DDoS
Fugindo do seguro desemprego!
Igor M. de Assis
Mini currículo:
Bacharel em Análise de Sistemas (CESMAC/AL) Especialista de Redes na TIVIT
Ambiente de redes compartilhado (CSC)
10+ anos de experiência com redes e segurança
Anti-DDoS, BGP, MPLS, Peering, Datacenter, Backbone, etc.
BCNE, CCNA, CCNP, CCDA, CCDP, CCXF, WSFE, etc.
DDoS
Principais tipos de ataques
Principais Tipos de Ataques
Ataques de Aplicação
SQL Injection, Slowloris, GET Floods Cross-site Scripting (XSS)
Ataques de Sessão
DNS UDP Flood, DNS Query Floods SSL Flood, SSL Renegotiation
Ataques de Rede (volumetria) TCP SYN Flood, UDP Flood SSDP Flood, NTP Flood
Principais tipos de ataques
DDoS
Mitigando ataques de aplicação
Ataques de aplicação
Ataques de Aplicação
Código de alta qualidade Boas rotinas de testes
Consultorias de pentests/vulnerabilidades Serviços e frameworks seguros e escaláveis
Node.JS, AngularJS, Sails Vert.x, Twisted
Appliances focados em ataques L7 (WAF/LBs) Imperva SecureSphere, Radware DefensePro Arbor Pravail APS, F5 BIG-IP (ASM)
Citrix Netscaler, Radware Alteon
DDoS
Mitigando ataques de sessão
Ataques de Sessão
Meio de campo entre ataques de aplicação e de redes Altos volumes de tráfego
Limitações de hardware (capacidade)
Filtragens de pacotes específicos e rate limit Chargen (UDP/19), QOTD (UDP/17)
Limitar tráfego de DNS Replies maiores que 512 bytes*
Limitar tráfego UDP fragmentado
Appliances focados em ataques L7 (WAF/LBs) Imperva SecureSphere, Radware DefensePro Arbor Pravail APS, F5 BIG-IP (ASM)
Citrix Netscaler, Radware Alteon
DDoS
Mitigando ataques Volumétricos
“ESTAMOS NA LAMA!”
Ataques Volumétricos
A última fronteira em negação de serviço Queda de braço (principalmente links)
Indisponibilidade total de toda a infraestrutura de internet Geralmente através de amplificação com UDP/SSDP
Volume ainda maior com Botnets
A forma de se defender é complexa e cara Arquitetura diferenciada
Políticas de filtragem de tráfego (Sinkhole / Blackhole) Integração intensa com os principais ISPs
Quanto maior a operadora, maior a chance de gargalos
Arquitetura de um ataque de amplificação/reflexão
“Here comes a new challenger!”
Ataque de amplificação/reflexão com uma botnet (Mirai)
Ataque de amplificação/reflexão com uma botnet (Bashlight)
Firewalls?
Firewalls?
Firewalls...
Arquitetura Diferenciada
ASN próprio ou estar sob um ASN protegido Liberdade para selecionar suas rotas
Maior resiliência (multi homing)
Sessões de BGP com outros ASNs (Peering) * Manipulação de tráfego
Anunciar e retirar anúncios de seus prefixos IP CDN própria ou contratação de serviço
POP’s nos mais diversos DCs e IXPs globais
Políticas de filtragem de tráfego (Sinkhole / Blackhole) Integração intensa com os principais ISPs
Filtrando o esgoto
Dashboards e Telemetria (netflow, jflow, sflow, etc) Visibilidade e “awareness”
Detecção imediata de um ataque (top flows)
Automatização de ações com scripts (cps, pps, bps, etc) Análise de Post Mortem
Filtrando o esgoto
Dashboards e Telemetria (netflow, jflow, sflow, etc) Visibilidade e “awareness”
Detecção imediata de um ataque (top flows)
Automatização de ações com scripts (cps, pps, bps, etc) Análise de Post Mortem
Filtrando o esgoto
Manipulação de tráfego com BGP Blackhole (S/RTBH e D/RTBH) Sinkhole (cleanpipe)
Serviços externos de scrubbing (F5, Incapsula, Arbor, etc) BGP FlowSpec
Serviços externos de scrubbing
Anúncio dos seus prefixos via outros ASNs
Túnel GRE para redirecionamento do tráfego (limpo) F5, Incapsula, Arbor, Verisign, DOS Arrest, Prolexic, etc Capacidades de mitigação entre 1,5~3 Tbps
Remotely Triggered Blackholes (RTBH)
Remotely Triggered Blackholes (RTBH)
Link protegido com in-house scrubbing (cleanpipe)
Subindo pra Série A
CDN própria ou como serviço
Cloud global distribuída (BGP confederation?) Diminui drasticamente os pontos de gargalo Altíssima disponibilidade (Anycast?)
DDoS
E quando a gente acha que já estamos na lama...
Utilização atual do agregado do IX.BR (PTT)
- Qual é a previsão do tempo, Maju?
- Chuvas com rajadas frescas!
Durmam bem, boa noite!
PARA UM MUNDO COMPLEXO, SOLUÇÕES ÚNICAS