O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Defendiéndose de ataques de DDoS

1.766 visualizações

Publicada em

Defendiéndose de ataques de DDoS
AWS Summit Ciudad de México - Jueves, 26 de mayo

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Defendiéndose de ataques de DDoS

  1. 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. . Mayo 2016 Defendiéndose de Ataques DDoS Ivan Salazar, Enterprise Solutions Architect AWS Gerardo Littman, Systems Engineer, Palo Alto Networks
  2. 2. Objetivos de hoy •  Ataques comunes: Los ataques más comunes de negación de servicio distribuidos (DDoS) •  Mitigaciones: Se utilizan para proteger la infraestructura de AWS •  Arquitectura: Tomar ventaja de las capacidades de mitigación
  3. 3. Ataques comúnes
  4. 4. Encabezados de los ataques DDoS CRIMINALES EXTORSIONAN EMPRESAS CON ATAQUES DDOS LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS
  5. 5. Encabezados de los ataques DDoS CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS LOS MEGAATAQUES AUMENTAN
  6. 6. Encabezados de los ataques DDoS CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS LOS MEGAATAQUES AUMENTAN ATAQUES DDOS REFLECTIONESTAN DEREGRESO
  7. 7. Encabezados de los ataques DDoS CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS LOS MEGAATAQUES AUMENTAN DDOS REFLECTIONATTACKS ARE BACK LA NUEVA NORMA: ATAQUES DDOS DE 200 – 400 GBPS
  8. 8. 1.04 39 Tamaño promedio de un ataque DDoS Fuente: Arbor Networks Duración promedio de ataques > 10 Gbps Ataques DDoS que apuntan a redes y servicios de infraestructura Ataques DDoS en Q2 2015 85% Gbps Minutes
  9. 9. Tipos de ataques DDoS
  10. 10. Tipos de ataques DDoS Ataques DDoS Volumetricos Congestionan las redes indundándolas con más tráfico del que pueden soportar (ejemplo: ataque UDP reflection)
  11. 11. Tipos de ataques DDoS Ataque DDoS State-exhaustion Un tipo de abuso de protocolo que estresa sistemas como firewalls, IPS o balanceadores de carga. (ejemplo: TCP SYN flood)
  12. 12. Tipos de ataques DDoS Ataques DDoS a la capa de aplicación Menor frecuencia, un atacante usará conexiones bien formadas para dar la vuelta a la mitigación y consumir los recursos de la aplicación (ejemplo: HTTP GET, DNS query floods)
  13. 13. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  14. 14. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer Los ataques SSDP reflection son muy comúnes Los ataques tipo reflection tienen fimas abiertas, pero pueden consumir ancho de banda disponible 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  15. 15. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer Otros ataques volumétricos comunes: NTP reflection, DNS reflection, Chargen reflection, SNMP reflection 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  16. 16. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer Los SYN floods pueden parecer como intentos de conexiones reales Y en promedio, son más grandes en volúmen. Pueden evitar que los usuarios reales establezcan conexiones. 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  17. 17. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer Los DNS query floods son peticiones reales de DNS Pueden durar horas y agotar los recursos disponibles del servidor DNS. 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  18. 18. Tendencias de los ataques DDoS Volumetric State exhaustion Application layer DNS query floods are real DNS requests They can also go on for hours and exhaust the available resources of the DNS server. Otros ataques comunes en la capa de aplicación: HTTP GET flood, Slowloris 65% Volumetrico 20% State exhaustion 15% Capa aplicación
  19. 19. Volumétrico: amplificación UDP Atacante 192.0.2.1 Víctima 198.51.100.4 src=198.51.100.4 dst=203.0.113.32 NTP DNS SNMP SSDP Reflectores 203.0.113.32
  20. 20. Factores de amplificación volumétrica Vector Factor Common Cause SSDP 30.8 Servicio uPnP expuesto a Internet NTP 556.9 Servidores de tiempo con monlist habilitado DNS 28 - 54 Puetos abiertos Chargen 358.8 Servicio Chargen abilitado SNMP 6.3 Servicio SNMP abierto Source: US-CERT
  21. 21. Ataques DDoS con vectores múltiples Single vector Multi-vector 85% Single vector 15% Multi-vector
  22. 22. Los atacantes son persistentes
  23. 23. Los atacantes son persistentes UDP/161 – SNMP amplification
  24. 24. Los atacantes son persistentes UDP/161 – SNMP amplification UDP fragments
  25. 25. Los atacantes son persistentes UDP/161 – SNMP amplification UDP fragments UDP/1900 – SSDP reflection
  26. 26. Los atacantes son persistentes UDP/161 – SNMP amplification UDP fragments UDP/1900 – SSDP reflection UDP/1900 – SSDP reflection
  27. 27. Los atacantes son persistentes UDP/161 – SNMP amplification UDP fragments UDP/1900 – SSDP reflection UDP/1900 – SSDP reflection UDP/123 – NTP reflection
  28. 28. Los atacantes son persistentes UDP/161 – SNMP amplification UDP fragments UDP/1900 – SSDP reflection UDP/1900 – SSDP reflection UDP/123 – NTP reflection 6 hours
  29. 29. Mitigaciones
  30. 30. Modelo de responsabilidad compartida •  Nosotros protegemos los centros de datos, tráfico IP e infraestructura. •  Usted mantiene control sobre la seguridad de su aplicación.
