100Mpps czyli jak radzić sobie z atakami DDoS?

Redge Technologies
Redge TechnologiesRedge Technologies
100M pakietów na sekundę
czyli jak radzić sobie z atakami DDoS
Przemysław Frasunek 24 listopada 2016 r.
DDoS?
• DDoS - skoordynowany, rozproszony atak system teleinformatyczny
– Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych
• komputerów
• innych urządzeń IP (routery, kamery CCTV, drukarki itp.)
– Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu
• Prosty, tani, skuteczny
– Dostępny jako usługa (CaaS), nie trzeba być specjalistą
– Przystępny cenowo
– Cel ataku jest przeciążony i przestaje działać (strona, łącze, serwery)
– Nie wiadomo, kto stoi za atakiem
Skala problemu (1)
Skala problemu (2)
• 2013 r. – upowszechnienie ataków typu reflected
• 2016 r. – upowszechnienie ataków z botnetów IoT
• IX 2016: 660 Gb/s ataku na blog Briana Krebsa
• IX 2016: 1000 Gb/s sumy jednoczesnych ataków wewnątrz sieci OVH
• X 2016: 1200 Gb/s ataku na Dyn (DNS), awaria wpływa na serwisy m.in.
Netflix, Paypal, Spotify, Twitter
Dominacja ataków infrastrukturalnych
źródła:
• Akamai 2016Q3 report
• Verisign 2016Q2 report
Pytania do firmowego IT i do ISP
• Co się stanie z naszą bieżącą działalnością, jeśli otrzymamy 10, 20, … 100
gigabitów na sekundę ataku DDoS?
• Czy separacja urządzeń internetowych od sieci technologicznych jest pełna?
• Jaką pojemność ma zastosowane rozwiązanie anty DDoS – lokalne lub u
operatora?
• Czy blokada ataku polega po prostu na… zablokowaniu celu ataku? (blackholing)
Crime as a service (CaaS)
100G na PC – dlaczego to takie trudne?
Aby uzyskać 14,8 mln pakietów na sekundę (port 10Gb/s) potrzebujemy:
• 1277 ns na duży pakiet
• ~67,2 ns na mały pakiet
daje to w uproszczeniu (pomijając zrównoleglanie) około 200 cykli jednego rdzenia
współczesnego 3GHz CPU
Dla porównania:
• L2 cache: ~4 ns, L3 cache: ~8 ns
• atomic lock+unlock: 16 ns
• cache miss: ~32ns
• syscall: 50–100 ns (uwaga na wpływ SELinux)
redGuardian (1)
Bardzo wydajny filtr pakietów rozwijany przez Atende
Software od 2015 r.
• zastosowanie biblioteki Intel DPDK
• wykorzystanie mechanizmów dostępnych w nowych CPU
Intela (AVX2, DDIO, CAT)
• wydajność 100M pps (> 100 Gbps) na pojedynczym
serwerze klasy PC
• skalowanie liniowe przez partycjonowanie ruchu
• klasyfikacja ruchu wg nagłówków IP/TCP/UDP
• klasyfikacja wg payloadu
• filtry stanowe
• rate limiter
• interfejs do samplingu (PCAP)
redGuardian (2)
Regularny profiling i testy regresyjne
#50 test_gre.TestGre.test_frag_after_df ... passed
#51 test_gre.TestGre.test_frag_after_large ... passed
#52 test_gre.TestGre.test_frag_after_small ... passed
#53 test_gre.TestGre.test_frag_before_clear_df ... passed
#54 test_gre.TestGre.test_frag_before_df ... passed
[…]
#121 test_statefilter.TestStatefilter.test_hash_dnsid ... passed
#122 test_statefilter.TestStatefilter.test_hash_srcip ... passed
#123 test_statefilter.TestStatefilter.test_hash_srcport ... passed
#124 test_statefilter.TestStatefilter.test_make_tcp_reset ... passed
redGuardian w akcji
Reflected DNS Flood
123031 2468.332598000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov
TXT[Unreassembled Packet]
123035 2468.332848000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 stagg.cpsc.gov MX 5 hormel.cpsc.gov
TXT[Unreassembled Packet]
123038 2468.332977000 89.179.69.140 -> x DNS 200 Standard query response 0x1458 A 63.74.109.2 DNSKEY[Unreassembled Packet]
123044 2468.333063000 109.172.131.19 -> x DNS 194 Standard query response 0xca41 NS auth61.ns.uu.net SOA auth00.ns.uu.net NS
auth00.ns.uu.net
123047 2468.360474000 109.172.2.110 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]
123048 2468.360500000 115.42.166.98 -> x DNS 200 Standard query response 0x1458 NS auth61.ns.uu.net NS auth00.ns.uu.net MX 5
hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet]
123055 2468.360793000 77.122.99.234 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]
Modele wdrożeniowe
• BGP scrubbing center
– przejęcie ruchu przychodzącego, odbiór tunelem
• Lokalne scrubbing center
– dosył i odbiór ruchu dedykowanym łączem
• Licencja/on-premises
– wdrożenie u klienta na sprzęcie własnym lub
dostarczonym
– testowane u jednego z krajowych ISP
Koncepcja budowy narodowego scrubbing center
• Możliwość budowy narodowego/branżowego
scrubbing center przeznaczonego do ochrony
administracji publicznej i operatorów
infrastruktury krytycznej
• Podział kosztów zakupu infrastruktury i
utrzymania portów w IX
• Model realizowany w Holandii, przez
stowarzyszenie zrzeszające ISP
• Możliwość wykorzystania tanich i wydajnych
mechanizmów filtrowania ruchu
Przyszłość
• Wzrost liczebności botnetów IoT (źródła Mirai upubliczniono), miliony
zapomnianych, nie aktualizowanych urządzeń
• Wybór ataków w „IP streserach” zwiększy się
• Próby odcinania największych firm oraz całych krajów
• Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się
wygrać z tym problemem
Dziękuję za uwagę
1 sur 15

