SlideShare uma empresa Scribd logo

Estratégias Defesa DDoS

Pavel Odintsov
Pavel Odintsov

O documento discute estratégias de defesa contra ataques de negação de serviço (DoS e DDoS), incluindo tipos de ataques, planejamento de rede, detecção e contramedidas. É destacada a importância da visibilidade da rede, do conhecimento dos serviços e da capacidade dos equipamentos para mitigar ataques. Quando o ataque excede a banda disponível, opções como bloqueio remoto, "clean pipes" e distribuição de carga podem ajudar a reduzir o impacto.

Internet
1 de 31
Baixar para ler offline
Estratégias de Defesa Contra Ataques de Negação de Serviço GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com
Agenda • Introdução • Tipos de Ataques de Negação de Serviço • Planejamento • Detecção • Contra-medida
Introdução
Definição • Ataque de Negação de Serviço (Denial-of- serice – DoS): Uma tentativa de indisponibilizar um recurso ou serviço aos seus usuários, tal como impossibilitar o acesso à um website na Internet. • Versão 2.0: Ataque de Negação de Serviço Distribuído ou DDoS.
Ataque de Negação de Serviço Distribuído (DDoS) http://meu.servidor.com.br Atacante Usuários
História: 2006
História: 2010
E atualmente em 2015
E atualmente em 2015
Na mídia http://www.nytimes.com/2015/10/16/technology/ultradns-server-problem-pulls-down-websites-including-netflix-for-90-minutes.html?_r=0
http://www.team-cymru.org/graphs.html OCTOBER 2015 NEUSTAR DDOS ATTACKS & PROTECTION REPORT: NORTH AMERICA & EMEA AKAMAI STATE OF THE INTERNET SECURITY REPORT Q2-2015
http://map.norsecorp.com/v1/
Um dia comum na vida...
Principais Alvos: Setores • Games • Empresas de jogos • Jogos on-line • Internet, Tecnologia, Software, etc • Lojas virtuais (e-commerce) • Serviços Financeiros
Tipos de Ataques
Tipos de Ataques DoS e DDoS • Mais visíveis versus “menos visíveis” • Flood – Consumo de banda / capacidade interface • Protocol flood (ICMP, UDP, etc) • Reflexão – Consumo de recursos de sistemas / protocolos • Syn Flood TCP • Slowloris para HTTP • Ataques DoS ao NDP IPv6 • DD4BC: DDoS 4 Bitcoin – Mais informações: https://blog.arbornetworks.com/icymi-arbors-roland- dobbins-nanog-presentation-on-the-dd4bc-extortion-campaign/
Ataques de Reflexão • Principais protocolos e fator de multiplicação – NTP (123/udp) – 556x – DNS (53/udp) – 28 a 54x – SSDP (1900/udp) – 30x – RIPv1 (520/udp) – 131x – SNMP (161/udp) – 6x – Fonte: https://www.us- cert.gov/ncas/alerts/TA14-017A • IP Source Address Spoofing ou BCP38 – http://bcp.nic.br/ – https://www.routingmanifesto.org/ • Importância da definição de um bom baseline para instalação de equipamentos. – Atenção às configurações “de fábrica”.
Planejamento
Arquitetura do Sistema • Uma botnet versus o seu firewall / servidor – Identificar os serviços mais críticos – Distribuir o controle do acesso – Permitir o crescimento elástico e distribuído • “Dividir para conquistar” – Anycast – CDN – GSLB (Global Server Load-balance)
Endereçamento IP • Planejar com margem para manobras: – Separar alocações de infra-estrutura de alocações para clientes / serviços. – Alocar os clientes ou serviços “especiais” em diferentes blocos /24. • Servidores DNS autoritativos devem estar em /24 diferentes! – “The name servers must be in at least two topologically separate networks. A network is defined as an origin autonomous system in the BGP routing table. The requirement is assessed through inspection of views of the BGP routing table.” - https://www.iana.org/help/nameserver-requirements – Alexa TOP 500 Brasil (440 websites) • 0,61% possui apenas um servidor DNS autoritativo • 26,82% possui 2 servidores DNS autoritativo • 8,41% possuem todos os servidores DNS autoritativo em um mesmo bloco /24