  31. 31. Antes de la mitigación de DDoS Centro de datos convencionalAtaque DDoS Usuarios
  32. 32. Servicios convencionales de mitigación DDoS Centro de datos convencional Ataque DDoS Usuarios Servicio de mitigación DDoS
  33. 33. Resiliente por diseño IP ICMP TCP UDP No DNS
  34. 34. Resiliente por diseño IP ICMP TCP Elastic Load Balancing UDP No DNS Amazon CloudFront
  35. 35. Resiliente por diseño IP ICMP TCP Elastic Load Balancing UDP No DNS Amazon CloudFront
  36. 36. Resiliente por diseño IP ICMP TCP Elastic Load Balancing UDP No DNS Amazon Route 53 Amazon CloudFront
  37. 37. Resiliente por diseño IP ICMP TCP Elastic Load Balancing UDP No DNS Amazon Route 53 Amazon CloudFront
  38. 38. Mitigación DDoS para la infraestructura de AWS virtual private cloud Infraestructura global de AWS DDoS attack Users Mitigación DDoS de AWS Mitigación DDoS de AWS CloudFront Route 53 Características •  Siempre en línea •  Commodity hardware •  Mitigaciones Targeted and heuristic mitigations Beneficios •  Bajo MTTR (Mean Time To Respond) •  Latencias de microsegundos
  39. 39. Priorización de paquetes IP Origen Reputación Niveles de tráfico Fuente ASN Fuentes válidas
  40. 40. Priorización de paquetes Prioridad IP Origen Reputación Niveles de tráfico Fuente ASN Fuentes válidas
  41. 41. Moldeado de tráfico basado en prioridad •  Los ataques DDoS pueden parecer tráfico real. •  Al tráfico se le asigna una prioridad, y usamos esa información para proteger la disponibilidad. •  Evitamos falsos positivos y mitigamos ataques conocidos y desconocidos.
  42. 42. Mitigación: Detección e ingeniería de tráfico
  43. 43. Identificar el objetivo en espacio compartido •  Cada grupo de IP tiene una combinación única     Ubicación Edge Usuarios Distribución Distribución Distribución
  44. 44. Identificar el objetivo en espacio compartido Ataque DDoS •  Cada grupo de IP tiene una combinación única     Ubicación Edge Usuarios Distribución Distribución Distribución
  45. 45. Identificar el objetivo en espacio compartido •  Cada grupo de IP tiene una combinación única •  Permite la identificación del objetivo   Ubicación Edge Distribución Distribución Ataque DDoS Usuarios
  46. 46. Identificar el objetivo en espacio compartido Ubicación Edge Ubicación EdgeAtaque DDoS Usuarios Usuarios Distribución Distribución Distribución •  Cada grupo de IP tiene una combinación única •  Permite la identificación del objetivo •  Habilita nuevas opciónes de mitigación  
  47. 47. Ingeniería del tráfico
  48. 48. Ingeniería del tráfico Ataque DDoS
  49. 49. Ingeniería del tráfico Mitigar Ataque DDoS
  50. 50. Ingeniería del tráfico Aislar Ataque DDoS
  51. 51. Ingeniería del tráfico Aislar Desocupar Ataque DDoS
  52. 52. Ingeniería del tráfico Dispersar Ataque DDoS
  53. 53. Arquitectura
  54. 54. Arquitectura en AWS para resistencia DDoS •  Volumétrica •  State exhaustion •  Capa de aplicación
  55. 55. Arquitectura: Volumétrico
  56. 56. ¿Por qué es importante? •  Los ataques DDoS Volumétricos pueden congestionar la capacidad de tráfico de la infraestructura tradicional –  Más de un tercio de los operadores de centros de datos experimentaron congestión de tráfico relacionada a DDoS en 2014 (fuente: Arbor Networks).
