combate à ddos na rede acadêmica
TRANSCRIPT
![Page 1: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/1.jpg)
Combate à DDOS na rede acadêmica
Rildo Antonio de Souza CAIS/RNP
![Page 2: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/2.jpg)
Combate à DDOS na rede acadêmica
• Definições
• Peakflow
• O (antigo) uso do Peakflow pelo CAIS
• A solução
• Funcionamento da solução
• Resultados
• Desdobramentos
![Page 3: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/3.jpg)
3
Definições - DDOS
• DDOS – Ataque de negação de serviço distribuído
![Page 4: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/4.jpg)
4
Definições – Rede Ipê
• 27 Pontos de Presença (PoP)
• Aproximadamente 1200 instituições
• Aproximadamente 3,5 milhões de usuários
• Quantidade inestimável de hosts
![Page 5: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/5.jpg)
5
Definições – Rede Ipê
![Page 6: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/6.jpg)
6
Definições – Ataques de Amplificação
Fonte: US-CERT
![Page 7: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/7.jpg)
7
Peakflow SP – O que é?
• Solução para detecção e tratamento de ataques de DDOS
![Page 8: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/8.jpg)
8
Peakflow SP – Como funciona
PoP-SP
Taxa média amostragem: 1/1000
PoP-RJ
PoP-RS
PoP- PR
PoP- DF
PoP- SC
![Page 9: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/9.jpg)
9
Peakflow SP – Como funciona
Gera alerta
• Comportamento
• Assinaturas
![Page 10: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/10.jpg)
10
Cenário Anterior do Peakflow SP na RNP
• Quantidade de alarmes alta
• Logs com mais de 4.000 linhas
• Necessidade de atuação rápida
• Dificuldade de separar eventos RNP vs eventos gerais (redes de trânsito)
![Page 11: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/11.jpg)
11
• Subutilizado
• Limitações da ferramenta
• Não gera / envia LOGs com evidências do ataque
Cenário Anterior do Peakflow SP na RNP
![Page 12: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/12.jpg)
12
Briga de gato e rato
Cenário Anterior do Peakflow SP na RNP
![Page 13: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/13.jpg)
13
A solução
• Integração + Automação
SGIS
![Page 14: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/14.jpg)
14
A solução
• Integração + Automação
SGIS
runReport
![Page 15: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/15.jpg)
15
A solução
• Tecnologias utilizadas
![Page 16: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/16.jpg)
16
Funcionamento da solução
• Controlar alarmes que devem ser monitorados
• Gerar flows para alarmes monitorados
• Uso da API do Peakflow
• Fácil atualização e manutenção
![Page 17: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/17.jpg)
17
Como funciona a solução
runReport
É cliente? Sim Não
Origem cliente? Faz whois
Separa por cliente
Sim Não
Acessa
Início
SGIS
![Page 18: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/18.jpg)
18
Como funciona a solução
Instituição é NOTIFICADA
SGIS
Atacado é ALERTADO
Instituição é ALERTADA RNP destino
SGIS Atacante é NOTIFICADO
RNP origem
![Page 19: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/19.jpg)
19
Dados Relevantes
• Aumento no número de notificações de DDOS
15
1075
981
379
192 159
548
834
0
200
400
600
800
1000
1200
jan fev mar abr mai jun jul ago
Incidentes Negação de Serviço - 2016
![Page 20: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/20.jpg)
20
Dados Relevantes
98,53%
1,47%
tcp outros (udp e icmp)
Ataques por protocolo
![Page 21: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/21.jpg)
21
Dados Relevantes
93,22%
6,78%
ataques origem RNP
ataques destino RNP
Origem dos Ataques
![Page 22: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/22.jpg)
22
Ataques coordenados
• Ataques DDOS com mais de 20 instituições envolvidas
• Instituições com 27 mil IPs envolvidos no ataque
Dados Relevantes
![Page 23: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/23.jpg)
23
Maiores ataques detectados - Volume
Ataque 1 - Data:05/08/2016
Pacotes por Segundo: 4.3 Gbps ( Tráfego Malicioso ) Impacto: 7.5 Gbps ( Tráfego Total) Tipo: DNS Amplification Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia
Dados Relevantes
![Page 24: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/24.jpg)
24
Maiores ataques detectados - Volume
Ataque 2 - Data:05/08/2016
Tamanho:4.5 Gbps ( Tráfego Malicioso ) Impacto: 8.3 Gbps ( Tráfego Total) Tipo: DNS Amplification
Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia
Dados Relevantes
![Page 25: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/25.jpg)
25
Resultados
• Número de notificações aumentaram muito Jan 2016 = 15 Incidentes Ago 2016 = 834 Incidentes
• Melhor análise dos ataques DDoS
• Ataques entrando ou saindo da Rede Ipê agora são notificados
![Page 26: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/26.jpg)
26
Resultados
• Aumento da visão sobre a segurança do ambiente acadêmico
• Definição de estratégias para combate à ataques DDOS.
![Page 27: Combate à DDOS na rede acadêmica](https://reader031.vdocuments.mx/reader031/viewer/2022021815/5870a9331a28ab54738bbd20/html5/thumbnails/27.jpg)
27
Dúvidas