ ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ   Базовое шасси (все модели) Процессор Память 32GB HDD 2x300GB 10K RPM SAS, RAID-1 Блок питания   8 Core Xeon @ 2.9GHz 2 шт. Модели и сетевые адаптеры Модель SKU Сетевые адаптеры 1200-C J-DDOS-SEC-AP4 Два порта 1G RJ45 с обходом 1210-SR J-DDOS-SEC-AP2 Два порта 10GASE-SR с обходом 1210-LR J-DDOS-SEC-AP1 Два порта 10GASE-LR с обходом 1210-TX J-DDOS-SEC-AP3 Два порта 10GASE-T с обходом Сетевые адаптеры не заменяются Замена с случае выхода из строя (RMA и т.д.) 24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
СХЕМА ЛАБОРАТОРНОГО СТЕНДА   Злоумышленник Пользователь Производит регулярные легитимные запросы на веб-сервер Атаки на веб-сервер: •  SYN flood •  HTTP stress test •  Slow-rate HTTP GET •  Slow-rate HTTP POST Коммутатор •  Slow-rate HTTP read Junos DDoS Secure Режимы работы: •  логирование •  защита Отклик от веб-сервера: Web сервер 25 Copyright © 2013 Juniper Networks, Inc. •  Время отклика пропорционально количеству одновременных соединений www.juniper.net
ВОПРОСЫ 26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net

More Related Content

PDF
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
PDF
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
 
PPTX
Современные методы защиты от DDoS атак
SkillFactory
 
PPT
Защита сайта от взлома и вирусов
SkillFactory
 
PDF
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
 
PDF
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
 
PDF
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
 
PPTX
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
 
Обзор решений по борьбе с DDoS-атаками
Cisco Russia
 
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Cisco Russia
 
Современные методы защиты от DDoS атак
SkillFactory
 
Защита сайта от взлома и вирусов
SkillFactory
 
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Ontico
 
DDoS-атаки вчера, сегодня, завтра
Qrator Labs
 
Анализ рынка средств и сервисов защиты от DDoS-атак
КРОК
 
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
 

What's hot (20)

PDF
DDoS как актуальная проблема безопасности
Qrator Labs
 
PDF
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
КРОК
 
PDF
DDoS-­атаки: почему они возможны, и как их предотвращать
Qrator Labs
 
PDF
Cisco ASA CX
Cisco Russia
 
PPTX
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
 
PDF
Новая Cisco ASA: тотальный контроль над пользователем
SkillFactory
 
PDF
Новые вызовы кибербезопасности
Cisco Russia
 
PDF
Современные межсетевые экраны Cisco ASA и ASASM.
Cisco Russia
 
PDF
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
StormWall.pro
 
PDF
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
PDF
Вебинар "Дизайн и архитектура UCCE Live Data"
Cisco Russia
 
PDF
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
S-Terra CSP
 
PDF
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
PDF
ащита удаленного доступа с помощью континент Tls vpn
Oleg Boyko
 
PDF
Платформы безопасности очередного поколения
Cisco Russia
 
PDF
Безопасность ЦОД-часть 1
Cisco Russia
 
PDF
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
Cisco Russia
 
PDF
Безопасность ЦОД-часть 2
Cisco Russia
 
PDF
Защита и контроль приложений
Cisco Russia
 
PDF
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
S-Terra CSP
 
DDoS как актуальная проблема безопасности
Qrator Labs
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
КРОК
 
DDoS-­атаки: почему они возможны, и как их предотвращать
Qrator Labs
 
Cisco ASA CX
Cisco Russia
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
SkillFactory
 
Новая Cisco ASA: тотальный контроль над пользователем
SkillFactory
 
Новые вызовы кибербезопасности
Cisco Russia
 
Современные межсетевые экраны Cisco ASA и ASASM.
Cisco Russia
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
StormWall.pro
 
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Cisco Russia
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
S-Terra CSP
 
Cisco Web Security - обзор технологии и функционала
Cisco Russia
 
ащита удаленного доступа с помощью континент Tls vpn
Oleg Boyko
 
Платформы безопасности очередного поколения
Cisco Russia
 
Безопасность ЦОД-часть 1
Cisco Russia
 
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
Cisco Russia
 
Безопасность ЦОД-часть 2
Cisco Russia
 
Защита и контроль приложений
Cisco Russia
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
S-Terra CSP
 
Ad

Viewers also liked (18)

PDF
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
PDF
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
RISClubSPb
 
PDF
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Banking at Ho Chi Minh city
 
PDF
5 продвинутых технологий VMware, которые нужно знать
SkillFactory
 
PDF
Network tomography to enhance the performance of software defined network mon...
Sabidur Rahman
 
PDF
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
iosrjce
 
PDF
Network processing by pid
Nuno Martins
 
PPT
Distributed Network Monitoring - Interopnet class by NetBeez
NetBeez, Inc.
 
