DDoS – Estrategias de Defensa Contra Ataques Multivector · Cualquier tráfico no deseado...
Transcript of DDoS – Estrategias de Defensa Contra Ataques Multivector · Cualquier tráfico no deseado...
Reliable Security Always™
DDoS – Estrategias de Defensa Contra Ataques Multivector
Patricio Rodríguez, [email protected] Senior Systems Engineer SOLA
Proliferación de Aplicaciones…
50 B i l l one s D i spo s i t i v o s c one c t ado s a I n t e r n e t pa r a 2 020
6 . 1 B i l l one s Usua r i o s d e Smar t phone s pa r a 2 020
Cyber Criminal
Empleado Molesto
Hacktivista Tech Geek Gamer
Muchos Tipos de ”Amigos” Indeseados
Mundo DoS y DDoS
1. Clientes necesitan saber cómo llegar, ya sea buscando dirección ó llamando
2. Clientes necesitan ingresar para conseguir su producto ó servicio
3. Clientes necesitan pagar por lo que adquieren
Ataque Amplificación
Ataque Volumétrico
Ataque Protocolos ó
Recursos
Ataque Amplificación Ataque basado en reflexión UDP como por ejemplo NTP, DNS, Memcashed Ataques geolocalizados Cualquier ataque no deseado de tráfico originado desde una region o geolocalizado Bots Cualquier tráfico no deseado proveniente de bots Desborde L7 Ataques de desbordes capa de aplicación como por ejemplo HTTP POST floods, DNS floods Recursos L7 Slow POST, R.U.D.Y, Slow READ y más Protocolo L7 Requerimientos de capa de aplicación con header malformados (HTTP/DNS), flags inválidos Recursos SSL Ataques renegociación SSL, SSL session floods Protocolo SSL POODLE, SSL/HTTPS requerimientos inválidos Recursos L4 SYN flood, TCP/UDP connection flood Protocolo L4 Opciones TCP incorrectas, secuencia inválida, tamaño de ventana reducida, paquetes fragmentados Volumétrico L3/L4 TCP flood (SYN, RST, ACK, FIN), ICMP flood, UDP flood Anomalía Protocolo TCP/UDP checksum inválido, TCP Null flag, XMAS flags, SYN&FIN flags Anomalía IP Header IP inválido, sin payload IP, LAND attack, paquetes corruptos
Ataques Multivector = Combinación diversos ataques Ataques DDoS Ejemplos
Proliferación de Ataques DDoS
Principales Amenazas DDoS a Nivel Mundial
Arriendo DDoS
Extorsión DDoS
Dark DDoS (Smokescreens)
IoT Botnets
Y Más…
Arriendo DDoS – Simple y a Bajo Costo
o Bajo costo, altamente efectivo
o cStress, InBoot, & vDOS
o “30 Gbps de Ancho de Banda Dedicado” & “Bots Ilimitado”
o Pagó en total casi: USD 700
o Fue procesado en Nov. 2017
Extorsión DDoS – Son una Realidad
o Pagarían a un extraño un rescate por USD100.000?
o DD4BC, Phantom squad, Armada Collective y varios otros – paguen el rescate ó sufrirán consecuencias
o Estamos bien preparados? No y sin recursos apropiados
Sept. 2017 y Feb 2018
Dark DDoS (smokescreen) – Distracción Efectiva
o Ataques para interrumpir y distraer servicios IT y equipos de seguridad
o Si no hay defensas preparadas el impacto se amplifica
o Inmediatamente otros ataques paralelos se lanzan para, por ejemplo, propósitos financieros
IOT Grupos Botnet
o Dispositivos IOT más elaborados propician ataques que incrementan el costo de protección
o Redes como Mirai y Reaper ◦ Gran escala de ataque multivector
◦ Ataques de más de 1 Tbps y más de 500,000 dispositivos
o Ataques de amplificación y de servicios Cloud ◦ Memcached UDP 11211 (Github), ataque de 1.3
Tbps y 126M PPS (Feb. 2018). El más grande registrado a la fecha
UDP Random Flood Floods random victim domain endpoints with spoofed UDP packets.
UDP Data Flood Selects random victim domain endpoints & floods them with UDP packets & IP fragments.
TCP SYN Flood Floods random victim domain endpoints with spoofed TCP SYN packets.
TCP ACK Flood Floods random victim domain endpoints with spoofed TCP ACK packets.
TCP STOMP (Data)
Flood Intended to overcome DDoS mitigations; connects to random victim domain endpoints & floods them with TCP data.
HTTP Request Flood Intended to overcome DDoS mitigations; connects to random HTTP endpoints in the victim’s domain & floods them
with HTTP requests.
DNS Water Torture
Attack
Floods ISP recursive DNS servers with randomized queries to a victim base domain name, causing the ISP DNS servers
to perform the attack on the victim’s authoritative DNS servers. As victim DNS servers become overloaded, the ISP
DNS servers retransmit attack queries to other authoritative DNS servers in the victim’s enterprise.
Valve Gaming Server
Attack Floods random Valve streaming engine endpoints in the victim’s domain with spoofed source-engine query packets.
