cisco
DESCRIPTION
TRANSCRIPT
© 2007 Cisco Systems, Inc. All rights reserved. 1 1/128
РешениеCisco Clean Pipes по защите отDDoS-атак
Павел Антонов
Технический Консультант
© 2007 Cisco Systems, Inc. All rights reserved. 2 2/128SP Security
Что такое DDoS-атака?
Распределенная атака класса “Отказ в обслуживании”(далее – DDoS, Distributed Deny of Service) – это инцидентв сфере информационной безопасности, приводящий кнарушению режима штатного функционирования
информационной системы без нарушения целостности
или конфиденциальности информации.
© 2007 Cisco Systems, Inc. All rights reserved. 3 3/128SP Security
3. Атака
mbehring
Как происходят DDoS-атаки?
ISP CPE Цель
Теперь
“Зомби”
1. Заражение
2. Управление
Обычные
ПК
Хакер
© 2007 Cisco Systems, Inc. All rights reserved. 4 4/128SP Security
Типовые реализации DDoS-атак
� TCP (SYN, ACK, FIN, Established) Flood
� HTTP Get Flood
� DNS Query/Malformed Flood
� UDP Flood – fragmented/random ports
� ICMP Flood
…with source IP spoofing
© 2007 Cisco Systems, Inc. All rights reserved. 5 5/128SP Security
Вариантыпротиводействия
© 2007 Cisco Systems, Inc. All rights reserved. 6 6/128SP Security
Применимы ли традиционные средстваобеспечения ИБ для защиты от DDoS?
� Межсетевой экран / ACL?
� Rate-limit / ограничение кол-ва сессий?
� Сигнатурный анализ - IDS/IPS?
� Black-hole routing?
© 2007 Cisco Systems, Inc. All rights reserved. 7 7/128SP Security
� Производительность – 1Гбит/c, С доп. лицензией - 2 Гбит/c.
� Возможна установка нескольких модулей в одномшасси
� Захват трафика – SPAN, VACL
� Поддерживает до 150 активных зон
� Нет жесткого ограничения числа модулей защитыGuard, которые указываются в списке конфигурации
Модуль Cisco Detector
© 2007 Cisco Systems, Inc. All rights reserved. 8 8/128SP Security
� Производительность – 1Гбит/c, С доп. лицензией - 3 Гбит/c.
� Возможна установка нескольких модулей в одномшасси – 6 в 6509/7609, 10 в 6513/7613.
• Кластеризация 16Гбит/c на одну зону
• До 50 одновременно активных зон
• 4,5 миллиона одновременных соединений (1,5M наинтерфейс)
• Вносимая задержка: < 1 миллисекунды
Модуль Cisco Guard
© 2007 Cisco Systems, Inc. All rights reserved. 9 9/128SP Security
Как это работает
Объявление BGP
Мишень
1. Определение
2. Активация: Авто/Ручная
3. Перенаправлениетрафика мишени
Неатакуемые серверы
Cisco Anomaly Detector
Cisco
Guard
© 2007 Cisco Systems, Inc. All rights reserved. 1010/128SP Security
Как это работает
4. Идентификация ифильтрация трафика
DDoS-атаки
6. Трафикне к мишени
проходит
свободноМишень
Очищенный
трафик мишени
5. Передача очищенноготрафика
Трафик мишени
Неатакуемые серверы
Cisco
Guard
Cisco Anomaly Detector
© 2007 Cisco Systems, Inc. All rights reserved. 1111/128SP Security
Центр очисткии распределенное детектирование
Центр«очистки»
Пиринговыйпериметр
Ядро SP
AS 234
Out of Band
Management
NBAD
AS 123
AS 234Нижележащие ISP/Клиенты
Пиринговыйпериметр
Операторсвязи
ЭкспортЭкспорт NetFlowNetFlow
Guard Activation Guard Activation SSHSSH
ЧистыйЧистый трафиктрафик
ВесьВесь трафиктрафик
Cisco Detector
КластерCisco Guard
© 2007 Cisco Systems, Inc. All rights reserved. 1212/128SP Security
Обнаружение аномалий
� Что такое обнаружение?
