SlideShare uma empresa Scribd logo
1 de 31
Baixar para ler offline
Estratégias de Defesa Contra
Ataques de Negação de Serviço
GTS 26 – São Paulo/SP – 11/dez/2015
Gustavo Rodrigues Ramos
grramos@uoldiveo.com
Agenda
• Introdução
• Tipos de Ataques de Negação de Serviço
• Planejamento
• Detecção
• Contra-medida
Introdução
Definição
• Ataque de Negação de Serviço (Denial-of-
serice – DoS): Uma tentativa de
indisponibilizar um recurso ou serviço aos
seus usuários, tal como impossibilitar o acesso
à um website na Internet.
• Versão 2.0: Ataque de Negação de Serviço
Distribuído ou DDoS.
Ataque de Negação de
Serviço Distribuído (DDoS)
http://meu.servidor.com.br
Atacante Usuários
História: 2006
História: 2010
E atualmente em 2015
E atualmente em 2015
Na mídia
http://www.nytimes.com/2015/10/16/technology/ultradns-server-problem-pulls-down-websites-including-netflix-for-90-minutes.html?_r=0
http://www.team-cymru.org/graphs.html
OCTOBER 2015 NEUSTAR DDOS ATTACKS & PROTECTION
REPORT: NORTH AMERICA & EMEA
AKAMAI STATE OF THE INTERNET
SECURITY REPORT Q2-2015
http://map.norsecorp.com/v1/
Um dia comum na vida...
Principais Alvos: Setores
• Games
• Empresas de jogos
• Jogos on-line
• Internet, Tecnologia, Software, etc
• Lojas virtuais (e-commerce)
• Serviços Financeiros
Tipos de Ataques
Tipos de Ataques DoS e DDoS
• Mais visíveis versus “menos visíveis”
• Flood
– Consumo de banda / capacidade interface
• Protocol flood (ICMP, UDP, etc)
• Reflexão
– Consumo de recursos de sistemas / protocolos
• Syn Flood TCP
• Slowloris para HTTP
• Ataques DoS ao NDP IPv6
• DD4BC: DDoS 4 Bitcoin
– Mais informações: https://blog.arbornetworks.com/icymi-arbors-roland-
dobbins-nanog-presentation-on-the-dd4bc-extortion-campaign/
Ataques de Reflexão
• Principais protocolos e fator de multiplicação
– NTP (123/udp) – 556x
– DNS (53/udp) – 28 a 54x
– SSDP (1900/udp) – 30x
– RIPv1 (520/udp) – 131x
– SNMP (161/udp) – 6x
– Fonte: https://www.us-
cert.gov/ncas/alerts/TA14-017A
• IP Source Address Spoofing ou BCP38
– http://bcp.nic.br/
– https://www.routingmanifesto.org/
• Importância da definição de um bom
baseline para instalação de equipamentos.
– Atenção às configurações “de fábrica”.
Planejamento
Arquitetura do Sistema
• Uma botnet versus o seu firewall / servidor
– Identificar os serviços mais críticos
– Distribuir o controle do acesso
– Permitir o crescimento elástico e distribuído
• “Dividir para conquistar”
– Anycast
– CDN
– GSLB (Global Server Load-balance)
Endereçamento IP
• Planejar com margem para manobras:
– Separar alocações de infra-estrutura de alocações para clientes / serviços.
– Alocar os clientes ou serviços “especiais” em diferentes blocos /24.
• Servidores DNS autoritativos devem estar em /24 diferentes!
– “The name servers must be in at least two topologically separate networks. A
network is defined as an origin autonomous system in the BGP routing table.
The requirement is assessed through inspection of views of the BGP routing
table.” - https://www.iana.org/help/nameserver-requirements
– Alexa TOP 500 Brasil (440 websites)
• 0,61% possui apenas um servidor DNS autoritativo
• 26,82% possui 2 servidores DNS autoritativo
• 8,41% possuem todos os servidores DNS autoritativo em
um mesmo bloco /24
Links de Trânsito
• Antes de contratar o seu “link de Internet”:
– Avaliar a possibilidade de “on-demand” e planejar a interface física
para suportar upgrades com menor downtime (link-aggregation?).
– Contratação na modalidade 95-percentil.
– Communities BGP para Blackhole é obrigatório!
• Mesmo para peering?