Links de Trânsito • Antes de contratar o seu “link de Internet”: – Avaliar a possibilidade de “on-demand” e planejar a interface física para suportar upgrades com menor downtime (link-aggregation?). – Contratação na modalidade 95-percentil. – Communities BGP para Blackhole é obrigatório! • Mesmo para peering? – Communities BGP para controle de anúncios é recomendado. – Avaliar a possibilidade de acordos comerciais ($$$) para a operadora bloquear tráfego não desejado. – Atenção ao contratar trânsito através de um ponto de troca de tráfego: sempre implementar uma forma de controle para o tráfego do trânsito não interferir no tráfego de peering.
Equipamentos • Avaliar a capacidade de todos os equipamentos. – “Meu roteador de US$ 500k está conectado em um switch de US$ 3k!!!” • Atenção a capacidade dos sistemas em bps e pps. • Ajustar parâmetros “default”: – Desabilitar serviços que não são utilizados (!!!). – Ajustar os parâmetros de limites do plano de controle (Cisco CoPP ou Juniper DDoS protection ou ...). – Ajustar o número máximo de sessões e proteções default (firewall). – Parâmetros de kernel e CPU/NIC Affinity (servidores e firewalls). – Mais informações: http://www.slideshare.net/securitysession/practical-steps- to-mitigate-ddos-attacks
Detecção
Você só poderá detectar o que você pode ver! • Visibilidade dos ativos (interna) – Monitoração de tráfego nas interfaces - incluindo taxa de pacotes (pps) – Monitoração detalhada dos equipamentos e serviços • CPU, memória, CPU de line card, etc e os limites de cada hardware • Número de sessões para um serviço e taxa de novas conexões • Número de conexões SYN_RECEIVED • Visibilidade dos ativos (externa) • Uptime Robot • StatusCake • Pingdom • ThousandEyes • Visibilidade do tráfego *flow (sflow, netflow, ipix, etc) • Free – cflowd / flowscan – https://github.com/FastVPSEestiOu/fastnetmon e http://www.enog.org/presentations/enog-9/17-FastNetMon_ENOG_pdf.pdf – http://nfsen.sourceforge.net/ – http://www.sflow.org/products/collectors.php – https://www.telcomanager.com/en/trafip-netflow-collector-and-analyzer • Pagos – Arbor Peakflow – Plixer Scrutinizer – Manageengine Netflow Analyzer
Conhecimento • Análise de tendência – Frequência dos ataques – Alvos preferidos – Protocolos mais utilizados - pelos usuários e pelos atacantes. • Quanto maior o conhecimento da rede e dos serviços utilizados, maior serão as opções de contra-medidas disponíveis.
Contra-medidas
O ataque é menor que a banda disponível • ACL e Controle de banda (bps) – “Disponível nos melhores equipamentos do ramo.” • Controle de taxa de pacotes (pps) – Por exemplo Cisco 6880-X – Feature request para Juniper MX • FlowSpec – Regras por tamanho do pacote (!!!) • Elemento de mitigação “out-of-band” – Proxy de alta capacidade (para serviços específicos) – Appliance de rede com maior granularidade de regras • GeoIP • Assinatura do tráfego
O ataque é maior que a banda disponível • Aumente a banda!  • Seu provedor / data center é seu amigo (???) • Remotely-Triggered Black Hole (RTBH) – RFC5635 – Através do BGP, sinalizar o bloqueio total para um IP – Salva a rede, mata um IP (ou vários) – Quanto melhor sua conectividade, menor sua indisponibilidade – Nacional versus internacional (e a China?) – Importância de peering
O ataque é maior que a banda disponível • Clean pipe – Exemplos: Staminus, Black Lotus (Level 3), Imperva Incapsula – Problema de túneis GRE e MTU • Muito bom quando você é um provedor de conteúdo (requisição = 80 bytes, conteúdo = 1500 bytes) • Muito ruim quando você é um provedor de serviço (download com pacotes de 1500 bytes) – Importância do peering
O ataque é maior que a banda disponível • Distribuir o “alvo” do ataque. – Anycast – Global Server Load-balance (GSLB) – CDN • Instalar um POP na China.
Dúvidas? GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com