PDF
Архитектура Cisco для сетей мобильного бэкхола.
Cisco Russia
 
PDF
Виртуализация в сетях мобильной связи
Cisco Russia
 
PDF
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Cisco Russia
 
PDF
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Cisco Russia
 
PPTX
[old] Network Performance Monitoring for DevOps and IT
Site24x7
 
PDF
The Changing Landscape in Network Performance Monitoring
Savvius, Inc
 
DOC
04 gsm bss network kpi (tch call drop rate) optimization manual
tharinduwije
 
PPTX
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
PerformanceVision (previously SecurActive)
 
DOCX
Project Business Case and Capital Justification for Implementation of Applica...
Duane Bodle
 
PPTX
измерительное оборудование Ethernet
eucariot
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
RISClubSPb
 
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Banking at Ho Chi Minh city
 
5 продвинутых технологий VMware, которые нужно знать
SkillFactory
 
Network tomography to enhance the performance of software defined network mon...
Sabidur Rahman
 
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
iosrjce
 
Network processing by pid
Nuno Martins
 
Distributed Network Monitoring - Interopnet class by NetBeez
NetBeez, Inc.
 
Архитектура Cisco для сетей мобильного бэкхола.
Cisco Russia
 
Виртуализация в сетях мобильной связи
Cisco Russia
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Cisco Russia
 
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Cisco Russia
 
[old] Network Performance Monitoring for DevOps and IT
Site24x7
 
The Changing Landscape in Network Performance Monitoring
Savvius, Inc
 
04 gsm bss network kpi (tch call drop rate) optimization manual
tharinduwije
 
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
PerformanceVision (previously SecurActive)
 
Project Business Case and Capital Justification for Implementation of Applica...
Duane Bodle
 
измерительное оборудование Ethernet
eucariot
 
Ad

Similar to Защищаем сеть от DDoS-атак (20)