  57. 57. Escalamiento con ELB ELBUsuarios Security group DMZ public subnet Security group Front-end server private subnet Instances
  58. 58. Route 53 health checks en instancias ELB ELB Usuarios Security group ELB instances Route 53
  59. 59. Route 53 health checks en instancias ELB ELB Security group ELB instances Route 53 Usuarios
  60. 60. Route 53 health checks en instancias ELB ELB Security group ELB instances Route 53 Usuarios
  61. 61. Route 53 health checks en instancias ELB ELB Security group ELB instances Route 53 Usuarios
  62. 62. Route 53 health checks en instancias ELB ELB Security group ELB instances Route 53 Usuarios
  63. 63. Route 53 health checks en instancias ELB ELB Users Security group ELB instances Route 53 DDoS Usuarios
  64. 64. Route 53 health checks en instancias ELB ELB Users Security group ELB instances Route 53 DDoS Usuarios
  65. 65. Minimizar la superficie de ataque Amazon Virtual Private Cloud (VPC) •  Le permite definir una red virtual en su propia sección aislada de AWS •  Le permite ocultar instancias de Internet usando grupos de seguridad network access control lists (NACLs)
  66. 66. Seguridad en su VPC Grupos de Seguridad •  Operan a nivel de instancia (primera capa de defensa) •  Sólo soportan reglas “allow” •  Stateful: el tráfico de regreso es permitido automáticamente •  Todas las reglas son evaluadas entes de permitir el tráfico Network ACLs •  Operan a nivel de subred (segunda capa de defensa) •  Soporta reglas de “allow” y “deny” •  Stateless: EL regreso de tráfico debe ser permitido explícitamente •  Las reglas se procesan en orden
  67. 67. Web app server DMZ public subnet SSH bastion NAT ELB Amazon EC2 security group security group security group security group Front-end private subnet Amazon EC2 Back-end private subnet security group MySQL MySQL db Amazon VPC
  68. 68. Web app server DMZ public subnet SSH bastion NAT ELB Usuario Amazon EC2 security group security group security group security group Front-end private subnet TCP: 8080 Amazon EC2 TCP: 80/443 Back-end private subnet security group TCP: 3306 MySQL MySQL db Amazon VPC
  69. 69. Web app server DMZ public subnet SSH bastion NAT ELB Admin Amazon EC2 security group security group security group security group Front-end private subnet TCP: 8080 Amazon EC2 TCP: 80/443 Back-end private subnet security group TCP: 3306 MySQL MySQL db TCP: 22 Amazon VPC Usuario
  70. 70. Web app server DMZ public subnet SSH bastion NAT ELB Users Admin Internet Amazon EC2 security group security group security group security group Front-end private subnet TCP: 8080 Amazon EC2 TCP: 80/443 Back-end private subnet security group TCP: 3306 MySQL MySQL db TCP: Outbound TCP: 22 Amazon VPC Usuario
  71. 71. Grupos de seguridad de referencia ELB
  72. 72. Grupos de seguridad de referencia Web application server
  73. 73. Network ACL de referencia
  74. 74. Prepárese a escalar y absorber Route 53 •  Servicio de DNS altamente disponible, escalable •  Utiliza el ruteo anycast para baja latencia        
  75. 75. Prepárese a escalar y absorber Route 53 •  Servicio de DNS altamente disponible, escalable •  Utiliza el ruteo anycast para baja latencia CloudFront •  Mejora el rendimiento optimizando las conexiones y guardando el contenido en caché •  Dispersa el tráfico entre diferentes ubicaciones edge globalmente •  Los ataques DDoS se absorven cerca de la fuente  
  76. 76. Prepárese a escalar y absorber Elastic Load Balancing •  Tolerancia a fallas para aplicaciones •  Escalamiento automático •  Múltiples Zonas de Disponibilidad
  77. 77. Presencia global de AWS y redundancia
  78. 78. Presencia global de AWS y redundancia Conexión a Internet C Conexión a Internet A Conexión a Internet B
  79. 79. Presencia global de AWS y redundancia CloudFront Solicitud de objeto válida Protocolo inválido Solicitud de Objeto inválida
  80. 80. Presencia global de AWS y redundancia ELB TCP UDP
  81. 81. Presencia global de AWS y redundancia Route A Route B Route C users
  82. 82. Presencia global de AWS y redundancia ELB instances Availability Zone ELB instances Availability Zone ELB
  83. 83. Ruteo anycast de Route 53 Cómo llego a example.com?
  84. 84. Ruteo anycast de Route 53 .org .co.uk Por acá! Por acá! Por acá! .com .net Por acá! .co.uk Por acá! .net .org Por acá! .com Por acá! Por acá! Cómo llego a example.com?
