DDoS Defence 101

Артём Гавриченков <ag@qrator.net>

WWW.QRATOR.NET

История• Первые атаки – 1999-2000 гг.

WWW.QRATOR.NET

История• Первые атаки – 1999-2000 гг.

• 2005: модель STRIDE- Spoofing Identity- Tampering with Data- Repudiation- Information Disclosure- Denial of Service- Elevation of Privileges

WWW.QRATOR.NET

[D]DoS

WWW.QRATOR.NET

[D]DoS• DoS – эксплуатация уязвимостей в ПО

WWW.QRATOR.NET

[D]DoS• DoS – эксплуатация уязвимостей в ПО

• DDoS – исчерпание ресурсов компьютерной системы

WWW.QRATOR.NET

Цели• Ограничение доступа к информации

• Месть

• Вымогательство

• Конкуренция

WWW.QRATOR.NET

• Месть

WWW.QRATOR.NET

• Месть

WWW.QRATOR.NET

• Месть

WWW.QRATOR.NET

• Месть

WWW.QRATOR.NET

Типы атак

WWW.QRATOR.NET

Типы атак

WWW.QRATOR.NET

Типы атак

WWW.QRATOR.NET

Типы атак• L2

• L3

• L4

• L7

WWW.QRATOR.NET

«Забивание» канала: ICMP Flood, * Amplification…

• L3

• L4

• L7

WWW.QRATOR.NET

Amplification:

• L3

• L4

• L7

• NTP• DNS• SNMP• SSDP• CHARGEN• RIPv1• Bittorrent!

WWW.QRATOR.NET

Amplification:

• L3

• L4

• L7

WWW.QRATOR.NET

Amplification:

• L3

• L4

• L7

WWW.QRATOR.NET

«Забивание» канала: ICMP Flood, * Amp…

• L3Нарушение функционирования сетевой инфраструктуры

• L4

• L7

WWW.QRATOR.NET

• L4Эксплуатация слабых мест TCP-драйвера

• L7

WWW.QRATOR.NET

• L4Эксплуатация слабых мест TCP-драйвера

• L7Деградация Web-приложения

WWW.QRATOR.NET

Параметры атак• L2

• L3Pps, …

• L4Pps, …

• L7Rps/IPs

WWW.QRATOR.NET

Противомеры• L2

Полоса!

• L3Аналитика

• L4Анализ поведения и эвристика

• L7Поведенческий, корреляционный анализ, мониторинг

WWW.QRATOR.NET

Расследование?

• Очень сложно

• ОЧЕНЬ ДОРОГО

• В основном, благодаря ошибкам атакующих

WWW.QRATOR.NET

Сетевая архитектура

• «Земной» хостинг

• «Облачный» хостинг

• CDN

WWW.QRATOR.NET

Оценка рисковProbability/Impact Matrix

Trivial Minor Moderate Significant Severe

Unlikely

Moderate

Likely

Very Likely

Impact:Severe

Probability:Moderate/Unlikely

WWW.QRATOR.NET

Оценка рисковХостинг Облако CDN

WWW.QRATOR.NET

L2 High

L3 Low

L4 High

L7 High

WWW.QRATOR.NET

L2 High Moderate

L3 Low Low

L4 High Low

L7 High High

WWW.QRATOR.NET

L2 High Moderate Moderate

L3 Low Low High

L4 High Low Low

L7 High High Low

WWW.QRATOR.NET

Оценка рисковХостинг

L2 High

L3 Low

L4 High

L7 High

• Что ни размещай, в т.ч.специализированноеоборудование

• У приложениядолжен быть запаспроизводительности (2x)

• INSTANT RELOCATION

WWW.QRATOR.NET

Оценка рисковОблако

L2 Moderate

L3 Low

L4 Low

L7 High

• BGP Anycast!

• 500 Гбит/с – не шутки

• У приложениядолжен быть запаспроизводительности (2x)

• «DoS via billing»

WWW.QRATOR.NET

Оценка рисковCDN

L2 Moderate

L3 High

L4 Low

L7 Low

• BGP Anycast

• Защищённый DNS-сервер

WWW.QRATOR.NET

• Anycast-адрес – это вообще полезно!