PDF
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Cisco Russia
 
PPTX
Концепция целостной информационной безопасности F5 Networks
BAKOTECH
 
PPTX
алексей лукацкий 1
Positive Hack Days
 
PDF
DDoS Defence 101
Qrator Labs
 
PPTX
Fortinet ADN (Application Delivery Network)
MUK Extreme
 
PPTX
Сервисы NFV
SkillFactory
 
PPT
Риски использования облачных технологий
abondarenko
 
PDF
Контроль доступа пользователей к ЛВС
Cisco Russia
 
PPTX
Обеспечение безопасности в локальных сетях.pptx
ElvinKerimov3
 
PDF
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Cisco Russia
 
PDF
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
SletSysadminov
 
PDF
Решения по безопасности Juniper
Sergii Liventsev
 
PPT
TTK DDOS FREE Sergey Shishkin
Roman Emelyanov
 
PDF
WEBSENSE TRITON APX
DialogueScience
 
PPTX
Cisco: Архитектура защищенного ЦОДа
Expolink
 
PDF
Защита от DDoS и хакерских атак
Татьяна Янкина
 
PDF
SDN & NFV: от абонента до Internet eXchange
ARCCN
 
PDF
Обзор решения Cisco для управления пространством IP адресов
Cisco Russia
 
PDF
Cisco FirePower
Cisco Russia
 
PDF
Безопасность современного ЦОДа
Aleksey Lukatskiy
 
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Cisco Russia
 
Концепция целостной информационной безопасности F5 Networks
BAKOTECH
 
алексей лукацкий 1
Positive Hack Days
 
DDoS Defence 101
Qrator Labs
 
Fortinet ADN (Application Delivery Network)
MUK Extreme
 
Сервисы NFV
SkillFactory
 
Риски использования облачных технологий
abondarenko
 
Контроль доступа пользователей к ЛВС
Cisco Russia
 
Обеспечение безопасности в локальных сетях.pptx
ElvinKerimov3
 
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Cisco Russia
 
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
SletSysadminov
 
Решения по безопасности Juniper
Sergii Liventsev
 
TTK DDOS FREE Sergey Shishkin
Roman Emelyanov
 
WEBSENSE TRITON APX
DialogueScience
 
Cisco: Архитектура защищенного ЦОДа
Expolink
 
Защита от DDoS и хакерских атак
Татьяна Янкина
 
SDN & NFV: от абонента до Internet eXchange
ARCCN
 
Обзор решения Cisco для управления пространством IP адресов
Cisco Russia
 
Cisco FirePower
Cisco Russia
 
Безопасность современного ЦОДа
Aleksey Lukatskiy
 

More from SkillFactory (20)

PPTX
Как подружить корпоративные системы ВКС и пользователей Skype
SkillFactory
 
PPTX
Ключевые тенденции отрасли в последнее время
SkillFactory
 
PPTX
Бизнес под прицелом: как компаниям защищаться от киберугроз
SkillFactory
 
PPTX
Вопросы балансировки трафика
SkillFactory
 
PPTX
IP/LDP fast protection schemes
SkillFactory
 
PPTX
Варианты решений для подключения мобильных устройств
SkillFactory
 
PPTX
End to End Convergence
SkillFactory
 
PPTX
Виртуализация клиентских устройств Juniper cCPE
SkillFactory
 
PPTX
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
SkillFactory
 
PDF
Почему не работает Wi-Fi? Ошибки при проектировании сети
SkillFactory
 
PDF
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
SkillFactory
 
PPT
Технология операторов связи DWDM: все самое важное за 1 вебинар
SkillFactory
 
PPTX
Wi-Fi для чайников: основы технологии за 1 вебинар
SkillFactory
 
PPT
Олимпиада IT-Планета: как стать чемпионом Cisco?
SkillFactory
 
PDF
Определяем причину медленной работы сети в 3 клика
SkillFactory
 
PDF
Строим единую коммуникационную платформу для офиса
SkillFactory
 
PPTX
Сдать экзамен CCIE: миссия выполнима
SkillFactory
 
PPTX
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
SkillFactory
 
PDF
Cisco для менеджеров по продажам: курс молодого бойца
SkillFactory
 
PDF
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
SkillFactory
 
Как подружить корпоративные системы ВКС и пользователей Skype
SkillFactory
 
Ключевые тенденции отрасли в последнее время
SkillFactory
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
SkillFactory
 
Вопросы балансировки трафика
SkillFactory
 
IP/LDP fast protection schemes
SkillFactory
 
Варианты решений для подключения мобильных устройств
SkillFactory
 
End to End Convergence
SkillFactory
 
Виртуализация клиентских устройств Juniper cCPE
SkillFactory
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
SkillFactory
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
SkillFactory
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
SkillFactory
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
SkillFactory
 
Wi-Fi для чайников: основы технологии за 1 вебинар
SkillFactory
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
SkillFactory
 
Определяем причину медленной работы сети в 3 клика
SkillFactory
 
Строим единую коммуникационную платформу для офиса
SkillFactory
 
Сдать экзамен CCIE: миссия выполнима
SkillFactory
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
SkillFactory
 
