Ростелеком. Владимир Устюжанинов. "Защита от ddos...
TRANSCRIPT
«РАЗВИТИЕ СЕРВИСОВ ПО ЗАЩИТЕ ОТ DDOS-АТАК: ВЗГЛЯД СО СТОРОНЫ ОПЕРАТОРА СВЯЗИ»
#CODEIB
РОСТЕЛЕКОМ В ЦИФРАХ
2
28 000 000АБОНЕНТОВ ФИКСИРОВАННОЙ ГОЛОСОВОЙ СВЯЗИ
11 200 000АБОНЕНТОВ ШИРОКОПОЛОСНОГО ДОСТУПА В ИНТЕРНЕТ
8 200 000 АБОНЕНТОВ ПЛАТНОГО ТЕЛЕВИДЕНИЯ
80 РЕГИОНАЛЬНЫХ ФИЛИАЛОВ
2 500 ТОЧЕК ПРОДАЖ И ОБСЛУЖИВАНИЯ
160 000 СОТРУДНИКОВ
БОЛЬШЕ 50% АКЦИЙ КОМПАНИИ КОНТРОЛИРУЕТ ГОСУДАРСТВО
ОПОРНЫЙ УЗЕЛ
РЕГИОНАЛЬНЫЙ УЗЕЛ
ДАТА-ЦЕНТР
Nx40GГбит/с
Nx10 Гбит/с
#CODEIB
КАК ПРОИСХОДЯТ DDoS-АТАКИ?
3
Botnet master инициирует команду атаковать
#CODEIB
4
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА? NTP(для примера)
СЕРВЕРЫ, МАРШРУТИЗАТОРЫ, CPE
172.19.234.6
#CODEIB
5
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА? NTP серверы
172.19.234.6
UDP/80 – UDP/123, ~50 БАЙТ/ПАКЕТИСТОЧНИК (СПУФИНГ): 172.19.234.6НАЗНАЧЕНИЕ: РЯД СЕРВЕРОВ NTPNTP ЗАПРОС: MONLIST
#CODEIB
6
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА? NTP серверы
172.19.234.6
UDP/123 – UDP/80, ~468 БАЙТИСТОЧНИК: NTP СЕРВЕРПОЛУЧАТЕЛЬ: 172.19.234.6ОТВЕТ: ДАННЫЕ О 600 ХОСТАХ
#CODEIB
ВИДЫ DDoS-АТАК
7
DDoS НА TCP-СТЕК/ТАБЛИЦУ СЕССИЙ• Атака, направленная на устройства связи с контролем состояний (load balancers, firewalls, application servers)• Нацелена на традиционную структуру сетевой безопасности и на сервера
DDoS НА КАНАЛ СВЯЗИ• Переполняет каналы связи:• Во внутренних сетях цели• Между сетями провайдера и атакуемой сетью
DDoS НА ПРИЛОЖЕНИЯ• Малозаметные атаки на приложения – HTTP/DNS/SIP• Нацелены на определенные уязвимости приложений
#CODEIB
8
ТИПОВОЕ ПОДКЛЮЧЕНИЕ КОМПАНИЙК ИНТЕРНЕТУ
• >= 50 Mbps• <= 1 Gbps
• Control Plane• Performance
• Statefull• App Inspection
• WWW• MAIL• DNS• VOIP• VPN
• Доступ в Интернет
#CODEIB
9
ЗАЩИТА НА СТОРОНЕ КЛИЕНТА(БЕЗ УЧАСТИЯ ОПЕРАТОРА)#CODEIB
10
• В СЕТЬ КЛИЕНТА НАЧИНАЕТ ПОСТУПАТЬ АНОМАЛЬНЫЙ ТРАФИК АТАКИ
• АКТИВИРУЕТСЯ СИСТЕМА ПРОТИВОДЕЙСТВИЯ АТАКЕ, ТРАФИК НАПРАВЛЯЕТСЯ НА ОЧИСТКУ
• ОЧИЩЕННЫЙ ТРАФИК ПЕРЕДАЁТСЯ В СЕТЬ КЛИЕНТА
СХЕМА СИСТЕМЫ АНАЛИЗА ТРАФИКАИ ЗАЩИТЫ ОТ DDoS АТАК
#CODEIB
МАКСИМАЛЬНЫЙ ОБЪЕМ DDOS-АТАКИВ 2014 ГОДУ (ОТРАЖЕНИЕ КОМПЛЕКСОМКОМПАНИИ «РОСТЕЛЕКОМА»
11
#CODEIB
12
МАКСИМАЛЬНЫЙ ОБЪЕМ DDOS-АТАКИВ 2016 ГОДУ (ОТРАЖЕНИЕ КОМПЛЕКСОМКОМПАНИИ «РОСТЕЛЕКОМА» #CODEIB
Крупнейшая DDoS атака
*Источник: публичный блог Брайана Кребса rebsonsecurity.com
Атака с помощью botnet сетей размещенных в сегменте IoT
Рекордная мощность атаки – 665 Gbps
Продолжительность атаки – более 10 дней
Возраст злоумышленников 18 лет
Атака DNS Amplification
13#CODEIB
14
КЛИЕНТСКИЙ ПОРТАЛ
Ключевыми функциями порталаявляются оповещение клиента о начале и окончании атак
«ЗЕЛЕНОЕ» – небольшое превышение трафика, малаявероятность наличия атаки
«ЖЕЛТОЕ» – умеренное превышение,вероятность наличия атаки средняя
«КРАСНОЕ» – критическоепревышение, совершается атака
ПРИ ВОЗНИКНОВЕНИИАТАКИ ПРЕДУСМОТРЕНЫ ТРИ ТИПАОПОВЕЩЕНИЙ:
#CODEIB
15
ОПЦИЯ CLOUD-SIGNALING
СЕРВИС КЛИЕНТА ПОД АТАКОЙ (БЕЗ УЧАСТИЯ ОПЕРАТОРСКОГО КОМПЛЕКСАЗАЩИТЫ ОТ DDoS АТАК
СЕРВИС КЛИЕНТА ПОД АТАКОЙ (С УЧАСТИЕМ ОПЕРАТОРСКОГО КОМПЛЕКСАЗАЩИТЫ ОТ DDoS АТАК
ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
16
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
Позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений
Позволяет отражать атаки емкостью более 6 Тбит/с за счет отражения атаки на пограничныхмаршрутизаторах
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW50 инженеров обученных Arbor Peakflow
Опыт отражения атак пиковой производительностью 214 Гбит/с
Ежедневная фильтрация более 15 инцидентов емкостью более 10 Гбит/c
Опыт успешной защиты информационных ресурсов Олимпийских Игр Сочи 2014#CODEIB
ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
17
Система Arbor ATLAS отслеживает около половины глобального интернет трафика, чтопозволяет знать всю текущую информацию по атакам и противодействию имВсем клиентам предоставляется доступ в личный кабинет по управлению услугойВыделенная круглосуточная смена по отражению DDoS атак
Стоимость услуги не зависит от мощности и количества DDoS-атак
Единственный оператор связи, имеющий опыт подключения клиентских устройств защитыот DDoS - Arbor Pravail (опция Cloud-signaling)Емкость российских пиринговых стыков составляет более 1,7 Тбит/с, международных пиров более 500 Гбит/с, емкость стыков с МН-апстримами – 700 Гбит/с, что позволяет контролироватьсущественную долю интернет трафика в РФ и отражать атаки на границе сети
#CODEIB