Построение базового профиля является важнейшиммероприятием для поиска осуществляемой атаки
Аномалия – событие или условие в сети, характеризуемоестатистическим отклонением от базового профиля
Аномалия может быть вызвана не только DDoS-атакой
� Когда выявлена аномалия
следующим шагом является уведомление устройств(а), ответственного за разбор трафика на вредоносную илегитимную составляющие – Cisco Guard
© 2007 Cisco Systems, Inc. All rights reserved. 1313/128SP Security
Параметры, которые анализирует Detector иGuard
Поведение трафика в терминах:
1. Кол-ва пакетов в секунду
2. Соотношения (SYN к FIN)
3. Кол-во активных TCP сессий
4. Кол-во IP адресов, посылающих трафик в зону
С точки зрения:
1. Per destination Port
2. Per destination IP address
3. Per source IP address
4. Globally per Zone
© 2007 Cisco Systems, Inc. All rights reserved. 1414/128SP Security
Обнаружение аномалий: мониторинг копиитрафика и/или работа с телеметрией
� Работа с копией трафика
� Синхронизация базовогопрофиля с Cisco Guardповышает эффективностьфильтрации
� Ориентировано наконкретные задачиобнаружение атак назащищаемые зоны(серверные фермы, клиенты)
� Работа с телеметрией
� Возможно применение нетолько для обнаруженияаномалий
� Отсутствие топологическихограничений
� Широкие возможностимасштабирования
Cisco Detector Системы анализа NetFlow
© 2007 Cisco Systems, Inc. All rights reserved. 1515/128SP Security
Рекомендации по применениюсистемы обнаружения
� Detector необходимо размещать перед МСЭ и IDS
� Устанавливайте Detector ближе к защищаемой зоне
� Размещайте Detector после Guard
УстройствоПрименение
NetflowSP Peering Edge
NetflowМагистраль SP
Cisco DetectorЗащита клиентов
Cisco DetectorЦОД
© 2007 Cisco Systems, Inc. All rights reserved. 1616/128SP Security
Алгоритм работы устройства Guard
Проверка
источника
трафика
Статистический
анализ
Анализ
некорректных
пакетов
Ограничение
полосы
пропускания
Динамические и
Статические фильтры
Обнаружение аномалийи идентификацияподозрительных
потоков
Легитимный трафик + трафик атаки
© 2007 Cisco Systems, Inc. All rights reserved. 1717/128SP Security
Применение
механизмов
проверки источника
трафика
Легитимный трафик + трафик атаки
Алгоритм работы устройства Guard
Проверка
источника
трафика
Статистический
анализ
Ограничение
полосы
пропускания
Динамические и
Статические фильтры
Анализ
некорректных
пакетов
© 2007 Cisco Systems, Inc. All rights reserved. 1818/128SP Security
Легитимный трафик
Динамическое формирование
фильтров для блокирования
источников вредоносного трафика
Применить rate-limit
Алгоритм работы устройства Guard
Проверка
источника
трафика
Статистический
анализ
Ограничение
полосы
пропусканияДинамические и
Статические фильтры
Анализ
некорректных
пакетов
© 2007 Cisco Systems, Inc. All rights reserved. 1919/128SP Security
Механизмы Cisco Guard
� Защита от TCP SYN FLOOD – SYN Cookie
� Защита от атак на HTTP - Redirect
� Защита от атак на DNS - Truncate
� Защита от UDP Flood – проверка источника по TCP
� Защита от атак на SIP – SIP Options
� Защита от ICMP Flood – rate limit
© 2007 Cisco Systems, Inc. All rights reserved. 2020/128SP Security
Заключение
© 2007 Cisco Systems, Inc. All rights reserved. 2121/128SP Security
Операторы связи и DDoS-атаки
• Крупнейшие операторы связииспользуют устройства Guard длязащиты инфраструктуры иоказания услуг по очистке
• Аутсорсинговые услуги позволяютувеличить объем продаж другихуслуг безопасности
• Цена определяется объемомцентров очистки
• Различные варианты обнаруженияатаки (вручную, Detector, Netflow)
• Активация защиты с согласияабонента
• Стандартные илиперсонализированные политики
• Отчеты об атаках и услугах
Операторы связи
Хостинг-провайдеры
© 2007 Cisco Systems, Inc. All rights reserved. 2222/128SP Security
Cisco protecting Cisco
Background:
Network availability is crucial for business continuity because 93 percent of the company’s revenue — more than US $43,000 in sales per minute — is booked online using Cisco Internet connections and internal networks.
Challenge:
"Our challenge was to distinguish between malicious and legitimate traffic and to block only the former," says John Banner, a Cisco®network engineer.
Result:
"Cisco Guard has been successful in mitigating attacks directed toward Cisco’s e-commerce applications," says William Ku, project manager for the Cisco INS product team.
More “Cisco on Cisco” case studies: http://www.cisco.com/go/ciscoit
© 2007 Cisco Systems, Inc. All rights reserved. 2323/128SP Security
Вопросы и ответы
© 2007 Cisco Systems, Inc. All rights reserved. 2424/128SP Security