Metody%20identyfikacji%20oraz%20przeciwdzialania%20atakom%20DDoS

1
Ataki Distributed Denial of Service w sieciach
WAN Tomasz Grabowski (cadence_at_man.szczecin.pl
)
2
Atak Distributed Denial of Service

• przesylanie olbrzymiej ilosci danych i/lub
  pakietów do atakowanej sieci
• odbywa sie z wielu (od kilku do kilku tysiecy)
  komputerów jednoczesnie
• adresy atakujacych komputerów sa nieprawdziwe

3
Atak Distributed Denial of Service
4
Efekty atakuDistributed Denial of Service
5
Efekty atakuDistributed Denial of Service

• spadek wydajnosci sieci
• utrata dostepu do Internetu
• calkowite sparalizowanie dzialania sieci

6
Straty z powodu ataków DDoS

• utrata wiarygodnosci firmy
• niebezpieczenstwo wykorzystania faktu, ze
  atakowana siec jest niedostepna dla innych
  komputerów w Internecie
• straty finansowe kilkugodzinne przerwy w
  dzialaniu takich serwisów jak Yahoo, Amazon czy
  eBay kosztowaly kilkadziesiat milionów dolarów

7
Tworzenie sieci DDoS

• zdobywanie kontroli nad komputerami za pomoca
  wyspecjalizowanych narzedzi
• bardzo duza szybkosc tworzenia sieci DDoS
• nie jest wymagana zadna fachowa wiedza
• geograficzne polozenie komputerów ma znaczenie

8
Obrona przed atakami DDoS

• aktualizacja aplikacji oraz systemu
• wykorzystanie oprogramowania personal firewall
• okresowy audyt zabezpieczen systemu
• analiza pakietów wychodzacych z sieci
• filtrowanie adresów nierutowalnych
• wykorzystywanie systemów IDS
• blokowanie pakietów z adresem broadcast

9
Obrona przed atakami DDoS

• IP Traceback
• znakowanie losowych pakietów
• umozliwia ofierze namierzenie zródla ataku
• przyklad ICMP Traceback
• Pushback
• ograniczanie ruchu na routerach posredniczacych
• powiadamia routerów posredniczacych w ataku
• Koniecznosc zmiany oprogramowania na routerach

10
Obrona przed atakami DDoS

• Rozwiazania sprzetowe
• Proventia (Internet Security Systems)
• Attack Mitigator IPS 5500 (Top Layer)
• Peakflow SP / X (Arbor Network)
• Guard XT / Detector XT (Riverhead Networks)

11
Obrona przed atakami DDoS

• Rozwiazania sprzetowe
• Wykrywanie anomalii w ruchu
• Wykrywanie znanych ataków
• Blokowanie ruchu zwiazanego z atakiem
• Koniecznosc nadzoru przez operatora

12
Obrona przed atakami DDoS

• Rozwiazania sprzetowe
• Podstawowy problem
• Jesli sumaryczna ilosc danych badz pakietów,
  przesylanych podczas ataku przekracza mozliwosci
  glównego lacza lub wydajnosc glównego routera, to
  ataku nie da sie powstrzymac.

13
Obrona przed atakami DDoS

• Rozwiazania manualne
• Sledzenie wykorzystania laczy
• Sprawdzanie wydajnosci sieci
• Monitorowanie poszczególnych urzadzen
• Wspólpraca pomiedzy administratorami sieci
• JENNIE oprogramowanie do wspomagania manualnego
  wykrywania ataków DDoS

14
Obrona przed atakami DDoS

• GEANT
• PIONIER
• AMSK Szczecin
• Politechnika Szczecinska
• Wydzial Informatyki
• Sala laboratoryjna nr 10
• Komputer XXX.XXX.XXX.XXX

15
Obrona przed atakami DDoS

• Najczestsze cechy ataków
• Na konkretny adres IP
• Z kilkudziesieciu zródlowych adresów IP
• Niewiele cech losowych
• Ruch rzadko przekracza 200 Mbps
• Najdluzsze ataki trwaja kilka godzin
• Zwykle ofiara w jakis sposób zawinila (np.
  wojny na IRC)

16
Obrona przed atakami DDoS

• Ataki DDoS nie stanowia powaznego problemu w
  sieci PIONIER
• Duza przepustowosc laczy
• Dobra wspólpraca administratorów
• czas reakcji to kilkadziesiat minut
• Filtry uniemozliwiajace spoofowanie

17
Obrona przed atakami DDoS

• Nie ma skutecznej obrony przeciwko
  atakomDistributed Denial of Service

18
Rady dla firm

• W przypadku malych sieci, zlozonych z kilkuset
  lub mniejszej ilosci komputerów.
• Instalacja prostego oprogramowania do zbierania
  statystyk (np. MRTG)
• Filtry uniemozliwiajace spoofowanie
• Odpowiednie umowy z ISP
• Dobór urzadzen z wysokim parametrem PPS (packets
  per second)

19
Rady dla firm

• Parametr PPS (packets per second)
• Podczas ataku DDoS
• 1 pakiet 40 bajtów.
• 10 Mbps 30.000 PPS
• 100 Mbps 300.000 PPS
• 1000 Mbps 3.000.000 PPS

Wedlug producentów 1 pakiet od 200 do 1600
bajtów
20
Rady dla firm

• W przypadku duzych sieci, zlozonych z kilkuset
  lub wiekszej ilosci komputerów.
• Wszystko to, co w przypadku malych sieci, a
  dodatkowo
• sprawdzenie metod obrony ISP przed atakami DDoS
• zaawansowane oprogramowanie do zarzadzania siecia
• rozwiazania sprzetowe (w uzasadnionych
  przypadkach)
• zapasowe lacze z Internetem
• awaryjna konfiguracja DNS

21
Dziekuje za uwage