ddos как актуальная проблема безопасности
TRANSCRIPT
![Page 1: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/1.jpg)
DDoS как актуальная проблема безопасности
Андрей Бондаренко
![Page 2: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/2.jpg)
Классификация DDoS атак
(D)DoS: отказ сервиса из-за злонамеренного
исчерпания ресурсов.
Отказоустойчивость: доступность сайта извне.
![Page 3: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/3.jpg)
Классификация DDoS атак
Классификация очень важна, она отвечает
на вопрос:
“какую задачу решаем?”
![Page 4: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/4.jpg)
Классификация DDoS атак
• Защита от атак из списка: плохо
• Обеспечение устойчивости сервиса: хорошо
![Page 5: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/5.jpg)
Классификация DDoS атак
• Канал
• Инфраструктура
• TCP
• Уровень приложения (7lvl)
![Page 6: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/6.jpg)
Канал и инфраструктура
• Амплификаторы
• Сотни тысяч ботов
• Обычно, пакеты массово генерированы
• Дешевая и простая атака
![Page 7: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/7.jpg)
Амплификатор
DNS IP
TXT: AAAAAAA[2048]
UDP
SRC: target IP
DST: DNS IP
Payload: TXT?
UDP
SRC: DNS IP
DST: traget IP
Payload: TXAAAAAAA[2048]
Было: 1 пакет
Стало: over9000 пакетов
![Page 8: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/8.jpg)
ТСP
SYN-flood
ACK-flood
Connection flood и т.п.
![Page 9: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/9.jpg)
TCP
Тысячи, десятки тысяч ботов;
Чуть более интеллектуальная атака;
Может заваливать и канал/оборудование
тоже – комбинированная атака.
![Page 10: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/10.jpg)
Уровень приложения
• Таргетированная атака на медленную часть
веб-приложения;
• Рост популярности в последнее время;
• Сопровождается атаками первых двух типов;
• Тяжелее всего фильтровать на вторые
бессонные сутки.
![Page 11: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/11.jpg)
Экономика атаки
AMP: сервер за ~ $50/месяц + список амплификаторов
Bots: ~ $100-$1000
Индивидуальный подход: >$1000
![Page 12: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/12.jpg)
Самостоятельная работа
• канал
• персонал
• непрофильная деятельность
![Page 13: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/13.jpg)
Самостоятельная работа
• полный контроль
• может сработать на простых случаях
![Page 14: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/14.jpg)
Вендорские решения
• канал
• квалифицированный персонал
• цена решения + амортизация +
ежегодная плата за поддержку
![Page 15: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/15.jpg)
Вендорские решения
• можно показать заказчику из бизнес-
подразделений, что может быть
действительно важно для некоторых
заказчиков
![Page 16: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/16.jpg)
Saas
• сервис работает as is
• легко заявить то, чего нет
![Page 17: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/17.jpg)
Saas
• сервис - основной бизнес поставщика,
• CapEX == 0
• легко заменить
![Page 18: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/18.jpg)
Saas: обязательные требования
• Собственная автономная система (AS)
• Географическое распределение AS
• Несколько операторов
• Большая суммарная канальная емкость
![Page 19: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/19.jpg)
Собственная автономная система (AS)
IP-адрес должен быть скрыт от атакующей стороны за IP-адресом
защитника от DDoS.
Это обязательное требование.
IP-адрес обязан принадлежать системе защиты от атак.
Это самое базовое требование, которому не соответствуют
некоторые игроки рынка.
![Page 20: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/20.jpg)
Географическое распределение AS
DDoS должен подавляться там, где он порождается
Центры очистки должны быть близки и к пользователям
сайтов и к самому сайту для минимизации задержек
![Page 21: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/21.jpg)
Несколько операторов
• Защита не может быть надежнее, чем оператор, на
котором построена автономная система защитника
• Даже самые лучшие операторы могут иметь проблемы
с доступностью и падения стыков с соседями
• «Операторские войны» порождают задержки (маршрут
из Рент в ТТК через Амстердам). Облако защиты от
DDoS должно это учитывать.
![Page 22: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/22.jpg)
Большая суммарная канальная емкость
Очевидное требование: емкость должна быть больше,
чем возможная на данный момент атака.
Неочевидное следствие: так как ни один оператор не
дает бесконечно много, то трафик всегда должен
распределяться по всем площадкам защитника.
![Page 23: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/23.jpg)
Цифры из рекламы
Показатели из рекламы, которые могут быть интересны (на примере Qrator)
• отраженные атаки >100500Гб – «просто» BGP FlowSpec
• >450 000 ботов full browser stack - сложно
• более 100 атак в одни сутки – нет ручной работы
![Page 24: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/24.jpg)
Прозрачность решения
Обращайтесь за пентестами!
Group-IB, Dsec, Positive и другие расскажут очень много интересного.
![Page 25: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/25.jpg)
http://radar.qrator.net
Верифицированная модель связей AS:
Provider/Peer/Customer
Это бесплатный инструмент для мониторинга автономных систем, здесь вы увидите всех провайдеров и их связность для интересующей AS
![Page 26: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/26.jpg)
Прогноз
1. BGP-Hijacking
2. популярность volumetric-атак и атак на приложение будет
циклически сменяться
3. рост SaaS
4. Запрос отказоустойчивости против «таких-то атак»
![Page 27: DDoS как актуальная проблема безопасности](https://reader033.vdocuments.net/reader033/viewer/2022042706/58a0c1231a28ab7c6c8b5277/html5/thumbnails/27.jpg)
Будущее
1. Защита от DDoS как SaaS vs железо in house & железо у
оператора
2. Облачная защита каналов оператора
3. Работа с SSL без раскрытия
4. Доступность с точностью до дропов на транзитах AS
5. Доверенные клиенты, доверенные каналы, защищенный DNS