– Communities BGP para controle de anúncios é recomendado.
– Avaliar a possibilidade de acordos comerciais ($$$) para a operadora
bloquear tráfego não desejado.
– Atenção ao contratar trânsito através de um ponto de troca de tráfego:
sempre implementar uma forma de controle para o tráfego do trânsito
não interferir no tráfego de peering.
Equipamentos
• Avaliar a capacidade de todos os equipamentos.
– “Meu roteador de US$ 500k está conectado em um switch de US$ 3k!!!”
• Atenção a capacidade dos sistemas em bps e pps.
• Ajustar parâmetros “default”:
– Desabilitar serviços que não são utilizados (!!!).
– Ajustar os parâmetros de limites do plano de controle (Cisco CoPP ou Juniper
DDoS protection ou ...).
– Ajustar o número máximo de sessões e proteções default (firewall).
– Parâmetros de kernel e CPU/NIC Affinity (servidores e firewalls).
– Mais informações: http://www.slideshare.net/securitysession/practical-steps-
to-mitigate-ddos-attacks
Detecção
Você só poderá detectar o que você pode ver!
• Visibilidade dos ativos (interna)
– Monitoração de tráfego nas interfaces - incluindo taxa de pacotes (pps)
– Monitoração detalhada dos equipamentos e serviços
• CPU, memória, CPU de line card, etc e os limites de cada hardware
• Número de sessões para um serviço e taxa de novas conexões
• Número de conexões SYN_RECEIVED
• Visibilidade dos ativos (externa)
• Uptime Robot
• StatusCake
• Pingdom
• ThousandEyes
• Visibilidade do tráfego *flow (sflow, netflow, ipix, etc)
• Free
– cflowd / flowscan
– https://github.com/FastVPSEestiOu/fastnetmon e http://www.enog.org/presentations/enog-9/17-FastNetMon_ENOG_pdf.pdf
– http://nfsen.sourceforge.net/
– http://www.sflow.org/products/collectors.php
– https://www.telcomanager.com/en/trafip-netflow-collector-and-analyzer
• Pagos
– Arbor Peakflow
– Plixer Scrutinizer
– Manageengine Netflow Analyzer
Conhecimento
• Análise de tendência
– Frequência dos ataques
– Alvos preferidos
– Protocolos mais utilizados - pelos usuários e pelos
atacantes.
• Quanto maior o conhecimento da rede e dos
serviços utilizados, maior serão as opções de
contra-medidas disponíveis.
Contra-medidas
O ataque é menor que a banda disponível
• ACL e Controle de banda (bps)
– “Disponível nos melhores equipamentos do ramo.”
• Controle de taxa de pacotes (pps)
– Por exemplo Cisco 6880-X
– Feature request para Juniper MX
• FlowSpec
– Regras por tamanho do pacote (!!!)
• Elemento de mitigação “out-of-band”
– Proxy de alta capacidade (para serviços específicos)
– Appliance de rede com maior granularidade de regras
• GeoIP
• Assinatura do tráfego
O ataque é maior que a banda disponível
• Aumente a banda! 
• Seu provedor / data center é seu amigo (???)
• Remotely-Triggered Black Hole (RTBH) – RFC5635
– Através do BGP, sinalizar o bloqueio total para um IP
– Salva a rede, mata um IP (ou vários)
– Quanto melhor sua conectividade, menor sua
indisponibilidade
– Nacional versus internacional (e a China?)
– Importância de peering
O ataque é maior que a banda disponível
• Clean pipe
– Exemplos: Staminus, Black Lotus (Level 3), Imperva
Incapsula
– Problema de túneis GRE e MTU
• Muito bom quando você é um provedor de conteúdo
(requisição = 80 bytes, conteúdo = 1500 bytes)
• Muito ruim quando você é um provedor de serviço
(download com pacotes de 1500 bytes)
– Importância do peering
O ataque é maior que a banda disponível
• Distribuir o “alvo” do ataque.
– Anycast
– Global Server Load-balance (GSLB)
– CDN
• Instalar um POP na China.
Dúvidas?
GTS 26 – São Paulo/SP – 11/dez/2015
Gustavo Rodrigues Ramos
grramos@uoldiveo.com