GRE IP/Ethernet Floods Floods random victim domain endpoints with spoofed GRE IP or IP-over-Ethernet-tunneled UDP packets.
4 Pilares Fundamentales para una Defensa DDoS
EFICIENCIA EN FLUJO DE CONTINGENCIA
Combatir las limitaciones de personal en forma efectiva y
eficiente (automatización)
PRECISION
Evitar detecciones de alto costo y errores en la mitigación
ESCALABILIDAD
Optimizar las inversiones en el corto plazo y protegerlas en el
largo plazo
ABORDABLE
Soluciones que tengan sentido económicamente en
base a performance
¿Por Qué es Importante la Precisión?
o Prevenir caídas y daños a la imagen ◦ #1 Sistema debe estar disponible para usuarios
legítimos
◦ #2 Proteger sistemas de estar sobrepasados
o Detección costosas y mitigación de errores deben ser efectivas ◦ Falsos positivos – bloquean usuarios legítimos
Falsos negativos – ataques llevados a cabo
POR QUÉ A10 • Reputación ganada por proteger 8/10 de
los top video games • POC exitosos • Se trabaja de la mano con los clientes
para seleccionar partner correcto • Conocido el precio en base a
performance
DESAFÍO COMPAÑÍA TOP DE GAMING • Erosión en la confianza debido a
ataques, caídas en las noticias • Ataques rápidos y fácilmente hacían
caer servicios
PRECISION
13
Seguridad con A10 a una Escala Impresionante! ESCALABILIDAD
135,000,000 USUARIOS 6,000,000 ORGANIZACIONES 48,000,000 USUARIOS
Poderío de Thunder TPS
U
nida
des
de R
ack
A10
Thunder 14045 TPS 440 Mpps, 3 RU
Competencia 440 Mpps, 66 RU
15 x costo
Competencia
ESCALABILIDAD
Recursos de Contingencia No Son Ilimitados
o Productos legados DDoS requieren intervención manual
o Automatización mejora la efectividad de la primera línea de frontera
o Expertise de terceras partes es necesario cuando se está bajo ataque
POR QUÉ A10 • Mejor performance • Solución completa e integral • “… estamos capturando muchos ataques pequeños
que antes no visualizábamos” • “ El número de ataques que requieren intervención
manual han disminuido notablemente de cuando mitigábamos con la competencia”
DESAFÍO PROVEEDOR TOP DE HOSTING
• Competencia en end-of-service
• Ofrecer a sus cliente servicio clean-pipes
• Mejorar la visibilidad y reportería
EFICIENCIA FLUJO
CONTINGENCIA
16
Amenazas DDoS Pueden Ser Monitoreadas EFICIENCIA FLUJO
CONTINGENCIA
Servicio Cloud Ante Amenazas DDoS
Dynamic Threat Intelligence Updates
Lista Reputación
Elementos Dañinos Honeypots
Lista Malware
Dshield Abuse.ch
Shadowserver More...
Thunder TPS
Thunder TPS
Thunder TPS
Thunder TPS
• Bloqueo de elementos dañinos en forma
proactiva en base a una inteligencia global ◦ DDoS Critical ~1M records, activos últimas 24 horas ◦ DDoS Drones ~1M records, e.g. Mirai, Reaper
IOTrooper & otros endpoints botnet ◦ DDoS NTP ~3.5M records ◦ DDoS SNMP ~5.5M records ◦ DDoS Open Resolvers ~3.5M records ◦ DDoS SSDP ~4.5M records
Abordable – La Inversión $$$ Importa
o Reducir el número de dispositivos para defensa DDoS disminuye los costos
o Reducir el gasto en dispositivos periféricos y firewalls que no son de propósito específico DDoS
o Simplificar la gestion y maximizar el staff ó personal
Uni
dade
s Rac
k
Thunder TPS 6435
155 Gbps 223 Mpps, 1 RU
160 Gbps 160 Mpps, 24 RU
Competencia
Proveedor servicios cloud reduce footprint data center, CAPEX & OPEX
ABORDABLE
80+ dispositivos, 26 data centers, $2.5M+ ahorro por site, 80%+ ahorro por soporte
Clean-Pipe vs On-Premise
Ataque Amplificación Ataques geolocalizados Bots Desborde L7 Recursos L7 Protocolo L7 Recursos SSL Procolo SSL Recursos L4 Protocolo L4 Volumétrico L3/L4 Anomalía Protocolo Anomalía IP
IPv4 / IPv6 Paridad de Funciones
A10 TPS Solución
Integral
Clean-Pipe
Clean-Pipe
Protección On-Premises
Proteger sus usuarios de un efecto colateral Los ataques han evolucionado,
los ataques multivectores llegaron para quedarse Servicios Cloud Scrubbing son
esenciales para defensa volumétrica, no son una panacea
Ataques vienen en diferentes formas y tamaños, hay que pensar
en defensas híbridas
Cuando el ataque DDoS está en curso hay que velar por otras
amenazas de seguridad
Ataques son inevitables, contar con
elementos y un plan de mitigación disponibles
Principales Mensajes Para Recordar