plnog 13: paweł kuśmierski: how akamai and prolexic mitigate (d)dos attacks
Post on 30-Jun-2015
275 Views
Preview:
DESCRIPTION
TRANSCRIPT
Jak Akamai i Prolexic radzą sobie z atakami DDoS
Paweł Kuśmierski, Senior Engineer, Lead
System Operations, Akamai, Kraków
©2013 AKAMAI | FASTER FORWARDTM
Czym jest Akamai?
Firmą założoną na MIT w 1998 przez prof. Toma Leightona i doktoranta
Dannego Lewina
Akamai posiada najbardziej rozproszoną platfomrę internetową na świecie
(ponad 150 000 serwerów, w 2000 lokalizacjach w 92 krajach)
Platforma Akamai pośredniczy w dostarczaniu od 15 do 30% światowego
ruchu www
Jesteśmy jeden „skok” od 90% procent
uzytkowników Internetu (ich routera brzegowego)
Dzienny ruch w sieci:
10+ Tbps -- 30 PB/dziennie
20+ milionów zapytań na sekundę
10 milionów jednoczesnych strumieni video
©2013 AKAMAI | FASTER FORWARDTM
Czym jest Prolexic?
Firmą założoną w 2003 roku w celu zapogiegania atakom DDoS
Prolexic posiada platformę o pojemności 1.8Tbps
Oferuje filtrowanie od poziomu IP wzwyż
Reguły tworzone są przez zespół doświadczonych ekspertów
wdrażający strategie zapobiegania (Security Operations Center, w
Krakowie powstaje właśnie nowy ośrodek)
PLXsert – ostrzeżenia o nowych zagrożeniach
(twitter: @PLXSERT)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Przykładowi klienci z róznych branży
10 największych
amerykańskich banków
Przemysł
10 z 12 największych
firm e-bezpieczeństwa
Technologia
30 największych firm
medialnych
Media i Rozrywka
Wszystkie dowództwa
armii USA
Sektor Publiczny
97 ze 100 największych
serwisów e-commerce
Usługi
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
©2013 AKAMAI | FASTER FORWARDTM
Sieć Prolexic
Centra filtracyjne:
San Jose, CA (Equinix)
Ashburn, VA (Equinix)
London, UK (LINX)
Hong Kong, Chiny (HKIX)
Frankfurt, Niemcy
Tokyo, Japonia Q4 2014
Sydney, Australia Q1 2015
Różni dostawcy i połączenia:
3-4 dostawców “Tier 1” na
centrum
Polityka Public Peering
Pojemność 1.8Tbps
Centrum filtracyjne
Botnety
Powstające centrym
©2013 AKAMAI | FASTER FORWARDTM
Origin Traffic
1
10
100
10,000
1,000
Prolexic Traffic
1
10
100
10,000
1,000
Blokowanie DDoS w przez Prolexic
Z usługą Prolexic Routed
• Atak jest blokowany na poziomie
centrum filtrującego, z daleka od
infrastruktury klienta
Prolexic Platform
3 Tier-1 Providers
1.8 Tbs/Sec
PROLEXIC
In-the-cloud
Security Operations Center
Serwerownia
klienta
©2013 AKAMAI | FASTER FORWARDTM
Asymetryczna ścieżka Asymetryczna ścieżka
Clean traffic
Attack traffic
Telemetria
Monitoring Aplikacji i oparty
o przepływy (ich odchylenie
od normy)
Internet Centrum danych klienta Część
publiczna Część
prywatna • Aktywacja w
ciągu minut
• Ochrona całej
podsieci
• I wielu usług,
nie tylko HTTP
i HTTPS
• Ruch
przychodzący
automatycznie
kieruje się do
najbliższego
centrum
• Chroni dużą
przestrzeń
adresową
• Monitoring
24/7 przez
Prolexic SOC
• Powstrzymuje
ciągłe ataki
200+ Gbps
Dwa tunele GRE
lub łącza MPLS
Security Operations Centers
Aktywacja przez rozgłaszanie BGP
Asymetryczna ścieżka
©2013 AKAMAI | FASTER FORWARDTM
SLA dla powstrzymania ataku
Attack Category TTM - Time to Mitigate
(typical)
TTM - Time to Mitigate
Guaranteed (SLA)
UDP/ICMP Floods 1 minute or less 5 minutes
SYN Floods 1 minute or less 5 minutes
TCP Flag Abuses 1 minute or less 5 minutes
GET/POST Floods 10 minutes or less 20 minutes
DNS Reflection 5 minutes or less 10 minutes
DNS Attack 5 minutes or less 10 minutes
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
©2013 AKAMAI | FASTER FORWARDTM
Akamai oka rzutem
©2013 AKAMAI | FASTER FORWARDTM
Optymalizacje Akamai: „Chmura” Użytkownik łączy się zawsze z najbliższym serwerem Akamai
Serwerwnie źródłowe są zazwyczaj daleko od klienta końcowego
... Co skutkuje dłuższym czasem RTT
Użytkownik
Serwerownia Klienta
Serwery brzegowe Akamai
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Optymalizacje przesyłania
Problem 1:
Tam-i-z-powrotem
dla dużych ilości danych
Serwerownia Klienta
Serwery brzegowe Akamai
Optymalizacja: protokół przesyłania (TCP)