  85. 85. Ruteo anycast de Route 53 How do I get to example.com? .org .co.uk Por acá! Por acá! Por acá! .com .net Por acá! .co.uk Por acá! .net .org Por acá! .com Por acá! Por acá! Cómo llego a example.com?
  86. 86. Ruteo anycast de Route 53 How do I get to example.com? .org .co.uk Por acá! Por acá! Por acá! .com Por acá! .co.uk Por acá! .net .org Por acá! .com Por acá! Por acá! .net Cómo llego a example.com?
  87. 87. Ruteo anycast de Route 53 How do I get to example.com? .org .co.uk Por acá! Por acá! Por acá! .com Por acá! .co.uk Por acá! .net .org Por acá! .com Por acá! Por acá! Cómo llego a example.com? .net
  88. 88. Arquitectura: State exhaustion
  89. 89. ¿Por qué es importante? •  Los ataques State-exhaustion pueden impactar la disponibilidad de firewalls, IPS, y balanceadores de carga. –  Más de una tercio de las empresas experimentaron una falla de firewall o IPS relacionada con DDoS en 2014 (fuente: Arbor Networks).
  90. 90. SYN proxy y SYN cookies DDoS mitigation system CloudFront host Client
  91. 91. SYN proxy y SYN cookies SYN ACK SYN/ACK DDoS mitigation system CloudFront host Client
  92. 92. SYN proxy y SYN cookies SYN ACK SYN/ACK DDoS mitigation system CloudFront host Client ! SYN ACK SYN/ACK! ! TCP connection table
  93. 93. SYN proxy y SYN cookies SYN ACK SYN/ACK DDoS mitigation system CloudFront host Client ! Spoofed IP SYN ACK SYN/ACK! ! SYN SYN/ACK TCP connection table
  94. 94. Usando proxies propios NGINX Security group DMZ public subnet Security group Front-end server private subnet Instances DDoS Users
  95. 95. Arquitectura: Capa aplicación
  96. 96. Las apariencias pueden engañar •  Los ataques DDoS a la capa de aplicación parecen tráfico real y pueden consumir recursos del servidor •  Los ejemplos incluyen: HTTP GET floods apuntando a aplicaciones web, o DNS query floods apuntando a servidores DNS
  97. 97. Asegure recursos expuestos •  Protega la entrada a su aplicación •  Geo-restricción de CloudFront •  Connection reaping de CloudFront •  Web Application Firewalls (WAFs) del Marketplace •  Use AWS WAF para construir sus propias mitgaciones en CloudFront
  98. 98. Arquitectura resiliente Web app server
  99. 99. Arquitectura resiliente Users Web app server
  100. 100. Arquitectura resiliente DDoS Users Web app server
  101. 101. Arquitectura resiliente DDoS Users Auto Scaling Web app server
  102. 102. Arquitectura resiliente Security group DDoS Users Auto Scaling Front-end servers private subnet Web app server
  103. 103. Arquitectura resiliente ELB Security group DMZ public subnet Security group WAF/proxy private subnet DDoS Users WAF Auto Scaling ELB Security group Auto Scaling Security group Front-end servers private subnet Web app server
  104. 104. Arquitectura resiliente ELB Security group DMZ public subnet CloudFront edge location Security group WAF/proxy private subnet DDoS Users WAF Auto Scaling ELB Security group Auto Scaling Security group Front-end servers private subnet Web app server
  105. 105. Arquitectura resiliente ELB Security group DMZ public subnet CloudFront edge location Security group WAF/proxy private subnetDDoS Users WAF Auto Scaling ELB Security group Auto Scaling Security group Front-end servers private subnet Web app server Reglas de AWS WAF
  106. 106. AWS WAF
  107. 107. ¿Por qué AWS WAF? Vulnebilidad en la aplicación Los buenos Los malos Web server Base de datos Código Exploit
  108. 108. ¿Por qué AWS WAF? Abuso Los buenos Los malos Web server Database
  109. 109. ¿Por qué AWS WAF? DDoS en aplicación Los buenos Los malos Web server Database
  110. 110. ¿Qué es AWS WAF? DDoS en aplicación Los buenos Los malos Web server Database AWS WAF
  111. 111. ¿Qué es AWS WAF? DDoS en aplicación Los buenos Los malos Web server Database AWS WAF Reglas AWS WAF: 1: BLOCK peticiones de los malos 2: ALLOW peticiones de los buenos
  112. 112. ¿Qué es AWS WAF? DDoS en aplicación Los buenos Los malos Web server Database AWS WAF
  113. 113. ¡Gracias!

×