Ростелеком. Тимур Ибрагимов. "Развитие сервисов по...
TRANSCRIPT
«РАЗВИТИЕ СЕРВИСОВ ПО ЗАЩИТЕ ОТ DDOS-АТАК: ВЗГЛЯД СО СТОРОНЫ ОПЕРАТОРА СВЯЗИ»
#CODEIB
#CODEIB
РОСТЕЛЕКОМ В ЦИФРАХ
2
28 000 000 АБОНЕНТОВ ФИКСИРОВАННОЙ ГОЛОСОВОЙ СВЯЗИ
11 200 000 АБОНЕНТОВ ШИРОКОПОЛОСНОГО ДОСТУПА В ИНТЕРНЕТ
8 200 000 АБОНЕНТОВ ПЛАТНОГО ТЕЛЕВИДЕНИЯ
80 РЕГИОНАЛЬНЫХ ФИЛИАЛОВ
2 500 ТОЧЕК ПРОДАЖ И ОБСЛУЖИВАНИЯ
160 000 СОТРУДНИКОВ
БОЛЬШЕ 50% АКЦИЙ КОМПАНИИ КОНТРОЛИРУЕТ ГОСУДАРСТВО
ОПОРНЫЙ УЗЕЛ
РЕГИОНАЛЬНЫЙ УЗЕЛ
ДАТА- ЦЕНТР
Nx40GГбит / с
Nx10 Гбит / с
#CODEIB
#CODEIB
КАК ПРОИСХОДЯТ DDoS-АТАКИ?
3
Botnet master инициирует команду атаковать
#CODEIB
#CODEIB4
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА?
NTP(для примера)
СЕРВЕРЫ, МАРШРУТИЗАТОРЫ, CPE
172. 19. 234. 6
#CODEIB
#CODEIB5
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА?
NTP серверы
172. 19. 234. 6
UDP/80 – UDP/123, ~50 БАЙТ/ПАКЕТИСТОЧНИК (СПУФИНГ): 172.19.234.6НАЗНАЧЕНИЕ: РЯД СЕРВЕРОВ NTPNTP ЗАПРОС: MONLIST
#CODEIB
#CODEIB6
КАК УСТРОЕНАAMPLIFICATION/REFLECTION АТАКА?
NTP серверы
172. 19. 234. 6
UDP/123 – UDP/80, ~468 БАЙТИСТОЧНИК: NTP СЕРВЕРПОЛУЧАТЕЛЬ: 172.19.234.6ОТВЕТ: ДАННЫЕ О 600 ХОСТАХ
#CODEIB
#CODEIB
ВИДЫ DDoS-АТАК
7
DDoS НА TCP-СТЕК/ТАБЛИЦУ СЕССИЙ
• Атака, направленная на устройства связи с контролем состояний (load balancers, firewalls, application servers)
• Нацелена на традиционную структуру сетевой безопасности и на сервера
DDoS НА КАНАЛ СВЯЗИ
• Переполняет каналы связи:• Во внутренних сетях цели• Между сетями провайдера и атакуемой сетью
DDoS НА ПРИЛОЖЕНИЯ
• Малозаметные атаки на приложения – HTTP/DNS/SIP
• Нацелены на определенные уязвимости приложений
#CODEIB
#CODEIB8
ТИПОВОЕ ПОДКЛЮЧЕНИЕ КОМПАНИЙК ИНТЕРНЕТУ
• >= 50 Mbps• <= 1 Gbps
• Cont r ol Pl a ne• Pe r f or ma nc e
• St a t e f ul l• App I ns pe c t i on
• WWW• MAI L• DNS• VOI P• VPN
• Дос т уп в Инт е рне т
#CODEIB
#CODEIB9
ЗАЩИТА НА СТОРОНЕ КЛИЕНТА(БЕЗ УЧАСТИЯ ОПЕРАТОРА)
#CODEIB
#CODEIB10
• В СЕТЬ КЛИЕНТА НАЧИНАЕТ ПОСТУПАТЬ АНОМАЛЬНЫЙ ТРАФИК АТАКИ
• АКТИВИРУЕТСЯ СИСТЕМА ПРОТИВОДЕЙСТВИЯ АТАКЕ, ТРАФИК НАПРАВЛЯЕТСЯ НА ОЧИСТКУ
• ОЧИЩЕННЫЙ ТРАФИК ПЕРЕДАЁТСЯ В СЕТЬ КЛИЕНТА
СХЕМА СИСТЕМЫ АНАЛИЗА ТРАФИКАИ ЗАЩИТЫ ОТ DDoS АТАК
#CODEIB
#CODEIB