Cisco для менеджеров по продажам: курс молодого бойца
SkillFactory
 
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
SkillFactory
 

Защищаем сеть от DDoS-атак

  • 1. Защищаем сеть от DDoS-атак ведущий: Дмитрий Карякин 6 ноября 2013 [email protected]
  • 2.   Защищаем сеть от DDoS-атак, Карякин Дмитрий Системный инженер [email protected] 2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 3. СОДЕРЖАНИЕ §  DOS и DDoS атаки §  Решение Junos DDoS Secure §  Алгоритм CHARM §  Демонстрация защиты от DDoS атак §  Интерфейс управления и конфигурации 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 4. МОТИВЫ DDOS АТАК Последний оставшийся Нанять сторонних лиц, чтобы вывести всех конкурентов и направить весь трафик на свой сайт Протестные флэшмобы Координация атаки на государственные ресурсы с применением социального медиа Хулиганство спортивных фанатов Фанаты атакуют сайты клубов соперников с целью нарушения продаж билетов Диверсионная завеса Мгновенное переполнение Кибер-война Индивидуальные игроки DDoS маскирует хищение данных или другую атаку Резкое увеличение посещаемости сайтов легитимными пользователями Угроза для национальной безопасности государства Подвергаются атакам со стороны других игроков Криминальная активность Другая активность Политика / протест Возмездие и “Потому что могу” Шантаж “Заплатите, чтобы ваш сайт не переставал работать” 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 5. ВЕКТОРЫ DDOS АТАК ОБЪЕМНАЯ ЗАГРУЗКА “VOLUMETRIC” •  Легко обнаруживается •  Размер атак увеличивается •  Частота атак увеличивается умеренными темпами ПЕРЕГРУЗКА РЕСУРСОВ •  Организованные флэшмобы через социальные медиа МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ “LOW AND SLOW” •  Рост атак значительно быстрее, чем volumetricатаки – 25% от всех атак в 2013 (источник: Gartner) •  Преимущественно легитимные запросы в момент крупных событий, имеющие ограниченный период действия. •  Более сложные и трудно детектируемые •  Целью является слабые стороны back-end инфраструктуры •  Небольшой объем запросов может вывести из строя большой веб-сайт 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 6. Junos DDoS Secure 6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 7. РЕШЕНИЕ JUNOS DDOS SECURE Акцент на доступности сервисов §  Конфиденциальность §  Целостность §  Доступность   Приоритезация клиентов §  Дифференцирование между DDoS и перегрузкой Применение stateful inspection для идентификации сессий и очистки трафика Технология CHARM 7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 8. ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ 1 2 8 Автодетектирование и устранение новых векторов атаки Защита от атак типа low-and-slow Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 9. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ §  Проверка пакетов на предмет соблюдения RFC Доверенный трафик, поведение, свойственное человеку §  Пакеты неправильного формата или неверной последовательности отбрасываются §  Индивидуальным IP-адресам назначается значение CHARM §  Значение присваивается на основе поведения IP-источника 9 Высокое значение CHARM Трафик, которого раньше не было Среднее значение CHARM Механистический трафик Низкое значение CHARM Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 10. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ Применение политики на основе CHARM   Доступ зависит от порога CHARM для ресурса §  Ниже порога – трафик сбрасывается §  Выше порога – доступ разрешается §  Минимум ложных срабатываний   Порог CHARM изменяется динамически в зависимости от загрузки ресурса §  Алгоритм с сохранением состояния проверяет время отклика ресурса §  Серверные агенты не нужны 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 11. JUNOS DDoS SECURE ПРОХОЖДЕНИЕ ПАКЕТА Контроль доступа на основе технологии CHARM Таблица поведения IP-адресов Порог CHARM для ресурса 3 Поведение записано 1 Проверка пакета §  Проверка через фильтры 4 §  Соответствие RFC §  Поддержка до 64M §  Проверка порядка следования профайлов §  Старые профайлы устаревают первыми §  Состояние соединения TCP Пакет принят Синтаксический Screener Пока что ОК 2 Генератор Добавлено значение CHARM CHARM Вычисление значения CHARM для пакета Вычисление порога CHARM Отклик ресурса CHARM Screener Packet Exits 5 Тревога или Сброс §  Обращается к таблице поведения IP-адресов §  Порог CHARM §  Функция времени и поведения §  Значение CHARM §  Лучше поведение = лучше CHARM Сброс пакета 11 Сброс пакета Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 12. JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ Resource Control Время отклика Ресурса 2 Трафик атаки на Ресурс 2 начало ухудшаться, JDDoS снижается и атака поднял порог CHARM для переключается на Ресурс3. ограничения трафика атаки. DDoS Secure Junos реагирует путем Легитимный трафик динамического увеличения проходит без ограничений, порога для Ресурса 3 в то время как атакующий ограничивая трафик атаки начинает полагать, что его атака была успешной, т.к. его запросы не проходят. Resource 1 12 Resource 2 Resource 3 Resource ‘N’ Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 13. ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ Легитимный трафик Легитимный трафик Ресурсы Трафик DDoS атаки Легитимный трафик Junos DDoS Secure Эвристический анализ 13 Трафик DDoS атаки Copyright © 2013 Juniper Networks, Inc. www.juniper.net PC управления