• IPv4, кстати, заканчивается

• IPv6 плохо внедряется

• Anycast можно арендовать

WWW.QRATOR.NET

• Приложение, отвязанное от платформы

• Docker?

• Документация

WWW.QRATOR.NET

Сетевая архитектураВозможности для защиты от DDoS нужно предусматривать заранее:

• В протоколе

• В архитектуре

• В реализации

WWW.QRATOR.NET

Защита – это не продукт, а процесс

• Своевременное обновление

• Реагирование на тенденции

• Реагирование на инциденты

WWW.QRATOR.NET

Дивный новый мир

• IPv4 NAT – боль

• Приходится блокировать NAT pool’ы целиком

• Размер пространства IPv6 – БОЛЬ

• Придётся банить подсетями, иначе никак

WWW.QRATOR.NET

Дивный новый мир

• IPv4 NAT – боль

• Приходится блокировать NAT pool’ы целиком

• Размер пространства IPv6 – БОЛЬ

• Придётся банить подсетями, иначе никак

WWW.QRATOR.NET

Спасибо за внимание!

Artyom Gavrichenkov<ag@qrator.net>

DDoS Defence 101

Internet

Scalable DDoS mitigation · •Scalable DDoS Mitigation –BGP FlowSpec •Cloud DDoS Protection –F5 Silverline. DDoS Overview • Distributed denial-of‐service (DDoS) attacks

Ministry of Defence Defence Standard 00-101s3.spanglefish.com/s/22631/documents/safety-specifications/def... · Ministry of Defence Defence Standard 00-101 ... Publication (JSP430):

DDoS 방어에 9가지 - Akamai · 2021. 1. 20. · DDoS 방어전문 대신지식을 클라우드개발하는 기반 플랫폼으로 DDoS 방어솔루션을 아웃소싱하고 있습니다

DDoS Saldırı Analizi - DDoS Forensics

DDoS Attacks

Arise Awake and Lead The Nation Atharva Defence …...Arise Awake and Lead The Nation— Atharva Defence Academy Atharva Defence Academy SCO-101, Urban Estate-II, Hisar Mob. 9034316991,

Evolving DDoS Threat and Standards Based Mitigation Techniques Evolving DDoS Thre… · Considerations For Determining Best DDoS Strategy DDoS protection strategy appropriate for

A Taxonomy of DDoS Attack and DDoS Defense Mechanisms

DDoS Threat Landscape - CHI-NOGchinog.org/.../2016/05/10.-DDoS-Threat-Landscape.pdf · DDoS Threat Landscape . DDoS Handbook • A history and overview of DDoS • Review of attack

DDOS Audit

Cisco DDoS 방어솔루션 · 게임아이템거래사이트, ‘DDoS 공격 툴’에 휘둘렸다 지난달부터 DDoS 서버 공격으로 인해 정상적인 서비스를 제공하지

Datasheet: DDoS Protection - Grayhats Datasheet DDoS...or OpenBSD vulnerabilities ... Datasheet: DDoS Protection DNS DDoS Protection ... DNS server. This protects your

Krizhanovsky Ddos

DDOS Attacks And Defence Technics

DDoS Protection Place For DDoS Attacks

TBDA-Traceback Based Defence Against DDoS Attack · research paper is proposes a Traceback-based Defense against DDoS Attacks (TBDA) approach to resolve this problem very goodly

DOS AND DDOS Lecture 13a - cs.auckland.ac.nz · DOS AND DDOS Lecture 13a COMPSCI 726 Network Defence and Countermeasures Source of some slides: CMU, Stanford University, and University

DDoS Attacks 101 - Vistnet DDoS Protection & Mitigation ...€¦ · DDoS Protection Company V DDoS Attacks 101 eserved. 7 In the meantime the quality of DDoS attack software is improving;

Hacktivism Culture: DDoS 101

Prolexic DDoS Analytics & DDoS Mitigation In Real Time