Recomendados

Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoWilson Rogerio Lopes
 
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Wilson Rogerio Lopes
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy SquidFrederico Madeira
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerTiago Bezerra Dos Santos
 

Recomendados

Ataques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoAtaques DDoS - Panorama, Mitigação e Evolução
Ataques DDoS - Panorama, Mitigação e EvoluçãoWilson Rogerio Lopes
 
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Wilson Rogerio Lopes
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Marlon Willrich
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy SquidFrederico Madeira
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Implementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerImplementação de Servidor Linux Ubuntu Server
Implementação de Servidor Linux Ubuntu ServerTiago Bezerra Dos Santos
 
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix
 
NGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webNGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webernaniaz
 
Slides nginx
Slides nginxSlides nginx
Slides nginxRafael Capucho
 
Descobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceDescobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceGustavo Ciello
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDogRicardo Coelho
 
Servidor proxy Squid
Servidor proxy SquidServidor proxy Squid
Servidor proxy SquidFilipe Fernandes
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglas Esteves
 
Escalando Sites com Nginx
Escalando Sites com NginxEscalando Sites com Nginx
Escalando Sites com NginxTiago Albineli Motta
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy Silvino Neto
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Edilson Feitoza
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNARodrigo Rovere - CCIE RS
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Trabalho sobre Proxy
Trabalho sobre ProxyTrabalho sobre Proxy
Trabalho sobre ProxyAnderson Zardo
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storntdc-globalcode
 
GoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPdGoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPdPavel Odintsov
 
9534715
95347159534715
9534715Pavel Odintsov
 
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)Pavel Odintsov
 
FastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigationFastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigationPavel Odintsov
 

Mais conteúdo relacionado

Mais procurados

Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix
 
NGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webNGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webernaniaz
 
Descobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceDescobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceGustavo Ciello
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglas Esteves
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriquesmarleigrolli
 
Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Edilson Feitoza
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.falcao_raphael
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storntdc-globalcode
 

Mais procurados (18)

Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
 
NGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação webNGiNX, o motor da sua aplicação web
NGiNX, o motor da sua aplicação web
 
Slides nginx
Slides nginxSlides nginx
Slides nginx
 
Descobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performanceDescobrindo o Nginx - Um servidor web de alta performance
Descobrindo o Nginx - Um servidor web de alta performance
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
 
Php WatchDog
Php WatchDogPhp WatchDog
Php WatchDog
 
Servidor proxy Squid
Servidor proxy SquidServidor proxy Squid
Servidor proxy Squid
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
 
Escalando Sites com Nginx
Escalando Sites com NginxEscalando Sites com Nginx
Escalando Sites com Nginx
 
Servidor proxy
Servidor proxy Servidor proxy
Servidor proxy
 
SNMP - Rafael Rodriques
SNMP - Rafael RodriquesSNMP - Rafael Rodriques
SNMP - Rafael Rodriques
 
Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)Usando software livre para monitorar link de dados (MPLS)
Usando software livre para monitorar link de dados (MPLS)
 
Esclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNAEsclarecimentos da nova prova CCNA
Esclarecimentos da nova prova CCNA
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009a
 
Trabalho sobre Proxy
Trabalho sobre ProxyTrabalho sobre Proxy
Trabalho sobre Proxy
 
Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.Configuração de Nat Overload com o simulador GNS3.
Configuração de Nat Overload com o simulador GNS3.
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storn
 

Destaque

GoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPdGoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPdPavel Odintsov
 
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)Pavel Odintsov
 
FastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigationFastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigationPavel Odintsov
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaPavel Odintsov
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossPavel Odintsov
 
Distributed Denial of Service Attack - Detection And Mitigation
Distributed Denial of Service Attack - Detection And MitigationDistributed Denial of Service Attack - Detection And Mitigation
Distributed Denial of Service Attack - Detection And MitigationPavel Odintsov
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaPavel Odintsov
 
Nanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmonNanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmonPavel Odintsov
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiPavel Odintsov
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool Pavel Odintsov
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simplePavel Odintsov
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Ontico
 
