SlideShare uma empresa Scribd logo

Ataques DDoS - Panorama, Mitigação e Evolução

Wilson Rogerio Lopes
Wilson Rogerio Lopes

O documento discute ataques DDoS, incluindo um ataque de 400Gbps usando servidores NTP e um aumento de 223.935 notificações de ataques em 2014 no Brasil. Também apresenta métodos de mitigação como clean pipes de provedores, serviços de nuvem, load balancers e técnicas caseiras como iptables e ModSecurity.

1 de 18
Baixar para ler offline
Ataques DDoS Panorama, Mitigação e Evolução Wilson Rogério Lopes GTER 39 05/2015
“DDoS is a new spam…and it’s everyone’s problem now.” Preston Hogue
CERT.br registra aumento de ataques de negação de serviço em 2014 “...223.935 notificações, um número 217 vezes maior que o registrado em 2013.”
Technical Details Behind a 400Gbps NTP Amplification DDoS Attack 13 Feb 2014 by Matthew Prince http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/ “To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks. On average, each of these servers sent 87Mbps of traffic to the intended victim on CloudFlare's network. Remarkably, it is possible that the attacker used only a single server running on a network that allowed source IP address spoofing to initiate the requests.”
600 ips Resposta de 48K para 234 bytes da consulta Fator de amplificação = 206 X NTP Monitoring List $ntpdc –c monlist 200.xxx.xxx.1
Fonte: Akamai Q1 2015 Report
Fonte: Atlas Arbor Networks
SSDP - Simple Service Discovery Protocol • UDP porta 1900 • “Search” Request • Fator de amplificação – 30x Fonte: https://ssdpscan.shadowserver.org/
Chinese government linked to largest DDoS attack in GitHub history http://www.techrepublic.com/article/chinese-government-linked-to-largest-ddos-attack-in-github-history/ 26/03/2015 Man-in-the-middle – “Grande firewall da China” ? Baidu Analytics – javascript substituído http://hm.baidu.com/h.js Get a cada 2 segundos nas urls : https://github.com/greatfire https://github.com/cn-nytimes
Digital Attack Map – Atlas Arbor e Google Ideas http://www.digitalattackmap.com/
Mitigação – Clean Pipe Operadoras PE Operadora CPE Cliente Cleaning Center • Normal Traffic • Attack Traffic • Cleaned Traffic • Detecção do ataque via Netflow • Anúncio mais específico via BGP do ip/prefixo atacado • “Limpeza” do tráfego - Syn cookies - Filtros estáticos: Drop UDP 1900 Drop UDP 123 - Rate Limit - Protocol Authentication - GeoIP
Mitigação – Cloud DDoS Service Providers PE Operadora CPE Cliente • Normal Traffic • Attack Traffic • Cleaned Traffic • Túnel GRE com a rede do Cloud Provider • Sessão BGP estabelecida • Detecção do ataque via Netflow • Anúncio do bloco atacado via BGP • Cloud Provider divulga o anúncio para seus upstreams • Bloqueio de ataques de camada 3 e 4 • Serviço de Proxy / WAF HTTP/HTTPS Cloud Provider Network BGP GRE GRE Prós • Capacidade/Superfície de mitigação • Implementação sem necessidade de adequações na infra Contras • Latência - anúncios fora do BR • GRE e MSS – adequação do MSS, TCP DF bit setado Inbound traffic Outbound traffic
Mitigação – Load Balancers • Syn Flood - Syn Cookies por hardware – Centenas de milhões de syn cookies por segundo • L7 HTTP/HTTPS Floods - Análise header HTTP Check de User Agent Check de Referer - Rate limit IP/URL/URI - Inserção de cookies - Inserção de js - Inserção de captcha
Mitigação – Home Made • Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
Mitigação – Home Made • Mod Evasive Limita número de requests baseado na URL, URI, ip de origem e intervalo de tempo DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 60 DOSEmailNotify admin@example.org
Mitigação – Home Made • Mod Security WAF – Monitoração, log e bloqueio OWASP Core rules - https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Violação de protocolo RBL Bloqueio de floods e slow attacks Bot, crowler e scan detection
Mitigação – Recomendações • Mitigação híbrida – Tenha o controle nas mãos para não morrer pela vacina Bloqueio de ataques l3/l4 no provedor Bloqueio local de ataques de aplicação • Monitoração com foco específico para DDoS Monitorações do NOC geralmente não atendem à agilidade que a mitigação de um DDoS necessita • Bom e velho Anycast • Fuja de controles statefull na borda • Não bloqueie tcp 53 e pacote dns udp maior que 512. Não, esta não é a RFC 
Referências • Arbor Networks Detects Largest Ever DDoS Attack in Q1 2015 DDoS Report http://www.arbornetworks.com/news-and-events/press-releases/recent-press-releases/5405-arbor-networks- records-largest-ever-ddos-attack-in-q1-2015-ddos-report • Akamai Q1 2015 SOTI Security Preview: 7 Attack Vectors https://blogs.akamai.com/2015/05/q1-2015-state-of-the-internet-security-report-released.html • Mod Evasive - http://www.zdziarski.com/blog/?page_id=442 • Mod Security - https://www.modsecurity.org/ • Iptables SynProxy - http://rhelblog.redhat.com/2014/04/11/mitigate-tcp-syn-flood-attacks-with-red-hat- enterprise-linux-7-beta/