Mais conteúdo relacionado

Mais procurados

"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...WeOp - The Operations Summit
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Wilson Rogerio Lopes
 
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)Wagner Bianchi
 
Linux Network Fault Tolerance
Linux Network Fault ToleranceLinux Network Fault Tolerance
Linux Network Fault ToleranceFrederico Madeira
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglas Esteves
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
7 - segurança - dmz vpn
7  - segurança -  dmz vpn7  - segurança -  dmz vpn
7 - segurança - dmz vpnAndre Peres
 
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESADoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESARenan Souza Daniel
 
Meetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de UsoMeetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de UsoWagner Bianchi
 
Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Edilson Feitoza
 
Open Virtualization - Virtualização em Software Livre
Open Virtualization - Virtualização em Software LivreOpen Virtualization - Virtualização em Software Livre
Open Virtualization - Virtualização em Software LivreFrederico Madeira
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix BR
 
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...Zabbix BR
 
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...Bruno Castelucci
 
Documentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingDocumentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingAricelio Souza
 
Soluções de Web Caching e Web Acceleration - Domingos Parra Novo
Soluções de Web Caching e Web Acceleration - Domingos Parra NovoSoluções de Web Caching e Web Acceleration - Domingos Parra Novo
Soluções de Web Caching e Web Acceleration - Domingos Parra NovoTchelinux
 

Mais procurados (20)

"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009a
 
DNS - Domain Name System
DNS - Domain Name SystemDNS - Domain Name System
DNS - Domain Name System
 
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
 
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
Escalando o ambiente com MariaDB Cluster (Portuguese Edition)
 
Linux Network Fault Tolerance
Linux Network Fault ToleranceLinux Network Fault Tolerance
Linux Network Fault Tolerance
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviço
 
7 - segurança - dmz vpn
7  - segurança -  dmz vpn7  - segurança -  dmz vpn
7 - segurança - dmz vpn
 
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESADoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
DoS: FORMAS DE ATAQUE E ESTRATÉGIAS DE DEFESA
 
Meetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de UsoMeetup São Paulo, Maxscale Implementação e Casos de Uso
Meetup São Paulo, Maxscale Implementação e Casos de Uso
 
Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)
 
Open Virtualization - Virtualização em Software Livre
Open Virtualization - Virtualização em Software LivreOpen Virtualization - Virtualização em Software Livre
Open Virtualization - Virtualização em Software Livre
 
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do InteriorZabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
Zabbix: O portal para os iniciantes - 3º Zabbix Meetup do Interior
 
Ataque DoS e DDoS
Ataque DoS e DDoSAtaque DoS e DDoS
Ataque DoS e DDoS
 
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...
1º Meetup Zabbix Meetup do Recife: Danilo Barros - Zabbix dicas e truques par...
 
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...
Aceleração em Hardware para OpenSSL em Sistemas Embarcados: Introdução e conc...
 
Documentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e ScammingDocumentação Ataques DOS, DDOS e Scamming
Documentação Ataques DOS, DDOS e Scamming
 
Soluções de Web Caching e Web Acceleration - Domingos Parra Novo
Soluções de Web Caching e Web Acceleration - Domingos Parra NovoSoluções de Web Caching e Web Acceleration - Domingos Parra Novo
Soluções de Web Caching e Web Acceleration - Domingos Parra Novo
 

Semelhante a estrategia-ddos-gustavo

Em Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoEm Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoMagnos Martinello
 
ReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasWanderson Paim
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Data center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfData center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfssuser1198af
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Cloud Server Embratel
Cloud Server EmbratelCloud Server Embratel
Cloud Server EmbratelAlex Hübner
 
Enucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationEnucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationNathan Saraiva
 
5 - segurança - firewall
5  - segurança - firewall5  - segurança - firewall
5 - segurança - firewallAndre Peres
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSDiogo Guedes
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Estratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineEstratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineGuto Xavier
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Claudio Miranda
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidadeelliando dias
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
 
Monitoramento rede
Monitoramento redeMonitoramento rede
Monitoramento redeAndré Déo
 

Semelhante a estrategia-ddos-gustavo (20)

Em Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoEm Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do Futuro
 
ReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes Virtualizadas
 
Programabilidade em Redes Virtualizadas
Programabilidade em Redes VirtualizadasProgramabilidade em Redes Virtualizadas
Programabilidade em Redes Virtualizadas
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Aula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computingAula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computing
 
Data center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfData center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdf
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Cloud Server Embratel
Cloud Server EmbratelCloud Server Embratel
Cloud Server Embratel
 
Enucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationEnucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarization
 
5 - segurança - firewall
5  - segurança - firewall5  - segurança - firewall
5 - segurança - firewall
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Estratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineEstratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços online
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
 
Automação de Data Center
Automação de Data CenterAutomação de Data Center
Automação de Data Center
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidade
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Monitoramento rede
Monitoramento redeMonitoramento rede
Monitoramento rede
 

estrategia-ddos-gustavo

  • 1. Estratégias de Defesa Contra Ataques de Negação de Serviço GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com
  • 2. Agenda • Introdução • Tipos de Ataques de Negação de Serviço • Planejamento • Detecção • Contra-medida
  • 4. Definição • Ataque de Negação de Serviço (Denial-of- serice – DoS): Uma tentativa de indisponibilizar um recurso ou serviço aos seus usuários, tal como impossibilitar o acesso à um website na Internet. • Versão 2.0: Ataque de Negação de Serviço Distribuído ou DDoS.
  • 5. Ataque de Negação de Serviço Distribuído (DDoS) http://meu.servidor.com.br Atacante Usuários
  • 11. http://www.team-cymru.org/graphs.html OCTOBER 2015 NEUSTAR DDOS ATTACKS & PROTECTION REPORT: NORTH AMERICA & EMEA AKAMAI STATE OF THE INTERNET SECURITY REPORT Q2-2015
  • 13. Um dia comum na vida...
  • 14. Principais Alvos: Setores • Games • Empresas de jogos • Jogos on-line • Internet, Tecnologia, Software, etc • Lojas virtuais (e-commerce) • Serviços Financeiros
  • 16. Tipos de Ataques DoS e DDoS • Mais visíveis versus “menos visíveis” • Flood – Consumo de banda / capacidade interface • Protocol flood (ICMP, UDP, etc) • Reflexão – Consumo de recursos de sistemas / protocolos • Syn Flood TCP • Slowloris para HTTP • Ataques DoS ao NDP IPv6 • DD4BC: DDoS 4 Bitcoin – Mais informações: https://blog.arbornetworks.com/icymi-arbors-roland- dobbins-nanog-presentation-on-the-dd4bc-extortion-campaign/
  • 17. Ataques de Reflexão • Principais protocolos e fator de multiplicação – NTP (123/udp) – 556x – DNS (53/udp) – 28 a 54x – SSDP (1900/udp) – 30x – RIPv1 (520/udp) – 131x – SNMP (161/udp) – 6x – Fonte: https://www.us- cert.gov/ncas/alerts/TA14-017A • IP Source Address Spoofing ou BCP38 – http://bcp.nic.br/ – https://www.routingmanifesto.org/ • Importância da definição de um bom baseline para instalação de equipamentos. – Atenção às configurações “de fábrica”.
  • 19. Arquitetura do Sistema • Uma botnet versus o seu firewall / servidor – Identificar os serviços mais críticos – Distribuir o controle do acesso – Permitir o crescimento elástico e distribuído • “Dividir para conquistar” – Anycast – CDN – GSLB (Global Server Load-balance)
  • 20. Endereçamento IP • Planejar com margem para manobras: – Separar alocações de infra-estrutura de alocações para clientes / serviços. – Alocar os clientes ou serviços “especiais” em diferentes blocos /24. • Servidores DNS autoritativos devem estar em /24 diferentes! – “The name servers must be in at least two topologically separate networks. A network is defined as an origin autonomous system in the BGP routing table. The requirement is assessed through inspection of views of the BGP routing table.” - https://www.iana.org/help/nameserver-requirements – Alexa TOP 500 Brasil (440 websites) • 0,61% possui apenas um servidor DNS autoritativo • 26,82% possui 2 servidores DNS autoritativo • 8,41% possuem todos os servidores DNS autoritativo em um mesmo bloco /24
