Reliable Security Always™

DDoS – Estrategias de Defensa Contra Ataques Multivector

Patricio Rodríguez, prodriguez@a10networks.com Senior Systems Engineer SOLA

Proliferación de Aplicaciones…

50 B i l l one s D i spo s i t i v o s c one c t ado s a I n t e r n e t pa r a 2 020

6 . 1 B i l l one s Usua r i o s d e Smar t phone s pa r a 2 020

Cyber Criminal

Empleado Molesto

Hacktivista Tech Geek Gamer

Muchos Tipos de ”Amigos” Indeseados

Mundo DoS y DDoS

1. Clientes necesitan saber cómo llegar, ya sea buscando dirección ó llamando

2. Clientes necesitan ingresar para conseguir su producto ó servicio

3. Clientes necesitan pagar por lo que adquieren

Ataque Amplificación

Ataque Volumétrico

Ataque Protocolos ó

Recursos

Ataque Amplificación Ataque basado en reflexión UDP como por ejemplo NTP, DNS, Memcashed Ataques geolocalizados Cualquier ataque no deseado de tráfico originado desde una region o geolocalizado Bots Cualquier tráfico no deseado proveniente de bots Desborde L7 Ataques de desbordes capa de aplicación como por ejemplo HTTP POST floods, DNS floods Recursos L7 Slow POST, R.U.D.Y, Slow READ y más Protocolo L7 Requerimientos de capa de aplicación con header malformados (HTTP/DNS), flags inválidos Recursos SSL Ataques renegociación SSL, SSL session floods Protocolo SSL POODLE, SSL/HTTPS requerimientos inválidos Recursos L4 SYN flood, TCP/UDP connection flood Protocolo L4 Opciones TCP incorrectas, secuencia inválida, tamaño de ventana reducida, paquetes fragmentados Volumétrico L3/L4 TCP flood (SYN, RST, ACK, FIN), ICMP flood, UDP flood Anomalía Protocolo TCP/UDP checksum inválido, TCP Null flag, XMAS flags, SYN&FIN flags Anomalía IP Header IP inválido, sin payload IP, LAND attack, paquetes corruptos

Ataques Multivector = Combinación diversos ataques Ataques DDoS Ejemplos

Proliferación de Ataques DDoS

Principales Amenazas DDoS a Nivel Mundial

Arriendo DDoS

Extorsión DDoS

Dark DDoS (Smokescreens)

IoT Botnets

Y Más…

Arriendo DDoS – Simple y a Bajo Costo

o Bajo costo, altamente efectivo

o cStress, InBoot, & vDOS

o “30 Gbps de Ancho de Banda Dedicado” & “Bots Ilimitado”

o Pagó en total casi: USD 700

o Fue procesado en Nov. 2017

Extorsión DDoS – Son una Realidad

o Pagarían a un extraño un rescate por USD100.000?

o DD4BC, Phantom squad, Armada Collective y varios otros – paguen el rescate ó sufrirán consecuencias

o Estamos bien preparados? No y sin recursos apropiados

Sept. 2017 y Feb 2018

Dark DDoS (smokescreen) – Distracción Efectiva

o Ataques para interrumpir y distraer servicios IT y equipos de seguridad

o Si no hay defensas preparadas el impacto se amplifica

o Inmediatamente otros ataques paralelos se lanzan para, por ejemplo, propósitos financieros

IOT Grupos Botnet

o Dispositivos IOT más elaborados propician ataques que incrementan el costo de protección

o Redes como Mirai y Reaper ◦ Gran escala de ataque multivector

◦ Ataques de más de 1 Tbps y más de 500,000 dispositivos

o Ataques de amplificación y de servicios Cloud ◦ Memcached UDP 11211 (Github), ataque de 1.3

Tbps y 126M PPS (Feb. 2018). El más grande registrado a la fecha

UDP Random Flood Floods random victim domain endpoints with spoofed UDP packets.

UDP Data Flood Selects random victim domain endpoints & floods them with UDP packets & IP fragments.

TCP SYN Flood Floods random victim domain endpoints with spoofed TCP SYN packets.

TCP ACK Flood Floods random victim domain endpoints with spoofed TCP ACK packets.

TCP STOMP (Data)

Flood Intended to overcome DDoS mitigations; connects to random victim domain endpoints & floods them with TCP data.

HTTP Request Flood Intended to overcome DDoS mitigations; connects to random HTTP endpoints in the victim’s domain & floods them

with HTTP requests.

DNS Water Torture

Attack

Floods ISP recursive DNS servers with randomized queries to a victim base domain name, causing the ISP DNS servers

to perform the attack on the victim’s authoritative DNS servers. As victim DNS servers become overloaded, the ISP

DNS servers retransmit attack queries to other authoritative DNS servers in the victim’s enterprise.

Valve Gaming Server

Attack Floods random Valve streaming engine endpoints in the victim’s domain with spoofed source-engine query packets.

GRE IP/Ethernet Floods Floods random victim domain endpoints with spoofed GRE IP or IP-over-Ethernet-tunneled UDP packets.