Recomendados

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Wilson Rogerio Lopes
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddosPavel Odintsov
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPAndre Peres
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix
 

Recomendados

Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...
Uso do MacSec (802.1ae) em complemento ao 802.1x em redes corporativas - Cont...Wilson Rogerio Lopes
 
7 - segurança - dmz vpn
7 - segurança - dmz vpn7 - segurança - dmz vpn
7 - segurança - dmz vpnAndre Peres
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
03 estrategia-ddos
03 estrategia-ddos03 estrategia-ddos
03 estrategia-ddosPavel Odintsov
 
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPIntrodução a Redes de Computadores - 4 - Nível de Aplicação DHCP
Introdução a Redes de Computadores - 4 - Nível de Aplicação DHCPAndre Peres
 
Configurando um servidor
Configurando um servidorConfigurando um servidor
Configurando um servidorTiago
 
Agility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks - F5 GTM v20131009a
Agility Networks - F5 GTM v20131009aAgility Networks
 
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with Zabbix
Zabbix Conference LatAm 2016 - Jessian Ferreira - Wireless with ZabbixZabbix
 
Escalando Sites com Nginx
Escalando Sites com NginxEscalando Sites com Nginx
Escalando Sites com NginxTiago Albineli Motta
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Euler Neto
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
QCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes DeepdiveQCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes DeepdiveRicardo Katz
 
Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)José Ângelo Fraulo
 
Minha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorMinha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorAugusto Amaral
 
Zabbix Performance Tuning
Zabbix Performance TuningZabbix Performance Tuning
Zabbix Performance TuningAlessandro Silva
 
Servidor proxy Squid
Servidor proxy SquidServidor proxy Squid
Servidor proxy SquidFilipe Fernandes
 
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsWebinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsSolarWinds
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglas Esteves
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storntdc-globalcode
 
estrategia-ddos-gustavo
estrategia-ddos-gustavoestrategia-ddos-gustavo
estrategia-ddos-gustavoGustavo Rodrigues Ramos
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
PABX IP utilizando Asterisk
PABX IP utilizando AsteriskPABX IP utilizando Asterisk
PABX IP utilizando AsteriskHelio Loureiro
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Trabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJTrabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJRodrigo Azevedo
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolosDayane Sousa
 
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)Fabiano Weimar
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29Gustavo Rodrigues Ramos
 
Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Paulo Cacciari
 

Mais conteúdo relacionado

Mais procurados

5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Euler Neto
 
QCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes DeepdiveQCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes DeepdiveRicardo Katz
 
Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)José Ângelo Fraulo
 
Minha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorMinha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorAugusto Amaral
 
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsWebinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsSolarWinds
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglas Esteves
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storntdc-globalcode
 

Mais procurados (13)

Escalando Sites com Nginx
Escalando Sites com NginxEscalando Sites com Nginx
Escalando Sites com Nginx
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewall
 
Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)Explicando segurança e privacidade com Wireshark (2017)
Explicando segurança e privacidade com Wireshark (2017)
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
QCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes DeepdiveQCon 2019 - Kubernetes Deepdive
QCon 2019 - Kubernetes Deepdive
 
Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)Ipteste network assessment (dados e voz)
Ipteste network assessment (dados e voz)
 
Minha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay TorMinha experiencia como operador de um relay Tor
Minha experiencia como operador de um relay Tor
 
Zabbix Performance Tuning
Zabbix Performance TuningZabbix Performance Tuning
Zabbix Performance Tuning
 
Servidor proxy Squid
Servidor proxy SquidServidor proxy Squid
Servidor proxy Squid
 
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWindsWebinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
Webinar em português sobre o Netflow Traffic Analyser (NTA) da SolarWinds
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
Douglasesteves meetupzabbix
Douglasesteves meetupzabbixDouglasesteves meetupzabbix
Douglasesteves meetupzabbix
 
Stream processing com Python e Apache Storn
Stream processing com Python e Apache StornStream processing com Python e Apache Storn
Stream processing com Python e Apache Storn
 

Semelhante a Ataques DDoS - Panorama, Mitigação e Evolução

DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoGustavo Neves
 
PABX IP utilizando Asterisk
PABX IP utilizando AsteriskPABX IP utilizando Asterisk
PABX IP utilizando AsteriskHelio Loureiro
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan SeidlTI Safe
 
Trabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJTrabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJRodrigo Azevedo
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolosDayane Sousa
 
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)Fabiano Weimar
 
Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Paulo Cacciari
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Como definir a quantidade de workers para sua aplicação
Como definir a quantidade de workers para sua aplicaçãoComo definir a quantidade de workers para sua aplicação
Como definir a quantidade de workers para sua aplicaçãoWeverton Timoteo
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDFrederico Madeira
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...Mauro Risonho de Paula Assumpcao
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univemevandrovv
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresEuler Neto
 
Introdução a Software-defined Networks
Introdução a Software-defined NetworksIntrodução a Software-defined Networks
Introdução a Software-defined Networkscaixamagicasoftware
 
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdfGiovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdfEwersonLuizOliveira
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvemIgnacio Nin
 

Semelhante a Ataques DDoS - Panorama, Mitigação e Evolução (20)

estrategia-ddos-gustavo
estrategia-ddos-gustavoestrategia-ddos-gustavo
estrategia-ddos-gustavo
 
DDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviçoDDoS - Ataque de negação de serviço
DDoS - Ataque de negação de serviço
 
PABX IP utilizando Asterisk
PABX IP utilizando AsteriskPABX IP utilizando Asterisk
PABX IP utilizando Asterisk
 
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
[CLASS 2014] Palestra Técnica - Marcelo Branquinho e Jan Seidl
 
Trabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJTrabalho sobre DHCP - Especialização em redes PUC RJ
Trabalho sobre DHCP - Especialização em redes PUC RJ
 
Serviços e protocolos
Serviços e protocolosServiços e protocolos
Serviços e protocolos
 
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
Performance Tuning de Clusters Plone - PyConBrasil 2 (2006)
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29
 
Cloud Security - Exceda 2014
Cloud Security - Exceda 2014Cloud Security - Exceda 2014
Cloud Security - Exceda 2014
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Como definir a quantidade de workers para sua aplicação
Como definir a quantidade de workers para sua aplicaçãoComo definir a quantidade de workers para sua aplicação
Como definir a quantidade de workers para sua aplicação
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
 
