DDOS útoky

Ochrana před DoS/DDOS útoky

Petr Lasek, RADWARE 31.5. 2012

Agenda • • • • •

Radware Aktuální rizika Attack Mitigation System (AMS) Případová studie Shrnutí

Slide 2

APSolute řešení

1

1

3

RADWARE APSolute řešení dokáže zajistit pro Vaši síť a aplikace: - maximální dostupnost (Availability), - maximální výkon (Performance), - bezpečnost (Security)

Slide 3

Radware 10,000+ zákazníků

144.1

Stálý růst

108,9 77,6 81,4

88,6

94,6

68,4 54,8 43,7 38,4 43,3 14,1 4,9 1998

Zkušenosti v oblasti bezpečnosti

2000

2002

2004

2006

2008

2010

Technologické partnerství

Slide 4

Radware – přehled řešení

Web Services and XML Gateway HTTP Monitor

Partner

Inflight AppXML

Message Queuing System

Router

Intrusion Prevention

Mainframe ESB

LinkProof

Customers

DefensePro

AppDirector

Router

Application Delivery Controller Web & Portal Servers

LinkProof

WAN Link Optimizer / Load Balancer

Database servers

AppWall Web Application Firewall Application Servers

Branch Office Data Center

Slide 5

Aktuální bezpečnostní rizika

Kombinované útoky

Large volume network flood attacks Network scan Intrusion Port scan SYN flood attack “Low & Slow” DoS attacks (e.g., Sockstress) Brute force attack Intrusion, malware High and slow Application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)

Slide 7

Síťové a aplikační útoky

Slide 8

Kombinované útoky

Large volume network flood attacks Network scan Large volume SYN flood

Shrnutí

Low & Slow connection DoS attacks

Business • Útočníci kombinují více typů útoků Web a stačí aby jeden byl application vulnerability scan úspěšný Applicationútoků flood attack (Slowloris, • DoS & DDoS se stávají standardní součástí Port 443 data flood,…) Web application attacks (e.g. XSS, Injections, CSRF)

Slide 9

Bezpečnostní nástroje x útoky DoS Protection Behavioral Analysis IPS IP Reputation WAF

Large volume network flood attacks Network scan Intrusion SYN flood “Low & Slow” DoS attacks Port scan Brute force attack Intrusion, Malware High & Low rate application DoS attacks Web application attacks (e.g. XSS, Injections, CSRF)

Slide 10

AMS = Attack Mitigation System

Radware Attack Mitigation System (AMS)

Slide 12

AMS – integrované bezpečnostní řešení DoS Protection • Ochrana před všemi typy DoS/DDoS nastrojů

Reputation Engine • Finanční podovody • Ochrana před phishingem

IPS • Ochrana před známymi útoky

WAF • Aplikační firewall

NBA • Zneužítí aplikací • Ochrana před neznámými útoky (zerominute)

Slide 13

OnDemand Switch: výkonný hardware DoS Mitigation Engine • ASIC • Proti DoS/DDoS utokům • 12 M PPS

IPS & Reputation Engine • ASIC - String Match & RegEx Engine • Deep packet inspection

NBA & WAF

OnDemand Switch Kapacita až 14Gbps

Slide 14

Radware Security Event Management (SEM) • Correlated reports • Trend analysis • Compliance management • RT monitoring • Advanced alerts • Forensics

3rd SIEM

Slide 15

AMS = synergie

Útok proti webu ze zdroje A

• Advanced configuration • Role-based access control

Black list - A

Scanning aplikací detekován ze zdroje A

Slide 16

Síťové DoS útoky

Ochrana před síťovými DoS útoky

Ochrana před: – TCP SYN floods

– UDP floods

– TCP SYN+ACK floods

– ICMP floods

– TCP FIN floods

– IGMP floods

– TCP RESET floods

– Packet Anomalies

– TCP Out of state floods

– Known DoS tools

– TCP Fragment floods

– Custom DoS signatures

Slide 18

NBA a RT Signature Technologie Mitigation optimization process

Public Network

Initial Filter

Closed feedback

Inbound Traffic

Start Traffic characteristics mitigation

Real-Time Signature

0

Initial filter is generated: Filter Optimization: Filter Filter Optimization: Packet IDOptimization:

Packet ID AND Source IPIP Packet PacketID IDAND ANDSource Source IP AND ANDPacket Packetsize size AND TTL

5

Blocking Rules Filtered Traffic

Outbound Traffic

Protected Network

Up to 10

Final Filter

3

Learning

10+X Time [sec]

Degree of Attack = High Low

1

2

Statistics

Detection Engine Degree Degreeof ofAttack Attack == Low High (Positive Feedback) (Negative Feedback)

Signature parameters Narrowest filtersIP • Source/Destination • Source/Destination Port • Packet ID • Packet size • Source • TTL (TimeIP ToAddress Live) • Packet size • DNS Query • TTL (Time To Live) • Packet ID • TCP sequence number • More … (up to 20)

RT Signatures

4

Slide 19

NBA - Fuzzy logika

Flash crowd Z-axis

Attack Degree axis

Attack area

Decision Engine

X-axis

Suspicious area

Normal adapted area

Normal TCP flags ratio

Attack Degree = 5 (Normal- Suspect)

Y-axis

Abnormal rate of Syn packets

Slide2020 Slide

Mitigation Performance (DME)

Flood Packet Rate (Millions)

12 10 8 6 4 2 0 0

5 10 Legitimate HTTP Traffic (Gbit/s)

15

Slide 21

Aplikační DoS útoky

Ochrana před aplikačními DoS útoky

Ochrana v reálném čase před: – Botnet / přímé útoky typu: – HTTP GET – HTTP POST – DNS dotazy (A, MX, PTR,…) – atd.