  • 21. Links de Trânsito • Antes de contratar o seu “link de Internet”: – Avaliar a possibilidade de “on-demand” e planejar a interface física para suportar upgrades com menor downtime (link-aggregation?). – Contratação na modalidade 95-percentil. – Communities BGP para Blackhole é obrigatório! • Mesmo para peering? – Communities BGP para controle de anúncios é recomendado. – Avaliar a possibilidade de acordos comerciais ($$$) para a operadora bloquear tráfego não desejado. – Atenção ao contratar trânsito através de um ponto de troca de tráfego: sempre implementar uma forma de controle para o tráfego do trânsito não interferir no tráfego de peering.
  • 22. Equipamentos • Avaliar a capacidade de todos os equipamentos. – “Meu roteador de US$ 500k está conectado em um switch de US$ 3k!!!” • Atenção a capacidade dos sistemas em bps e pps. • Ajustar parâmetros “default”: – Desabilitar serviços que não são utilizados (!!!). – Ajustar os parâmetros de limites do plano de controle (Cisco CoPP ou Juniper DDoS protection ou ...). – Ajustar o número máximo de sessões e proteções default (firewall). – Parâmetros de kernel e CPU/NIC Affinity (servidores e firewalls). – Mais informações: http://www.slideshare.net/securitysession/practical-steps- to-mitigate-ddos-attacks
  • 24. Você só poderá detectar o que você pode ver! • Visibilidade dos ativos (interna) – Monitoração de tráfego nas interfaces - incluindo taxa de pacotes (pps) – Monitoração detalhada dos equipamentos e serviços • CPU, memória, CPU de line card, etc e os limites de cada hardware • Número de sessões para um serviço e taxa de novas conexões • Número de conexões SYN_RECEIVED • Visibilidade dos ativos (externa) • Uptime Robot • StatusCake • Pingdom • ThousandEyes • Visibilidade do tráfego *flow (sflow, netflow, ipix, etc) • Free – cflowd / flowscan – https://github.com/FastVPSEestiOu/fastnetmon e http://www.enog.org/presentations/enog-9/17-FastNetMon_ENOG_pdf.pdf – http://nfsen.sourceforge.net/ – http://www.sflow.org/products/collectors.php – https://www.telcomanager.com/en/trafip-netflow-collector-and-analyzer • Pagos – Arbor Peakflow – Plixer Scrutinizer – Manageengine Netflow Analyzer
  • 25. Conhecimento • Análise de tendência – Frequência dos ataques – Alvos preferidos – Protocolos mais utilizados - pelos usuários e pelos atacantes. • Quanto maior o conhecimento da rede e dos serviços utilizados, maior serão as opções de contra-medidas disponíveis.
  • 27. O ataque é menor que a banda disponível • ACL e Controle de banda (bps) – “Disponível nos melhores equipamentos do ramo.” • Controle de taxa de pacotes (pps) – Por exemplo Cisco 6880-X – Feature request para Juniper MX • FlowSpec – Regras por tamanho do pacote (!!!) • Elemento de mitigação “out-of-band” – Proxy de alta capacidade (para serviços específicos) – Appliance de rede com maior granularidade de regras • GeoIP • Assinatura do tráfego
  • 28. O ataque é maior que a banda disponível • Aumente a banda!  • Seu provedor / data center é seu amigo (???) • Remotely-Triggered Black Hole (RTBH) – RFC5635 – Através do BGP, sinalizar o bloqueio total para um IP – Salva a rede, mata um IP (ou vários) – Quanto melhor sua conectividade, menor sua indisponibilidade – Nacional versus internacional (e a China?) – Importância de peering
  • 29. O ataque é maior que a banda disponível • Clean pipe – Exemplos: Staminus, Black Lotus (Level 3), Imperva Incapsula – Problema de túneis GRE e MTU • Muito bom quando você é um provedor de conteúdo (requisição = 80 bytes, conteúdo = 1500 bytes) • Muito ruim quando você é um provedor de serviço (download com pacotes de 1500 bytes) – Importância do peering
  • 30. O ataque é maior que a banda disponível • Distribuir o “alvo” do ataque. – Anycast – Global Server Load-balance (GSLB) – CDN • Instalar um POP na China.
  • 31. Dúvidas? GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com