Ripe71 FastNetMon open source DoS / DDoS mitigation
Ripe71 FastNetMon open source DoS / DDoS mitigationRipe71 FastNetMon open source DoS / DDoS mitigation
Ripe71 FastNetMon open source DoS / DDoS mitigationPavel Odintsov
 
An Introduction to BGP Flow Spec
An Introduction to BGP Flow SpecAn Introduction to BGP Flow Spec
An Introduction to BGP Flow SpecShortestPathFirst
 
PostgreSQL Blackhole FDW - lightning talk 2013
PostgreSQL Blackhole FDW - lightning talk 2013PostgreSQL Blackhole FDW - lightning talk 2013
PostgreSQL Blackhole FDW - lightning talk 2013Andrew Dunstan
 

Destaque (20)

GoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPdGoBGP : yet another OSS BGPd
GoBGP : yet another OSS BGPd
 
9534715
95347159534715
9534715
 
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
Ultra fast DDoS Detection with FastNetMon at Coloclue (AS 8283)
 
FastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigationFastNetMon - ENOG9 speech about DDoS mitigation
FastNetMon - ENOG9 speech about DDoS mitigation
 
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De LucaDetecting and mitigating DDoS ZenDesk by Vicente De Luca
Detecting and mitigating DDoS ZenDesk by Vicente De Luca
 
Jon Nield FastNetMon
Jon Nield FastNetMonJon Nield FastNetMon
Jon Nield FastNetMon
 
Blackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_vossBlackholing from a_providers_perspektive_theo_voss
Blackholing from a_providers_perspektive_theo_voss
 
Distributed Denial of Service Attack - Detection And Mitigation
Distributed Denial of Service Attack - Detection And MitigationDistributed Denial of Service Attack - Detection And Mitigation
Distributed Denial of Service Attack - Detection And Mitigation
 
DDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner MaiaDDoS detection at small ISP by Wardner Maia
DDoS detection at small ISP by Wardner Maia
 
Nanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmonNanog66 vicente de luca fast netmon
Nanog66 vicente de luca fast netmon
 
Janog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka IshizakiJanog 39: speech about FastNetMon by Yutaka Ishizaki
Janog 39: speech about FastNetMon by Yutaka Ishizaki
 
Keeping your rack cool
Keeping your rack cool Keeping your rack cool
Keeping your rack cool
 
Protect your edge BGP security made simple
Protect your edge BGP security made simpleProtect your edge BGP security made simple
Protect your edge BGP security made simple
 
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
Борьба с DDoS в хостинге - по обе стороны баррикад / Константин Новаковский (...
 
Ripe71 FastNetMon open source DoS / DDoS mitigation
Ripe71 FastNetMon open source DoS / DDoS mitigationRipe71 FastNetMon open source DoS / DDoS mitigation
Ripe71 FastNetMon open source DoS / DDoS mitigation
 
An Introduction to BGP Flow Spec
An Introduction to BGP Flow SpecAn Introduction to BGP Flow Spec
An Introduction to BGP Flow Spec
 
PostgreSQL Blackhole FDW - lightning talk 2013
PostgreSQL Blackhole FDW - lightning talk 2013PostgreSQL Blackhole FDW - lightning talk 2013
PostgreSQL Blackhole FDW - lightning talk 2013
 
DDoS Protection System DPS
DDoS Protection System DPSDDoS Protection System DPS
DDoS Protection System DPS
 
BGP route leak
BGP route leakBGP route leak
BGP route leak
 
SDN-IP Peering using BGP
SDN-IP Peering using BGPSDN-IP Peering using BGP
SDN-IP Peering using BGP
 

Semelhante a Estratégias Defesa DDoS

Em Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoEm Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoMagnos Martinello
 
ReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasWanderson Paim
 
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...WeOp - The Operations Summit
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Data center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfData center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfssuser1198af
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Cloud Server Embratel
Cloud Server EmbratelCloud Server Embratel
Cloud Server EmbratelAlex Hübner
 
Enucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationEnucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationNathan Saraiva
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSDiogo Guedes
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores LinuxSoftD Abreu
 
Estratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineEstratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineGuto Xavier
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Claudio Miranda
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidadeelliando dias
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
 
Monitoramento rede
Monitoramento redeMonitoramento rede
Monitoramento redeAndré Déo
 