Recommandé

100 M pakietów na sekundę dla każdego. par
100 M pakietów na sekundę dla każdego. 100 M pakietów na sekundę dla każdego.
100 M pakietów na sekundę dla każdego. Redge Technologies
973 vues41 diapositives
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd... par
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...
Ochrona przed atakami DDoS na platformie x86. Czy można mieć jednocześnie wyd...Redge Technologies
716 vues24 diapositives
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT par
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITRedge Technologies
573 vues23 diapositives
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój par
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PROIDEA
10 vues25 diapositives
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost... par
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
49 vues32 diapositives
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych par
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PROIDEA
49 vues33 diapositives

Contenu connexe

Tendances

GlusterFS par
GlusterFSGlusterFS
GlusterFSŁukasz Jagiełło
1.8K vues32 diapositives
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ... par
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PROIDEA
27 vues21 diapositives
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6 par
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PROIDEA
54 vues48 diapositives
PLNOG16: Wielopunktowy VPN, Piotr Głaska par
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
209 vues36 diapositives
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru... par
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PROIDEA
29 vues19 diapositives
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu... par
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PROIDEA
45 vues27 diapositives

Tendances(20)

PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ... par PROIDEA
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PLNOG 4: Agata Malarczyk, Łukasz Nierychło - Jak urządzenia D-Link przenoszą ...
PROIDEA27 vues
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6 par PROIDEA
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PLNOG 4: Piotr Wojciechowski - NAT-PT, czyli współistnienie sieci IPv4 i IPv6
PROIDEA54 vues
PLNOG16: Wielopunktowy VPN, Piotr Głaska par PROIDEA
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEA209 vues
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru... par PROIDEA
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PLNOG 8: Lucjan Kisiel, Marcin Matyla - Router brzegowy z wydolnością 3 Gb ru...
PROIDEA29 vues
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu... par PROIDEA
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PLNOG 21: Piotr Okupski - Wieloetapowe_filtrowanie_ruchu_DDoS_za_pomocą_Wangu...
PROIDEA45 vues
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ... par PROIDEA
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PLNOG 6: Łukasz Jagiełło - Wdrożenie skalowalnego systemu plików GlusterFS w ...
PROIDEA8 vues
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak par PROIDEA
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz Jedynak
PROIDEA381 vues
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK par Semihalf
Złam zasady i stwórz wydajny stos IP przy użyciu DPDKZłam zasady i stwórz wydajny stos IP przy użyciu DPDK
Złam zasady i stwórz wydajny stos IP przy użyciu DPDK
Semihalf811 vues
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare... par PROIDEA
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PLNOG15: IP services architecture with TDM quality in MPLS/IP networks - Mare...
PROIDEA155 vues
Qnap - rozwiązania, portfolio, zastosowanie par EIP Sp. z o.o.
Qnap  - rozwiązania, portfolio, zastosowanieQnap  - rozwiązania, portfolio, zastosowanie
Qnap - rozwiązania, portfolio, zastosowanie
EIP Sp. z o.o.111 vues
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ... par PROIDEA