4. cloud ninja rede para faixa preta
4. cloud ninja rede para faixa preta4. cloud ninja rede para faixa preta
4. cloud ninja rede para faixa preta
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Segurança e Forense em Redes de Computadores
Segurança e Forense em Redes de ComputadoresSegurança e Forense em Redes de Computadores
Segurança e Forense em Redes de Computadores
 
Servidor Proxy Squid
Servidor Proxy SquidServidor Proxy Squid
Servidor Proxy Squid
 
Introdução a Software-defined Networks
Introdução a Software-defined NetworksIntrodução a Software-defined Networks
Introdução a Software-defined Networks
 
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdfGiovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
 
Datacenter na nuvem
Datacenter na nuvemDatacenter na nuvem
Datacenter na nuvem
 

Mais de Wilson Rogerio Lopes

DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53Wilson Rogerio Lopes
 
Zero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWSZero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWSWilson Rogerio Lopes
 
DDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and MitigationDDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and MitigationWilson Rogerio Lopes
 
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...Wilson Rogerio Lopes
 
DNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using BindDNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using BindWilson Rogerio Lopes
 
Palestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT ForumPalestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT ForumWilson Rogerio Lopes
 

Mais de Wilson Rogerio Lopes (9)

DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53DNS na AWS - Zero To Hero using Route 53
DNS na AWS - Zero To Hero using Route 53
 
Zero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWSZero to Hero for Network Admins on AWS
Zero to Hero for Network Admins on AWS
 
DDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and MitigationDDoS Attacks - Scenery, Evolution and Mitigation
DDoS Attacks - Scenery, Evolution and Mitigation
 
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
Cisco TrustSec - Software Defined Segmentation e sua aplicabilidade em Segura...
 
Implementação do DNSSEC no iG
Implementação do DNSSEC no iGImplementação do DNSSEC no iG
Implementação do DNSSEC no iG
 
DNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using BindDNSSEC -Provisioning and Automatization using Bind
DNSSEC -Provisioning and Automatization using Bind
 
BGP Traffic Engineering on IXP
BGP Traffic Engineering on IXPBGP Traffic Engineering on IXP
BGP Traffic Engineering on IXP
 
DNS,DNSSEC and Best Practices
DNS,DNSSEC and Best PracticesDNS,DNSSEC and Best Practices
DNS,DNSSEC and Best Practices
 
Palestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT ForumPalestra sobre DNS apresentada no 3 PTT Forum
Palestra sobre DNS apresentada no 3 PTT Forum
 