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters) iG - Internet Group do Brasil S/A
 

Semelhante a Estratégias Defesa DDoS (20)

Em Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do FuturoEm Direção às Redes Programáveis na Internet do Futuro
Em Direção às Redes Programáveis na Internet do Futuro
 
ReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes VirtualizadasReVir – Programabilidade em Redes Virtualizadas
ReVir – Programabilidade em Redes Virtualizadas
 
Programabilidade em Redes Virtualizadas
Programabilidade em Redes VirtualizadasProgramabilidade em Redes Virtualizadas
Programabilidade em Redes Virtualizadas
 
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (..."Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
"Software Defined CDN: Arquitetura, componentes e desafios" - Marcus Grando (...
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Aula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computingAula 3 - Introdução a cloud computing
Aula 3 - Introdução a cloud computing
 
Data center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdfData center MCSBRC2010-slides.pdf
Data center MCSBRC2010-slides.pdf
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Cloud Server Embratel
Cloud Server EmbratelCloud Server Embratel
Cloud Server Embratel
 
Enucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarizationEnucomp2017 - Tutorial about network softwarization
Enucomp2017 - Tutorial about network softwarization
 
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoSArquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
Arquitetura de Segurança utilizando Computação em Nuvem - Proteção DDoS
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Estratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços onlineEstratégias de escablabilidade para serviços online
Estratégias de escablabilidade para serviços online
 
Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7Dicas para Turbinar o servidor de Aplicações JBoss 7
Dicas para Turbinar o servidor de Aplicações JBoss 7
 
Automação de Data Center
Automação de Data CenterAutomação de Data Center
Automação de Data Center
 
Alta Disponibilidade
Alta DisponibilidadeAlta Disponibilidade
Alta Disponibilidade
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel BauermannMonitoramento da rede de A a ZABBIX - Daniel Bauermann
Monitoramento da rede de A a ZABBIX - Daniel Bauermann
 
Monitoramento rede
Monitoramento redeMonitoramento rede
Monitoramento rede
 
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)
TDC2010 - Trilha Python: Python no iG (Automação de Datacenters)
 

Mais de Pavel Odintsov

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentPavel Odintsov
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationPavel Odintsov
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsPavel Odintsov
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Pavel Odintsov
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedPavel Odintsov
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresPavel Odintsov
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolPavel Odintsov
 
Flowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoiseFlowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoisePavel Odintsov
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSPavel Odintsov
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSPavel Odintsov
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flPavel Odintsov
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersPavel Odintsov
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkPavel Odintsov
 
Containers in real world презентация
Containers in real world презентацияContainers in real world презентация
Containers in real world презентацияPavel Odintsov
 
Containers are the future of the Cloud
Containers are the future of the CloudContainers are the future of the Cloud
Containers are the future of the CloudPavel Odintsov
 

Mais de Pavel Odintsov (16)

DDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environmentDDoS Challenges in IPv6 environment
DDoS Challenges in IPv6 environment
 
Network telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentationNetwork telemetry for DDoS detection presentation
Network telemetry for DDoS detection presentation
 
BGP FlowSpec experience and future developments
BGP FlowSpec experience and future developmentsBGP FlowSpec experience and future developments
BGP FlowSpec experience and future developments
 
Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points Using MikroTik routers for BGP transit and IX points
Using MikroTik routers for BGP transit and IX points
 
VietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume BasedVietTel AntiDDoS Volume Based
VietTel AntiDDoS Volume Based
 
DDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP InfrastructuresDDoS Defense Mechanisms for IXP Infrastructures
DDoS Defense Mechanisms for IXP Infrastructures
 
FastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection toolFastNetMon Advanced DDoS detection tool
FastNetMon Advanced DDoS detection tool
 
Flowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoiseFlowspec contre les attaques DDoS : l'expérience danoise
Flowspec contre les attaques DDoS : l'expérience danoise
 
Detectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOSDetectando DDoS e intrusiones con RouterOS
Detectando DDoS e intrusiones con RouterOS
 
DeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPSDeiC DDoS Prevention System - DDPS
DeiC DDoS Prevention System - DDPS
 
Lekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_flLekker weer nlnog_nlnog_ddos_fl
Lekker weer nlnog_nlnog_ddos_fl
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
 
Implementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit networkImplementing BGP Flowspec at IP transit network
Implementing BGP Flowspec at IP transit network
 
SIG-NOC Tools Survey
SIG-NOC Tools SurveySIG-NOC Tools Survey
SIG-NOC Tools Survey
 
Containers in real world презентация
Containers in real world презентацияContainers in real world презентация
Containers in real world презентация
 
Containers are the future of the Cloud
Containers are the future of the CloudContainers are the future of the Cloud
Containers are the future of the Cloud
 

Estratégias Defesa DDoS

  • 1. Estratégias de Defesa Contra Ataques de Negação de Serviço GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com
  • 2. Agenda • Introdução • Tipos de Ataques de Negação de Serviço • Planejamento • Detecção • Contra-medida
  • 4. Definição • Ataque de Negação de Serviço (Denial-of- serice – DoS): Uma tentativa de indisponibilizar um recurso ou serviço aos seus usuários, tal como impossibilitar o acesso à um website na Internet. • Versão 2.0: Ataque de Negação de Serviço Distribuído ou DDoS.
  • 5. Ataque de Negação de Serviço Distribuído (DDoS) http://meu.servidor.com.br Atacante Usuários
  • 11. http://www.team-cymru.org/graphs.html OCTOBER 2015 NEUSTAR DDOS ATTACKS & PROTECTION REPORT: NORTH AMERICA & EMEA AKAMAI STATE OF THE INTERNET SECURITY REPORT Q2-2015
  • 13. Um dia comum na vida...
  • 14. Principais Alvos: Setores • Games • Empresas de jogos • Jogos on-line • Internet, Tecnologia, Software, etc • Lojas virtuais (e-commerce) • Serviços Financeiros
  • 16. Tipos de Ataques DoS e DDoS • Mais visíveis versus “menos visíveis” • Flood – Consumo de banda / capacidade interface • Protocol flood (ICMP, UDP, etc) • Reflexão – Consumo de recursos de sistemas / protocolos • Syn Flood TCP • Slowloris para HTTP • Ataques DoS ao NDP IPv6 • DD4BC: DDoS 4 Bitcoin – Mais informações: https://blog.arbornetworks.com/icymi-arbors-roland- dobbins-nanog-presentation-on-the-dd4bc-extortion-campaign/
  • 17. Ataques de Reflexão • Principais protocolos e fator de multiplicação – NTP (123/udp) – 556x – DNS (53/udp) – 28 a 54x – SSDP (1900/udp) – 30x – RIPv1 (520/udp) – 131x – SNMP (161/udp) – 6x – Fonte: https://www.us- cert.gov/ncas/alerts/TA14-017A • IP Source Address Spoofing ou BCP38 – http://bcp.nic.br/ – https://www.routingmanifesto.org/ • Importância da definição de um bom baseline para instalação de equipamentos. – Atenção às configurações “de fábrica”.
  • 19. Arquitetura do Sistema • Uma botnet versus o seu firewall / servidor – Identificar os serviços mais críticos – Distribuir o controle do acesso – Permitir o crescimento elástico e distribuído • “Dividir para conquistar” – Anycast – CDN – GSLB (Global Server Load-balance)
  • 20. Endereçamento IP • Planejar com margem para manobras: – Separar alocações de infra-estrutura de alocações para clientes / serviços. – Alocar os clientes ou serviços “especiais” em diferentes blocos /24. • Servidores DNS autoritativos devem estar em /24 diferentes! – “The name servers must be in at least two topologically separate networks. A network is defined as an origin autonomous system in the BGP routing table. The requirement is assessed through inspection of views of the BGP routing table.” - https://www.iana.org/help/nameserver-requirements – Alexa TOP 500 Brasil (440 websites) • 0,61% possui apenas um servidor DNS autoritativo • 26,82% possui 2 servidores DNS autoritativo • 8,41% possuem todos os servidores DNS autoritativo em um mesmo bloco /24