4 Pilares Fundamentales para una Defensa DDoS

EFICIENCIA EN FLUJO DE CONTINGENCIA

Combatir las limitaciones de personal en forma efectiva y

eficiente (automatización)

PRECISION

Evitar detecciones de alto costo y errores en la mitigación

ESCALABILIDAD

Optimizar las inversiones en el corto plazo y protegerlas en el

largo plazo

ABORDABLE

Soluciones que tengan sentido económicamente en

base a performance

¿Por Qué es Importante la Precisión?

o Prevenir caídas y daños a la imagen ◦ #1 Sistema debe estar disponible para usuarios

legítimos

◦ #2 Proteger sistemas de estar sobrepasados

o Detección costosas y mitigación de errores deben ser efectivas ◦ Falsos positivos – bloquean usuarios legítimos

Falsos negativos – ataques llevados a cabo

POR QUÉ A10 • Reputación ganada por proteger 8/10 de

los top video games • POC exitosos • Se trabaja de la mano con los clientes

para seleccionar partner correcto • Conocido el precio en base a

performance

DESAFÍO COMPAÑÍA TOP DE GAMING • Erosión en la confianza debido a

ataques, caídas en las noticias • Ataques rápidos y fácilmente hacían

caer servicios

PRECISION

13

Seguridad con A10 a una Escala Impresionante! ESCALABILIDAD

135,000,000 USUARIOS 6,000,000 ORGANIZACIONES 48,000,000 USUARIOS

Poderío de Thunder TPS

U

nida

des

de R

ack

A10

Thunder 14045 TPS 440 Mpps, 3 RU

Competencia 440 Mpps, 66 RU

15 x costo

Competencia

ESCALABILIDAD

Recursos de Contingencia No Son Ilimitados

o Productos legados DDoS requieren intervención manual

o Automatización mejora la efectividad de la primera línea de frontera

o Expertise de terceras partes es necesario cuando se está bajo ataque

POR QUÉ A10 • Mejor performance • Solución completa e integral • “… estamos capturando muchos ataques pequeños

que antes no visualizábamos” • “ El número de ataques que requieren intervención

manual han disminuido notablemente de cuando mitigábamos con la competencia”

DESAFÍO PROVEEDOR TOP DE HOSTING

• Competencia en end-of-service

• Ofrecer a sus cliente servicio clean-pipes

• Mejorar la visibilidad y reportería

EFICIENCIA FLUJO

CONTINGENCIA

16

Amenazas DDoS Pueden Ser Monitoreadas EFICIENCIA FLUJO

CONTINGENCIA

Servicio Cloud Ante Amenazas DDoS

Dynamic Threat Intelligence Updates

Lista Reputación

Elementos Dañinos Honeypots

Lista Malware

Dshield Abuse.ch

Shadowserver More...

Thunder TPS

Thunder TPS

Thunder TPS

Thunder TPS

• Bloqueo de elementos dañinos en forma

proactiva en base a una inteligencia global ◦ DDoS Critical ~1M records, activos últimas 24 horas ◦ DDoS Drones ~1M records, e.g. Mirai, Reaper

IOTrooper & otros endpoints botnet ◦ DDoS NTP ~3.5M records ◦ DDoS SNMP ~5.5M records ◦ DDoS Open Resolvers ~3.5M records ◦ DDoS SSDP ~4.5M records

Abordable – La Inversión $$$ Importa

o Reducir el número de dispositivos para defensa DDoS disminuye los costos

o Reducir el gasto en dispositivos periféricos y firewalls que no son de propósito específico DDoS

o Simplificar la gestion y maximizar el staff ó personal

Uni

dade

s Rac

k

Thunder TPS 6435

155 Gbps 223 Mpps, 1 RU

160 Gbps 160 Mpps, 24 RU

Competencia

Proveedor servicios cloud reduce footprint data center, CAPEX & OPEX

ABORDABLE

80+ dispositivos, 26 data centers, $2.5M+ ahorro por site, 80%+ ahorro por soporte

Clean-Pipe vs On-Premise

Ataque Amplificación Ataques geolocalizados Bots Desborde L7 Recursos L7 Protocolo L7 Recursos SSL Procolo SSL Recursos L4 Protocolo L4 Volumétrico L3/L4 Anomalía Protocolo Anomalía IP

IPv4 / IPv6 Paridad de Funciones

A10 TPS Solución

Integral

Clean-Pipe

Clean-Pipe

Protección On-Premises

Proteger sus usuarios de un efecto colateral Los ataques han evolucionado,

los ataques multivectores llegaron para quedarse Servicios Cloud Scrubbing son

esenciales para defensa volumétrica, no son una panacea

Ataques vienen en diferentes formas y tamaños, hay que pensar

en defensas híbridas

Cuando el ataque DDoS está en curso hay que velar por otras

amenazas de seguridad

Ataques son inevitables, contar con

elementos y un plan de mitigación disponibles

Principales Mensajes Para Recordar

Thank You

Reliable Security Always™

Gracias! prodriguez@a10networks.com rmoreno@a10networks.com