Obrana proti DDoS útokům na úrovni datových center www.huawei.com
Tomáš Zloch
[email protected]
HUAWEI TECHNOLOGIES CO., LTD.
Zdroje DDoS útoků
Internet
Hacker
IDC HledánízranitelnostiZískání přístupových údajů Získání kontrolyInstalce Trojského koněPříprava zadních vrátek Útok na DC
HUAWEI TECHNOLOGIES CO., LTD.
Zombie
Huawei Confidential
Page 2
Kdo je cílem?
Zdroj: www.ciberdin.com
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 3
Typické DoS útoky •
SYN flood: Cílem je router nebo aplikace/server využívající TCP
•
UDP flood: Cílem je linka – vyčerpání šířky pásma
•
ICMP flood: Cílem je jakékoliv L3 zařízení a linka
•
IP Fragment flood: Útok na všechny síťová zařízení pomocí velkých paketů (ping of death)
•
HTTP flood: Cílem jsou webservery – vyčerpat jejich zdroje
•
DNS Query flood: Cílem jsou DNS server – vyčerpání jejich zdrojů
Rozložení útoku – podle počtu paketů Case1
Case2
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 4
Co je výsledkem útoku? Uživatelé/poskytovatelé: - nedostupnost služby pro zákazníka či omezení uživatelské příjemnosti - finanční ztráty pro poskytovatele služby
Šířka pasmá
Šířka pásma
Ohrožení služby Ohrožení služby Ohrožení služby
DC
Online služba
HUAWEI TECHNOLOGIES CO., LTD.
Společnost
Huawei Confidential
Operátoři: - přetížení linek - nutnost navýšení přenosových kapacit a povýšení zařízení - permanentní přenos DDoS útoků - Poskytováníkonektivity pro DC - Zdroj zombie
Page 5
Sumarizace • Oběti: Datová centra (cloud) a operátorské sítě • Operátorské sítě přenáší DDoS útoky a dochází k vyčerpání šířky pásma • Uživatelé trpí nedostupností služeb
• Řešení? Nasazení AntiDDoS na vstupu do sítě/DC Problém: umíme vyčistit xGbit provozu?
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 6
AntiDDoS řešení pro DC/Carrier
Management Center
Policy Cooperation
Device Management Policy Management Report Presentation
Control Cooperation
Detecting Result
Cleaning Center
Detection Center
Specialized Traffic Cleaning Device
Specialized Traffic Analysis Device
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 7
Ochrana Datových center Nasazenív offline módu 1. Monitorováníprovozu Spliting Mirroring 2. Dynamické vydělení provozu BGP/Source based routing 3. Vyčištění provozu 4. Vložení čistého provozu L2 Source based routing MPLS VPN Static GRE
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 8
Procesnímodel AntiDDoS v offline modelu Nadřazená sít
2 Detekčnín centrum najde anomálie v provozu (reakce do 2s)
1 Síť je pod útokem docházík vyčerpání šířky pásma a nedostupnosti služeb
3 Odhalenícíle a zdroje a export logů do ATIC centra
Detecting Center BGP
Management Center
Cleaning Center 5 Přesměrování provozu z páteřních routerů pomocí BGP rout
Chráněná síť
6 Vrácení vyčištěného provozu PBR, MPLS VPN,MPLS LSP,GRE.
4 Vytvoření vydělovacích politik a poslánído cleaning centra 7 Report logů o vyčištěném provozu do ATIC centra pro budoucístatistiky.