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PLNOG 13: Piotr Okupski: Implementation of Wanguard software as a protection ...
PROIDEA996 vues
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready par PROIDEA
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PLNOG 9: Borys Owczarzak - Winogrady IPv6 ready
PROIDEA12 vues
Onet barcamp 4 - Cloud Storage par OnetIT
Onet barcamp 4  - Cloud StorageOnet barcamp 4  - Cloud Storage
Onet barcamp 4 - Cloud Storage
OnetIT1.4K vues
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. par allegro.tech
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach. Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
Allegro Tech Talks Poznań #4: Jak przyspieszyć SOLRa w kilku prostych krokach.
allegro.tech1.8K vues
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym par PROIDEA
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PROIDEA29 vues
Projekcik Routery2 par arkulik
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
arkulik1.6K vues
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6 par PROIDEA
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PROIDEA51 vues
Stosy sieciowe w przestrzeni użytkownika. par Semihalf
Stosy sieciowe w przestrzeni użytkownika.Stosy sieciowe w przestrzeni użytkownika.
Stosy sieciowe w przestrzeni użytkownika.
Semihalf439 vues

En vedette

Spy hard, challenges of 100G deep packet inspection on x86 platform par
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platformRedge Technologies
4.3K vues35 diapositives
100 M pps on PC. par
100 M pps on PC.100 M pps on PC.
100 M pps on PC.Redge Technologies
4.2K vues46 diapositives
Functional approach to packet processing par
Functional approach to packet processingFunctional approach to packet processing
Functional approach to packet processingNicola Bonelli
1.5K vues21 diapositives
OSX/Pirrit: The blue balls of OS X adware par
OSX/Pirrit: The blue balls of OS X adwareOSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adwareAmit Serper
672 vues58 diapositives
Cat's anatomy par
Cat's anatomyCat's anatomy
Cat's anatomyNicola Bonelli
986 vues48 diapositives
OSINT for Attack and Defense par
OSINT for Attack and DefenseOSINT for Attack and Defense
OSINT for Attack and DefenseAndrew McNicol
9.8K vues46 diapositives

En vedette(11)

Spy hard, challenges of 100G deep packet inspection on x86 platform par Redge Technologies
Spy hard, challenges of 100G deep packet inspection on x86 platformSpy hard, challenges of 100G deep packet inspection on x86 platform
Spy hard, challenges of 100G deep packet inspection on x86 platform
Redge Technologies4.3K vues
Functional approach to packet processing par Nicola Bonelli
Functional approach to packet processingFunctional approach to packet processing
Functional approach to packet processing
Nicola Bonelli1.5K vues
OSX/Pirrit: The blue balls of OS X adware par Amit Serper
OSX/Pirrit: The blue balls of OS X adwareOSX/Pirrit: The blue balls of OS X adware
OSX/Pirrit: The blue balls of OS X adware
Amit Serper672 vues
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?" par Lane Huff
Introduction to Dynamic Malware Analysis   ...Or am I "Cuckoo for Malware?"Introduction to Dynamic Malware Analysis   ...Or am I "Cuckoo for Malware?"
Introduction to Dynamic Malware Analysis ...Or am I "Cuckoo for Malware?"
Lane Huff3.3K vues
BSides Philly Finding a Company's BreakPoint par Andrew McNicol
BSides Philly Finding a Company's BreakPointBSides Philly Finding a Company's BreakPoint
BSides Philly Finding a Company's BreakPoint
Andrew McNicol346 vues
Should I Patch My ICS? par Digital Bond
Should I Patch My ICS?Should I Patch My ICS?
Should I Patch My ICS?
Digital Bond3.9K vues
Introduction to Penetration Testing par Andrew McNicol
Introduction to Penetration TestingIntroduction to Penetration Testing
Introduction to Penetration Testing
Andrew McNicol10.4K vues

Similaire à 100Mpps czyli jak radzić sobie z atakami DDoS?