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Problem 2:
Na trasie do serwerowni może
wydarzyć się awaria (lub de-peering)
Serwerownia Klienta
X
X
Optymalizacje Akamai: Wybór tras
©2013 AKAMAI | FASTER FORWARDTM
Użytkownik
Rozwiązanie:
Akamai SureRoute
Problem 2:
Na trasie do serwerowni może
wydarzyć się awaria (lub de-peering)
Serwery brzegowe Akamai
X
Serwerownia Klienta
Optymalizacje Akamai: Wybór tras
©2013 AKAMAI | FASTER FORWARDTM
Packet
Loss
50%
40%
30%
20%
10%
0%
Generic Internet Akamai
Akamai SureRoute Straty pakietów w Indiach po przecięciu kabla na Bliskim Wschodzie
©2013 AKAMAI | FASTER FORWARDTM
(Cloud)
Datacenters
Użytkownik
1
10
100
10000
Origin
Traffic
1000
Akamai
Traffic
10
100
10000
1000
Ochrona brzegowa Akamai (Permeter defence, WAF)
ZATRZYMANE
1
©2013 AKAMAI | FASTER FORWARDTM
Dane o reputacji klienta
Zapisywanie danych o znanych źródłach ataku
pozwala na lepszą ochronę
• Identyfikujemy złych użytkowników na podstawie reguł dla
różnych typów ataków
• Dla każdego z nich obliczamy reputację w 10-cio punktowej
skali
• Odfiltrowujemy ruch z podejrzanych źródeł (specjalna strona,
opóźnienie, 501)
• Dane dostarczane do ponad 100k serwerów brzegowych
• Dane wspólne dla wszystkich klientów Akamai
• Akamai obsługuje 15-30% ruchu www w Internecie
• W ciągu miesiąca widzimy większość użytkowników Internetu
©2013 AKAMAI | FASTER FORWARDTM
Client Reputation Console
©2013 AKAMAI | FASTER FORWARDTM
Błędy reguł obliczania reputacji
37.35%
19.68%
4.89%
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
CloudFlare Incapsula Akamai
False Positives False Negatives
.09%
.31%
.48%
Source: Akamai
Cloud-based
WAF 1
Cloud-based
WAF 2
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Na czym skupiają się ataki DDoS?
27%
24%
8%
4%
30%
5%
©2013 AKAMAI | FASTER FORWARDTM
W tym roku: 320 Gbps DDoS na klienta z branży gier
Celem była główna strona www,
infrastruktura sieciowa i DNS
Atak na kilka sposobów:
• SYN / UDP floods na całą podsieć
• Atak objętościowy na DNS
Attack characteristics:
• Szczytowo 320 Gbps i 71.5 Mpps przez centra
filrowania Prolexica
• 2.1 milion zapytań/s przez Fast DNS Akamai
Prolexic:
Fast DNS:
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection. +
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Multi-Perimeter Cloud: How It Works
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Perimeter 3 – DNS
• Highly scalable (<1% total capacity)
• Highly available (24x7 SLA)
• High performance (zone apex)
• Supports DNSSEC
• Primary and secondary DNS
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Avoid data theft and downtime by extending the
security perimeter outside the data-center and
protect from increasing frequency, scale and
sophistication of web attacks.
Perimeter 3 – DNS
• Highly scalable (<1% total capacity)
• Highly available (24x7 SLA)
• High performance (zone apex)
• Supports DNSSEC
• Primary and secondary DNS
Perimeter 1 – WAF • Always on (defense against data theft)
• High performance and highly scalable
• Highly accurate (reduced FP and FN)
• HTTP / HTTPS
• Local or cloud-based applications
Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)
• Automated (rate controls, caching)
• High performance (no degradation + acceleration)
• HTTP / HTTPS (defense against SSL attacks)
• Capacity 21 Tbps
Multi-Perimeter Cloud: How It Works
SOC Managed Service • People-driven security
• Experience Security Professionals
• Staffed 24x7 SOC
• Monitor / Alert
• Respond
Perimeter 2 – DDoS (BGP)
• Comprehensive (all ports + protocols)
• Entire data center (all apps, bandwidth)
• Configurable (IP subnet granularity)
• Always on or on demand (5-20 min SLA)
©2013 AKAMAI | FASTER FORWARDTM
Result:
2-100X compression
Result:
2-100X compression
Result:
2-100X compression
Aplikacja do wizualizacji
sieci Akamai
©2013 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized
web experiences and manage complexity from peak
demand, mobile devices and data collection.
Dziękuję za uwagę
Paweł Kuśmierski, pkusmier@akamai.com
top related