  • 21. Links de Trânsito • Antes de contratar o seu “link de Internet”: – Avaliar a possibilidade de “on-demand” e planejar a interface física para suportar upgrades com menor downtime (link-aggregation?). – Contratação na modalidade 95-percentil. – Communities BGP para Blackhole é obrigatório! • Mesmo para peering? – Communities BGP para controle de anúncios é recomendado. – Avaliar a possibilidade de acordos comerciais ($$$) para a operadora bloquear tráfego não desejado. – Atenção ao contratar trânsito através de um ponto de troca de tráfego: sempre implementar uma forma de controle para o tráfego do trânsito não interferir no tráfego de peering.
  • 22. Equipamentos • Avaliar a capacidade de todos os equipamentos. – “Meu roteador de US$ 500k está conectado em um switch de US$ 3k!!!” • Atenção a capacidade dos sistemas em bps e pps. • Ajustar parâmetros “default”: – Desabilitar serviços que não são utilizados (!!!). – Ajustar os parâmetros de limites do plano de controle (Cisco CoPP ou Juniper DDoS protection ou ...). – Ajustar o número máximo de sessões e proteções default (firewall). – Parâmetros de kernel e CPU/NIC Affinity (servidores e firewalls). – Mais informações: http://www.slideshare.net/securitysession/practical-steps- to-mitigate-ddos-attacks
  • 24. Você só poderá detectar o que você pode ver! • Visibilidade dos ativos (interna) – Monitoração de tráfego nas interfaces - incluindo taxa de pacotes (pps) – Monitoração detalhada dos equipamentos e serviços • CPU, memória, CPU de line card, etc e os limites de cada hardware • Número de sessões para um serviço e taxa de novas conexões • Número de conexões SYN_RECEIVED • Visibilidade dos ativos (externa) • Uptime Robot • StatusCake • Pingdom • ThousandEyes • Visibilidade do tráfego *flow (sflow, netflow, ipix, etc) • Free – cflowd / flowscan – https://github.com/FastVPSEestiOu/fastnetmon e http://www.enog.org/presentations/enog-9/17-FastNetMon_ENOG_pdf.pdf – http://nfsen.sourceforge.net/ – http://www.sflow.org/products/collectors.php – https://www.telcomanager.com/en/trafip-netflow-collector-and-analyzer • Pagos – Arbor Peakflow – Plixer Scrutinizer – Manageengine Netflow Analyzer
  • 25. Conhecimento • Análise de tendência – Frequência dos ataques – Alvos preferidos – Protocolos mais utilizados - pelos usuários e pelos atacantes. • Quanto maior o conhecimento da rede e dos serviços utilizados, maior serão as opções de contra-medidas disponíveis.
  • 27. O ataque é menor que a banda disponível • ACL e Controle de banda (bps) – “Disponível nos melhores equipamentos do ramo.” • Controle de taxa de pacotes (pps) – Por exemplo Cisco 6880-X – Feature request para Juniper MX • FlowSpec – Regras por tamanho do pacote (!!!) • Elemento de mitigação “out-of-band” – Proxy de alta capacidade (para serviços específicos) – Appliance de rede com maior granularidade de regras • GeoIP • Assinatura do tráfego
  • 28. O ataque é maior que a banda disponível • Aumente a banda!  • Seu provedor / data center é seu amigo (???) • Remotely-Triggered Black Hole (RTBH) – RFC5635 – Através do BGP, sinalizar o bloqueio total para um IP – Salva a rede, mata um IP (ou vários) – Quanto melhor sua conectividade, menor sua indisponibilidade – Nacional versus internacional (e a China?) – Importância de peering
  • 29. O ataque é maior que a banda disponível • Clean pipe – Exemplos: Staminus, Black Lotus (Level 3), Imperva Incapsula – Problema de túneis GRE e MTU • Muito bom quando você é um provedor de conteúdo (requisição = 80 bytes, conteúdo = 1500 bytes) • Muito ruim quando você é um provedor de serviço (download com pacotes de 1500 bytes) – Importância do peering
  • 30. O ataque é maior que a banda disponível • Distribuir o “alvo” do ataque. – Anycast – Global Server Load-balance (GSLB) – CDN • Instalar um POP na China.
  • 31. Dúvidas? GTS 26 – São Paulo/SP – 11/dez/2015 Gustavo Rodrigues Ramos grramos@uoldiveo.com