ddos как актуальная проблема безопасности
TRANSCRIPT
DDoS как актуальная проблема безопасности
Андрей Бондаренко
Классификация DDoS атак
(D)DoS: отказ сервиса из-за злонамеренного
исчерпания ресурсов.
Отказоустойчивость: доступность сайта извне.
Классификация DDoS атак
Классификация очень важна, она отвечает
на вопрос:
“какую задачу решаем?”
Классификация DDoS атак
• Защита от атак из списка: плохо
• Обеспечение устойчивости сервиса: хорошо
Классификация DDoS атак
• Канал
• Инфраструктура
• TCP
• Уровень приложения (7lvl)
Канал и инфраструктура
• Амплификаторы
• Сотни тысяч ботов
• Обычно, пакеты массово генерированы
• Дешевая и простая атака
Амплификатор
DNS IP
TXT: AAAAAAA[2048]
UDP
SRC: target IP
DST: DNS IP
Payload: TXT?
UDP
SRC: DNS IP
DST: traget IP
Payload: TXAAAAAAA[2048]
Было: 1 пакет
Стало: over9000 пакетов
ТСP
SYN-flood
ACK-flood
Connection flood и т.п.
TCP
Тысячи, десятки тысяч ботов;
Чуть более интеллектуальная атака;
Может заваливать и канал/оборудование
тоже – комбинированная атака.
Уровень приложения
• Таргетированная атака на медленную часть
веб-приложения;
• Рост популярности в последнее время;
• Сопровождается атаками первых двух типов;
• Тяжелее всего фильтровать на вторые
бессонные сутки.
Экономика атаки
AMP: сервер за ~ $50/месяц + список амплификаторов
Bots: ~ $100-$1000
Индивидуальный подход: >$1000
Самостоятельная работа
• канал
• персонал
• непрофильная деятельность
Самостоятельная работа
• полный контроль
• может сработать на простых случаях
Вендорские решения
• канал
• квалифицированный персонал
• цена решения + амортизация +
ежегодная плата за поддержку
Вендорские решения
• можно показать заказчику из бизнес-
подразделений, что может быть
действительно важно для некоторых
заказчиков
Saas
• сервис работает as is
• легко заявить то, чего нет
Saas
• сервис - основной бизнес поставщика,
• CapEX == 0
• легко заменить
Saas: обязательные требования
• Собственная автономная система (AS)
• Географическое распределение AS
• Несколько операторов
• Большая суммарная канальная емкость
Собственная автономная система (AS)
IP-адрес должен быть скрыт от атакующей стороны за IP-адресом
защитника от DDoS.
Это обязательное требование.
IP-адрес обязан принадлежать системе защиты от атак.
Это самое базовое требование, которому не соответствуют
некоторые игроки рынка.
Географическое распределение AS
DDoS должен подавляться там, где он порождается
Центры очистки должны быть близки и к пользователям
сайтов и к самому сайту для минимизации задержек
Несколько операторов
• Защита не может быть надежнее, чем оператор, на
котором построена автономная система защитника
• Даже самые лучшие операторы могут иметь проблемы
с доступностью и падения стыков с соседями
• «Операторские войны» порождают задержки (маршрут
из Рент в ТТК через Амстердам). Облако защиты от
DDoS должно это учитывать.
Большая суммарная канальная емкость
Очевидное требование: емкость должна быть больше,
чем возможная на данный момент атака.
Неочевидное следствие: так как ни один оператор не
дает бесконечно много, то трафик всегда должен
распределяться по всем площадкам защитника.
Цифры из рекламы
Показатели из рекламы, которые могут быть интересны (на примере Qrator)
• отраженные атаки >100500Гб – «просто» BGP FlowSpec
• >450 000 ботов full browser stack - сложно
• более 100 атак в одни сутки – нет ручной работы
Прозрачность решения
Обращайтесь за пентестами!
Group-IB, Dsec, Positive и другие расскажут очень много интересного.
http://radar.qrator.net
Верифицированная модель связей AS:
Provider/Peer/Customer
Это бесплатный инструмент для мониторинга автономных систем, здесь вы увидите всех провайдеров и их связность для интересующей AS
Прогноз
1. BGP-Hijacking
2. популярность volumetric-атак и атак на приложение будет
циклически сменяться
3. рост SaaS
4. Запрос отказоустойчивости против «таких-то атак»
Будущее
1. Защита от DDoS как SaaS vs железо in house & железо у
оператора
2. Облачная защита каналов оператора
3. Работа с SSL без раскрытия
4. Доступность с точностью до дропов на транзитах AS
5. Доверенные клиенты, доверенные каналы, защищенный DNS