Mirrored/Optically Split Traffic Traffic Logs Cleaning Logs Capture Packets Management Traffic Pre-Cleaning Traffic Post-Cleaning Traffic
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 9
Inline ochrana sítí(MAN) Čištění obousměrného provozu Bypass karta pro případ výpadku Nasazení v sítích menšího rozsahu
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 10
3 úrovně filtrace První úroveň Ochrana založena na fyzických rozhraních
SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding TCP Abnormal Flooding HTTP Flooding DNS Request Flooding DNS Reply Flooding ICMP Flooding
Třetí úroveň
Druhá úroveň – využití DPI Ochrana založena na službách
SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding IP Fragment Flooding TCP Abnormal Flooding HTTP Flooding CC HTTPS Flooding DNS Request Flooding DNS Reply Flooding DNS Amplification Attacks DNS Cache Poisoning Attack HTTP Hijacking UDP Flooding ICMP Flooding SSL-DoS SSL-DDoS
HUAWEI TECHNOLOGIES CO., LTD.
Ochrana založena na hostech (cílové IP)
Ochrana založena na skupinách (skupina cílových IP)
SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding IP Fragment Flooding TCP Abnormal Flooding HTTP Flooding CC HTTPS Flooding DNS Request Flooding DNS Reply Flooding DNS Amplification Attacks DNS Cache-Poisoning Attack HTTP Hijacking UDP Flooding ICMP Flooding SSL-DoS SSL-DDoS
SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding DNS Request Flooding DNS Reply Flooding
Huawei Confidential
Page 11
Ochrana založena na zdrojových IP
SYN Flooding SYN-ACK Flooding ACK Flooding FIN Flooding RST Flooding TCP Fragment Flooding TCP Abnormal Flooding DNS Flooding
Dynamické učení Základem AntiDDoS řešení jsou limity – Jak je nastavit?
1. Dynamické učení služeb = učení limitů na základě běžného zatížení služeb/aplikací (TCP/UDP port)
2. Dynamické učení provozu = učení zátížení linky/zóny Static traffic baseline Dynamic traffic baseline
Traffic Time
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 12
Čištění v provozu
Malformated Packets Filtering
Featurebased Filtering
Transport Layerbased Source Authentication
Application Layerbased Source Authentication
Sessionbased Defense
Behavior Analysis
Traffic Shaping
Step 1,Malformated Packets Filtering: Filtering malformed packets by protocol stack hole and special control packets. Step 2,Feature-based Filtering: Regardless of Zones, global static filtering is implemented. First, packet content-based static filtering is performed for defending against connectionless attacks, such as UDP Flooding, DNS Flooding, and ICMP Flooding. Then static filtering is performed based on blacklists and white lists. Step3, Transport Layer-based Source Authentication: This layer can defend against spoofed source attacks. Such as SYN Flooding, ACK Flooding, SYN-ACK Flooding. Step4, Application Layer-based Source Authentication: This layer can defend against spoofed source attacks and the bonnet's attacks. Such as DNS Query Flooding, DNS Reply Flooding, HTTP Flooding, HTTS Flooding, SIP Flooding. Step5, Session-based Defense : This layer can defend against RST Flooding, FIN Flooding, TCP Connection Flooding, TCP Slow-Start Attack, TCP Retransmission Attack, TCP NULL Connection Attack, DNS ID Spoofing, DNS Cache Poisoning, DNS Reflection Attack, SSLDoS, SSL-DDoS. Step 6, Behavior Analysis : The attack is always fixed frequency and fixed destination. The system provides monitoring the domain name query, offers the domain name query baseline, check the attacks based on the baseline. Step 7, Traffic Shaping: If the traffic is still heavy and exceeds the actual bandwidth of users after previous steps, traffic shaping is used to ensure available network bandwidths.
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 13
Příklady obrany proti vybraným útokům
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 14
Obrana proti SYN útokům Založeno na autentizaci zdroje
SYN Flood Traffic
Anti-DDoS Device
WEB Server Client: SYN Cleaning Center : SYN+ACK with error ACK sequence Client: RST
User
Following Request will pass Attacker: SYN Cleaning Center : SYN+ACK with error ACK sequence
Anti-DDoS Device WEB Server
Bot HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 15
Obrana proti TCP flood z reálných zdrojových IP Založena na dynamickém účení limitů z daných adres
•
Obrana může selhat pokud zdrojová IP adresa existuje.... (útočník odpoví)
•
Kontrola frekvence TCP paketů z daného zdroje, hledání nelegálních dotazů a tvorba blacklistů...