МАКСИМАЛЬНЫЙ ОБЪЕМ DDOS-АТАКИВ 2014 ГОДУ (ОТРАЖЕНИЕ КОМПЛЕКСОМКОМПАНИИ «РОСТЕЛЕКОМА»
11
#CODEIB
#CODEIB12
МАКСИМАЛЬНЫЙ ОБЪЕМ DDOS-АТАКИВ 2016 ГОДУ (ОТРАЖЕНИЕ КОМПЛЕКСОМКОМПАНИИ «РОСТЕЛЕКОМА»
#CODEIB
#CODEIB
Крупнейшая DDoS атака
*Источник: публичный блог Брайана Кребса rebsonsecurity.com
Атака с помощью botnet сетей размещенных в сегменте IoT
Рекордная мощность атаки – 665 Gbps
Продолжительность атаки – более 10 дней
Возраст злоумышленников 18 лет
Атака DNS Amplification
13#CODEIB
#CODEIB14
КЛИЕНТСКИЙ ПОРТАЛ
Ключевыми функциями порталаявляются оповещение клиента о начале и окончании атак
«ЗЕЛЕНОЕ» – небольшое превышение трафика, малаявероятность наличия атаки
«ЖЕЛТОЕ» – умеренное превышение,вероятность наличия атаки средняя
«КРАСНОЕ» – критическоепревышение, совершается атака
ПРИ ВОЗНИКНОВЕНИИАТАКИ ПРЕДУСМОТРЕНЫ ТРИ ТИПАОПОВЕЩЕНИЙ:
#CODEIB
#CODEIB
ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
16
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
Позволяет отражать атаки емкостью 160 Гбит/с до уровня приложений
Позволяет отражать атаки емкостью более 6 Тбит/с за счет отражения атаки на пограничныхмаршрутизаторах
КРУПНЕЙШАЯ В ЕВРОПЕ ИНСТАЛЛЯЦИЯ ОПЕРАТОРСКОГО КОМПЛЕКСА ЗАЩИТЫ ARBOR PEAKFLOW
50 инженеров обученных Arbor Peakflow
Опыт отражения атак пиковой производительностью 214 Гбит/с
Ежедневная фильтрация более 15 инцидентов емкостью более 10 Гбит/c
Опыт успешной защиты информационных ресурсов Олимпийских Игр Сочи 2014
#CODEIB
#CODEIB
ПРЕИМУЩЕСТВА ПАО «РОСТЕЛЕКОМ»
17
Система Arbor ATLAS отслеживает около половины глобального интернет трафика, чтопозволяет знать всю текущую информацию по атакам и противодействию им
Всем клиентам предоставляется доступ в личный кабинет по управлению услугой
Выделенная круглосуточная смена по отражению DDoS атак
Стоимость услуги не зависит от мощности и количества DDoS-атак
Единственный оператор связи, имеющий опыт подключения клиентских устройств защитыот DDoS - Arbor Pravail (опция Cloud-signaling)
Емкость российских пиринговых стыков составляет более 1,7 Тбит/с, международных пиров более 500 Гбит/с, емкость стыков с МН-апстримами – 700 Гбит/с, что позволяет контролировать существенную долю интернет трафика в РФ и отражать атаки на границе сети
#CODEIB
