![Page 1: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/1.jpg)
DDoS Protector aneb
čistička
Martin Žádník
![Page 2: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/2.jpg)
Popularita
• DDoS útoky
• Motivace
• Cíl
• Prostředky
• DDoS útoky jako služba
• DDoS-for-hire industry
• Booters/Stresser service
• Mirai
![Page 3: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/3.jpg)
Statistiky
• AKAMAI
• Několik stovek DDoS ročně
• Největší od 2015
• 363 Gbps
• 600 Gbps
• 1,1 Tbps
• CESNET
• Podobné množství
• Řádově nižší síla útoků
• Testovací hřiště
![Page 4: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/4.jpg)
Ukázka
• UDP - 23 mil. paketů za 5min.:
Src IP Dst IP Pkts Bytes
194.228.x.x:53 194.160.x.x:4444 3 4163
182.52.x.x:53 194.160.x.x:4444 1 1453
54.39.x.x:53 194.160.x.x:4444 3 4163
182.52.x.x:53 194.160.x.x:4444 1 1453
192.48.x.x:53 194.160.x.x:4444 3 4163
71.230.x.x:53 194.160.x.x:4444 3 4163
200.229.x.x:53 194.160.x.x:4444 3 4163
![Page 5: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/5.jpg)
DDoS mitigace
• Rate limiting na routerech– Hrubý filtr
– Potenciální riziko blokování legitimního provozu
• DDoS Protector– Vývoj vlastní DDoS čističky
– Detailnější čištění
– Řádově levnější než podobná řešení
– Funkcionalita na míru
![Page 6: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/6.jpg)
Cíl
• Primárně zaměřeno na ochranu konektivity
• Cílem je dostat objem provozu pro cílovou
organizaci na zpracovatelnou úroveň
![Page 7: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/7.jpg)
Útoky
• Velké útoky hrubou silou pomocí odrazu
– DNS
– NTP
– SSDP
– SNMP
– CharGEN
![Page 8: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/8.jpg)
Čištění útoku
• Přesměrování útoku na DDoS Protector
• Vrácení čistého provozu do cílové organizace
![Page 9: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/9.jpg)
Detekce
• Čistička hlídá překročení prahů pro zadané
IP adresy/podsítě
• Volitelné časové rozlišení (s)
• Jednoduchá pravidla nastavená dle
historické zkušenosti správcem
“VUT UDP” dst net 147.229.0.0/16 protocol 17
src port 53 threshold 1 Gbps limit 100 Mbps
![Page 10: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/10.jpg)
Čištění
• Zahoď provoz ze zdrojových IP adres, které
nejvíce přispěli k překročení limitu pravidla
• Ke každému pravidlu sleduj množství
provozu pro zdrojové IP adresy
• Pokud je překročen limit pravidla vyber tolik
top zdrojových IP adres, aby bylo dosaženo
snížení objemu provozu na požadovanou
úroveň
![Page 11: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/11.jpg)
Ukázka
![Page 12: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/12.jpg)
Algoritmus
Při příchodu paketu
1. Najdi všechna odpovídající pravidla
2. U každého pravidla aktualizuj zdrojové IP
adresy a statistiky
3. Je zdrojová IP adresa již blokována?– Ano, zahoď paket, aktualizuj statistiky
– Ne, edituj paket a přepošli
4. Na konci časového intervalu zkontroluj
překročení limitů pravidel
5. Vytvoř seznam top N zdrojových IP adres k
blokování
![Page 13: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/13.jpg)
HW akcelerace
• Čistička se skládá ze serveru se síťovou
akcelerační kartou COMBO-100G
• Programovatelné FPGA
• Vlastní firmware
![Page 14: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/14.jpg)
Schéma
Výběr Blokování
ŘízeníDetekceStatistiky
Provoz
Legitimní
provoz
Firmware
Software
![Page 15: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/15.jpg)
Parametry
• Plná propustnost 100Gbps full duplex
• Extrémně nízká latence (mikrosekund)
• Podpora IPv6
• Podpora překladu VLAN
• Hlídání až 3 tis. pravidel
• Blokování 16 tis. zdrojových IP adres
![Page 16: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/16.jpg)
Zapojení
• 10x 10Gbps
• 1x 100Gbps
![Page 17: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/17.jpg)
Plány
• Heuristické blokování TCP Syn Flood útoků
• Blokování 100tis. zdroj. IP adres
• Podpora různých strategií blokování– TCP proxy
– TCP proxy heuristika
– Povolení zdrojových AS
– Blokování cíle
• Rozšiřování konfiguračního rozhraní– Databáze
– BGP Flowspec
![Page 18: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/18.jpg)
Závěr
• Nasazeno v síti CESNET
• Přímočaré řešení s deterministickým
chováním
• Čištění provozu za účelem ochrany
infrastruktury
• Flexibilní platforma umožňuje rozšiřování dle
aktuálních potřeb
• Vhodné pro ochranu českého
kybernetického prostoru
![Page 19: DDoS Protector aneb - CESNET · 2017-02-09 · IP adresy/podsítě • Volitelnéčasovérozlišení (s) • Jednoduchá pravidla nastavená dle historické zkušenosti správcem](https://reader033.vdocuments.pub/reader033/viewer/2022042221/5ec7668b0581441c0d031460/html5/thumbnails/19.jpg)
Děkuji za pozornost.
Dotazy?