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 16
Obrana proti DNS query flood na DNS cache server Založeno na autentizaci zdroje Anti-DDoS Device DNS Query Traffic
DNS Cache Server
DNS Query : www.google.com (UDP) DNS Reply : re-send with tcp please DNS Query : www.google.com (TCP)
DNS Query : www.google.com (UDP)
DNS Reply : 200.72.x.x (TCP)
User
DNS Reply : 200.72.x.x (UDP)
Following Query Request will pass DNS Query : www.google.com (UDP)
Anti-DDoS Device
DNS Cache Serve
DNS Reply : re-send with tcp please
Bot HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 17
Ochrana proti DNS cache poisoning Založeno na kontrole spojení
DNS Reply : 200.72.x.x
Check the Session Table, if hit, forward
Use r
DNS Query : abc.baidu.com More DNS Reply : 200.72.x.x Check the Session Table, if no hit, delete the session immediately
Anti-DDoS Device
Bot
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 19
DNS Cache Server
Sumarizace ochrany DNS služby •
Možnost nasazeni v ofline i online módu
•
Podpora ochrany proti DNS query flood na DNS cache server a DNS authoritative server.
•
Podpora dynamické cache
•
Použítí důvěryhodnosti zdrojů pro omezení prodlevy pro VIP služby
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 21
Zařízení...
Model Defense
AntiDDoS1000
AntiDDoS8030
AntiDDoS8080
AntiDDoS8160
5 Gbit/s (3 Mpps)
20 Gbit/s (15 Mpps)
<= 2s
<= 2s
<= 2s
<= 2s
4 x GE (RJ45)+4 x GE (combo)
N/A
2 x FIC
Up to 16 expansion slots housing LPUs and anti-DDoS SPUs
2 x 10GE (optical) 2 x 10GE (optical)+8 x GE (electrical) 8 x GE (optical) 8 x GE (electrical) 4 x GE bypass interface card (electrical) Dual-link LC/UPC multi-mode bypass interface card (optical) Dual-link LC/UPC single-mode bypass interface card (optical)
Ethernet interface: 1 x 10GE (XFP) 2 x 10GE (XFP) 12 x GE (SFP/RJ45) 20 x GE (SFP) POS interface: 1 x OC192 (XFP)SS
performance Attack response latency Default interface Expansion slot Interface/Expansio
n interface
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 22
Co AntiDDoS dokáže zastavit... Comprehensive Attack Defense
Aplikace
Provoz • • • • • • • •
SYN flood ACK flood SYN-ACK flood FIN/RST flood TCP fragment flood UDP flood UDP fragment flood ICMP flood
• • • • • • • • • • • • • • • •
DNS query flood DNS reply flood DNS cache poisoning DNS reflection TCP connection flood TCP low-rate connection Sockstress HTTP flood CC HTTP retransmission HTTP slow headers HTTP slow post Web application threat SIP flood HTTPS flood SSL DoS/DDoS
HUAWEI TECHNOLOGIES CO., LTD.
Skanovánía sniffing • • • •
Port scanning IP scanning Tracert IP source routing packet control • IP routing record packet control
Huawei Confidential
Zranitelnosti • • • • • • • • • • • •
IP Spoofing Land Fraggle WinNuke Ping of Death Tear Drop Smurf IP option Large ICMP DNS vulnerabilities Fast-Flux Zombies/Worms/Trojan horses
Vlastnosti protoklů • ICMP redirection packet • ICMP unreachable packet • IP timestamp packet control
Děkuji za pozornost enterprise.huawei.com
Copyright©2008 Huawei Technologies Co., Ltd. All Rights Reserved. The information contained in this document is for reference purpose only, and is subject to change or withdrawal according to specific customer requirements and conditions.