Ataques DDoS - Panorama, Mitigação e Evolução

  • 1. Ataques DDoS Panorama, Mitigação e Evolução Wilson Rogério Lopes GTER 39 05/2015
  • 2. “DDoS is a new spam…and it’s everyone’s problem now.” Preston Hogue
  • 3. CERT.br registra aumento de ataques de negação de serviço em 2014 “...223.935 notificações, um número 217 vezes maior que o registrado em 2013.”
  • 4. Technical Details Behind a 400Gbps NTP Amplification DDoS Attack 13 Feb 2014 by Matthew Prince http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack/ “To generate approximately 400Gbps of traffic, the attacker used 4,529 NTP servers running on 1,298 different networks. On average, each of these servers sent 87Mbps of traffic to the intended victim on CloudFlare's network. Remarkably, it is possible that the attacker used only a single server running on a network that allowed source IP address spoofing to initiate the requests.”
  • 5. 600 ips Resposta de 48K para 234 bytes da consulta Fator de amplificação = 206 X NTP Monitoring List $ntpdc –c monlist 200.xxx.xxx.1
  • 6. Fonte: Akamai Q1 2015 Report
  • 8. SSDP - Simple Service Discovery Protocol • UDP porta 1900 • “Search” Request • Fator de amplificação – 30x Fonte: https://ssdpscan.shadowserver.org/
  • 9. Chinese government linked to largest DDoS attack in GitHub history http://www.techrepublic.com/article/chinese-government-linked-to-largest-ddos-attack-in-github-history/ 26/03/2015 Man-in-the-middle – “Grande firewall da China” ? Baidu Analytics – javascript substituído http://hm.baidu.com/h.js Get a cada 2 segundos nas urls : https://github.com/greatfire https://github.com/cn-nytimes
  • 10. Digital Attack Map – Atlas Arbor e Google Ideas http://www.digitalattackmap.com/
  • 11. Mitigação – Clean Pipe Operadoras PE Operadora CPE Cliente Cleaning Center • Normal Traffic • Attack Traffic • Cleaned Traffic • Detecção do ataque via Netflow • Anúncio mais específico via BGP do ip/prefixo atacado • “Limpeza” do tráfego - Syn cookies - Filtros estáticos: Drop UDP 1900 Drop UDP 123 - Rate Limit - Protocol Authentication - GeoIP
  • 12. Mitigação – Cloud DDoS Service Providers PE Operadora CPE Cliente • Normal Traffic • Attack Traffic • Cleaned Traffic • Túnel GRE com a rede do Cloud Provider • Sessão BGP estabelecida • Detecção do ataque via Netflow • Anúncio do bloco atacado via BGP • Cloud Provider divulga o anúncio para seus upstreams • Bloqueio de ataques de camada 3 e 4 • Serviço de Proxy / WAF HTTP/HTTPS Cloud Provider Network BGP GRE GRE Prós • Capacidade/Superfície de mitigação • Implementação sem necessidade de adequações na infra Contras • Latência - anúncios fora do BR • GRE e MSS – adequação do MSS, TCP DF bit setado Inbound traffic Outbound traffic
  • 13. Mitigação – Load Balancers • Syn Flood - Syn Cookies por hardware – Centenas de milhões de syn cookies por segundo • L7 HTTP/HTTPS Floods - Análise header HTTP Check de User Agent Check de Referer - Rate limit IP/URL/URI - Inserção de cookies - Inserção de js - Inserção de captcha
  • 14. Mitigação – Home Made • Iptables SynProxy Kernel 3.13, Red Hat 7 iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT –notrack iptables -I INPUT -p tcp -m tcp -m conntrack –ctstate UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460
  • 15. Mitigação – Home Made • Mod Evasive Limita número de requests baseado na URL, URI, ip de origem e intervalo de tempo DOSPageCount 2 DOSSiteCount 50 DOSPageInterval 1 DOSSiteInterval 1 DOSBlockingPeriod 60 DOSEmailNotify admin@example.org
  • 16. Mitigação – Home Made • Mod Security WAF – Monitoração, log e bloqueio OWASP Core rules - https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project Violação de protocolo RBL Bloqueio de floods e slow attacks Bot, crowler e scan detection
  • 17. Mitigação – Recomendações • Mitigação híbrida – Tenha o controle nas mãos para não morrer pela vacina Bloqueio de ataques l3/l4 no provedor Bloqueio local de ataques de aplicação • Monitoração com foco específico para DDoS Monitorações do NOC geralmente não atendem à agilidade que a mitigação de um DDoS necessita • Bom e velho Anycast • Fuja de controles statefull na borda • Não bloqueie tcp 53 e pacote dns udp maior que 512. Não, esta não é a RFC 
  • 18. Referências • Arbor Networks Detects Largest Ever DDoS Attack in Q1 2015 DDoS Report http://www.arbornetworks.com/news-and-events/press-releases/recent-press-releases/5405-arbor-networks- records-largest-ever-ddos-attack-in-q1-2015-ddos-report • Akamai Q1 2015 SOTI Security Preview: 7 Attack Vectors https://blogs.akamai.com/2015/05/q1-2015-state-of-the-internet-security-report-released.html • Mod Evasive - http://www.zdziarski.com/blog/?page_id=442 • Mod Security - https://www.modsecurity.org/ • Iptables SynProxy - http://rhelblog.redhat.com/2014/04/11/mitigate-tcp-syn-flood-attacks-with-red-hat- enterprise-linux-7-beta/