Pokročilá analýza: – Obousměrné statistiky HTTP serverů – DNS statistiky

Slide 23

HTTP Mitigator

Behaviorální analýza & generováni signatur DoS & DDoS

Inputs Public Network

- Network - Servers - Clients

Inbound Traffic

Application level threats Zero-Minute malware propagation

Behavioral Analysis

Real-Time Signature Inspection Module

Outbound Traffic Enterprise Network

Closed Feedback

Real-Time Signature Generation

Abnormal Activity Detection

Optimize Signature Remove when attack is over Slide 25

Příklad: HTTP Flood

IRC Server HTTP Bot Statické signatury (Infected host) - Požadavky na server jsou legitimní = nelze takto

detekovat - Connection limit against high volume attacks

BOT Command


Typicky nereflektuje na kterou stránku se útočí
Blokování legitimního provozu
Vysoká míra HTTP Bot „false-positives“ (Infected host)

Misuse of Service Resources

Internet

Attacker

Public Web Servers HTTP Bot (Infected host)

HTTP Bot (Infected host)

Slide 26

Real-Time Signatury – cílená ochrana Case: HTTP Page Flood Attack Statistický model chování(1) IRC Server HTTP Bot

 Statistika (Infected přístupu host)ke stránkám

BOT Command

Real Time Signatura:
Blokování pouze provozu útočníků na konkrétní HTTP Bot stránky (Infected host) Internet

Misuse of Service Resources

Attacker

Odchylka chování od statistického modelu(2)  Identifikace podezřelého chování uživatelů Příklad: HTTP Bot - Běžný uživatel prochází několik stránek během spojení (Infected host) - Útočník prochází velké mmnožství stránek během spojení

Public Web Servers

HTTP Bot (Infected host)

Slide 27

Real-Time Signatura = nulové „false positives“ Příklad Statistický model chování(1)  Statistika přístupu ke stránkám Legitimate User

Nejedná se o útok  Real-time signatura není generována  Uživatelé nejsou blokování Legitimate User

Internet

Odchylka detekována(2)  Pouze nárust počtu spojení, chování spojení však bez Legitimate User odchylek

Public Web Servers

Legitimate User Slide 28

Challenge/Response Botnet is identified (suspicious sources are marked)

Attack Detection

Real-Time “Light” “Strong” Signature Created Challenge Actions Challenge Action

Selective Rate-limit

?

?

X

X

TCP Challenge 302 Redirect Challenge Java Script Challenge RT Signature blocking

Behavioral Real-time Signature Technology

Challenge/Response Technology

Real-time Signature Blocking

Uzavřená smyčka Slide 29

AMS - co nabízí

Detekce útoku

Real-time signatura

Challenge

Druhý challenge

Blokování

• Kombinace více bezpečnostních technologií – Ochrana před síťovými a aplikačními útoky – Ochrana před známými i neznámými (zero-day) útoky

• QoE – Prakticky nulové „false-positive „ – Granulární konfigurace, kombinace více metod blokování, real-time monitroing i dloudobý reporting

• TCO – Automatické generování signatur, bez nutnosti zásahu administrátora

Slide 30

DNS Mitigator

Statistický model DNS provozu Vektor útoku DNS dotazy – jejich rozložení Četnost dotazů per typ dotazu DNS QPS MX records

‘A’ records base line A records ‘MX’ records base line

TEXT records PTR records Other records

‘PTR’ records… ‘AAAA’ records…

AAAA records

Time

Slide 32

Behavorální analýza DNS provozu DNS dotazy – jejich rozložení

Četnost dotazů DNS QPS

MX records

A records base line A records

MX records base line

TEXT records

PTR records…

PTR records Other records

AAAA records…

AAAA records

Time

DoA per typ dotazu

Fuzzy Logic Inference System

Normal

Attack Suspect

Slide 33

Counter Attacks

Mobile LOIC Attack traffic is dropped and connection is reset

Slide 35

Mobile LOIC Attack traffic is dropped and source is suspended

Slide 36

SOC a ERT služby

Radware AMS & ERT/SOC

• Security Operations Center (SOC) – Pravidelné update signatur každý týden a kritické updaty okamžitě – 24 x 7, znalost sdílená celosvětově

• Emergency Response Team (ERT) – 24x7 služba pro zákazníky pod útokem – Eliminace DoS/DDoS útotů, předejití škodám

Slide 38

Reporty - PCI, HIPAA, ... Compliance Reports PCI DSS FISMA GLBA HIPPA

Slide 39

Patenty a certifikace Vlastní patenty v oblasti ochrany

Nově (!): EAL 4+ Slide 40

Radware řešení DefensePro Výkonný hardware AppWall Web Application Firewall (WAF)

APSolute Vision Management, monitoring a reporting

Slide 41

Reference

Příklady: E-Commerce:

2xMoinsCher.com

Online prodej: G-Market Vládní organizace: Turecká vláda ISP: M-Soft (Jihlava)

1000+ instalací – operátoři, ISP, finanční sektor, podniková sféra, vládní organizace

Slide 42

Závěr

Shrnutí • Více vektorů útoků – Uživatele nasazují více řešení – Útočníci využivají „mezer“ mezi neintegrovanými produkty

• Attack Mitigation System (AMS): – Ochrana před APT (Advanced Persistent Threat = dlouhodobé „kampaně“) – Integrované řešení / korelace mezi jednotlivými metodami

• Řešení pro – Online aplikace – Datová centra, hosting, cloud – Poskytovale internetu

Slide 44

Thank You www.radware.com