  • 14. ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ   A A A A A A A A A A A A A Z A A A A A A A A A A A A A A A A A A Z A Z A A 14 A A A A A A A A A A A A A A Z A Z A A Легитимные A пользователи A Интернет поток A A A A A A A A A A A A A CHARM распознает быстрые запросы A страниц и A соответственно Web сервер Использование ресурсов Attackers снижает значение для пакета Время CHARM проактивно защищает от переполнения SYNзапросами и уменьшает последствия Copyright © 2013 Juniper Networks, Inc. www.juniper.net CHARM проактивно защищает исходящий канал
  • 15. CHARM СГЛАЖИВАЕТ ТРАФИК Resource Saturated 100   Good 80 Traffic if Undefended 70 Charm Scale Resource CHARM Scale % 90 60 50 40 Good Traffic Charm Attack Traffic Charm 30 20 Charm Threshold 10 Bad 0 Time 15 Defended Traffic Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 16. DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ   Application Presentation Sessions Transport Network Data Link Physical Application Transport Internet Network Access Physical Layer 2-4 and Application (http / dns / sip) Protection 16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 17. ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE? §  Servers §  Routers §  Firewalls §  Load Balancers §  NAT §  Multiple Gateways, asymmetric routes §  URL   17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 18. ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ   Виртуализация внутри Virtual Junos DDoS Secure §  Каждый портал защищает определенный набор IP-адресов §  Множественная аренда   Пользователи / клиенты имеют возможность управлять только своим порталом §  Аутентификация §  Характеристики сервера §  Обзор инцидентов §  Статистическая информация §  Отчеты по email 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 19. РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE   Работает как L2 мост §  Один двунаправленный путь передачи данных через два §  §  §  §      сетевых интерфейса Нет IP-адресации на сетевых интерфейсах Включается в существующий Ethernet сегмент Нет необходимости переконфигурировать других сетевые устройства При установке время прерывания существующего потока данных не превышает нескольких секунд Управление - out of band, через третий L3 интерфейс Поддерживается отказоустойчивая конфигурация §  Передача состояния между несколькими устройствами JDDS осуществляется через четвертый интерфейс 19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 21. ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ   Router Router Router Switch Switch Switch Router* Router* Switch** Switch** Web Server * Firewall Switch Web Server ** Load Balancer 21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 22. JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ §  1Gbps Virtual Appliance (ESX и KVM) §  10Gbps 1U appliance с функцией обхода при сбое §  Оптические порты (10G SR/LR) §  Медные порты (10M/100M/1G) §  Оба варианта могут разворачиваться обособленно или в составе Active – Standby пары §  или Active – Active (Asymmetric Routing) 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 23. СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ Характеристика J-DDOS-SEC-AP4 J-DDOS-SEC-AP1 J-DDOS-SEC-AP2 J-DDOS-SEC-AP3 Пропускная способность в каждом 1G направлении 10G Количество защищаемых IP 64 000 64 000 Количество отслеживаемых IP (v4/v6) 32 000 000 64 000 000 Одновременных ТСР сессий 4 000 000 4 000 000 Скорость установки сессий 750 000 в секунду 750 в секунду Интерфейсы 1G RJ45 10GBASE-T/ SX / LR Габариты, высота 1RU 1RU 23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 24. ОДНО БАЗОВОЕ ШАССИ ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ   Базовое шасси (все модели) Процессор Память 32GB HDD 2x300GB 10K RPM SAS, RAID-1 Блок питания   8 Core Xeon @ 2.9GHz 2 шт. Модели и сетевые адаптеры Модель SKU Сетевые адаптеры 1200-C J-DDOS-SEC-AP4 Два порта 1G RJ45 с обходом 1210-SR J-DDOS-SEC-AP2 Два порта 10GASE-SR с обходом 1210-LR J-DDOS-SEC-AP1 Два порта 10GASE-LR с обходом 1210-TX J-DDOS-SEC-AP3 Два порта 10GASE-T с обходом Сетевые адаптеры не заменяются Замена с случае выхода из строя (RMA и т.д.) 24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 25. СХЕМА ЛАБОРАТОРНОГО СТЕНДА   Злоумышленник Пользователь Производит регулярные легитимные запросы на веб-сервер Атаки на веб-сервер: •  SYN flood •  HTTP stress test •  Slow-rate HTTP GET •  Slow-rate HTTP POST Коммутатор •  Slow-rate HTTP read Junos DDoS Secure Режимы работы: •  логирование •  защита Отклик от веб-сервера: Web сервер 25 Copyright © 2013 Juniper Networks, Inc. •  Время отклика пропорционально количеству одновременных соединений www.juniper.net
  • 26. ВОПРОСЫ 26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net