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen par
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPROIDEA
40 vues27 diapositives
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz... par
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PROIDEA
5 vues50 diapositives
Zabezpieczenia sieci komputerowych par
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowychg4life
9.3K vues20 diapositives
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń... par
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
117 vues41 diapositives
PLNOG15: What about latency? - Piotr Jabłoński par
PLNOG15: What about latency? - Piotr JabłońskiPLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr JabłońskiPROIDEA
726 vues25 diapositives
Prezentacja witruallizacja dc 1.3 par
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
286 vues38 diapositives

Similaire à 100Mpps czyli jak radzić sobie z atakami DDoS?(20)

PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen par PROIDEA
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domenPLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PLNOG 21: Paweł Foremski - DNS_intelligence:_czas_życia_nowych_domen
PROIDEA40 vues
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz... par PROIDEA
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PROIDEA5 vues
Zabezpieczenia sieci komputerowych par g4life
Zabezpieczenia sieci komputerowychZabezpieczenia sieci komputerowych
Zabezpieczenia sieci komputerowych
g4life9.3K vues
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń... par PROIDEA
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
PROIDEA117 vues
PLNOG15: What about latency? - Piotr Jabłoński par PROIDEA
PLNOG15: What about latency? - Piotr JabłońskiPLNOG15: What about latency? - Piotr Jabłoński
PLNOG15: What about latency? - Piotr Jabłoński
PROIDEA726 vues
Prezentacja witruallizacja dc 1.3 par Marta Pacyga
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
Marta Pacyga286 vues
PLNOG15: Virtualization and automation of network and security services in Da... par PROIDEA
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
PROIDEA330 vues
Dlaczego ataki DDoS są tak niebezpieczne par Paweł Kowalski
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
Paweł Kowalski872 vues
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce par PROIDEA
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktycePLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PLNOG 3: Łukasz Buczyński - Migracja kolokacji w praktyce
PROIDEA11 vues
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu par Piotr Kaźmierczak
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ... par PROIDEA
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PROIDEA116 vues
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ... par PROIDEA
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PLNOG16: Architektura bezpieczeństwa na potrzeby wdrożenia systemu tetra w ...
PROIDEA171 vues
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ... par PROIDEA
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PLNOG19 - Jakub Słociński - Wieloprocesorowa platforma x86 a wydajny routing ...
PROIDEA26 vues
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks par PROIDEA
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacks
PROIDEA521 vues
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link... par PROIDEA
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PROIDEA41 vues

Plus de Redge Technologies

[PL] DDoS na sieć ISP (KIKE 2023) par
[PL] DDoS na sieć ISP (KIKE 2023)[PL] DDoS na sieć ISP (KIKE 2023)
[PL] DDoS na sieć ISP (KIKE 2023)Redge Technologies
2 vues4 diapositives
BGP zombie routes par
BGP zombie routesBGP zombie routes
BGP zombie routesRedge Technologies
419 vues40 diapositives
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS par
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS
100M pakietów na sekundę czyli jak radzić sobie z atakami DDoSRedge Technologies
1.3K vues21 diapositives
BGP hijacks and leaks par
BGP hijacks and leaksBGP hijacks and leaks
BGP hijacks and leaksRedge Technologies
838 vues42 diapositives
Stress your DUT par
Stress your DUTStress your DUT
Stress your DUTRedge Technologies
2.9K vues43 diapositives
redGuardian DP100 large scale DDoS mitigation solution par
redGuardian DP100 large scale DDoS mitigation solutionredGuardian DP100 large scale DDoS mitigation solution
redGuardian DP100 large scale DDoS mitigation solutionRedge Technologies
1.6K vues19 diapositives

100Mpps czyli jak radzić sobie z atakami DDoS?

  • 1. 100M pakietów na sekundę czyli jak radzić sobie z atakami DDoS Przemysław Frasunek 24 listopada 2016 r.
  • 2. DDoS? • DDoS - skoordynowany, rozproszony atak system teleinformatyczny – Zazwyczaj prowadzony przez botnet złożony z setek tysięcy zainfekowanych • komputerów • innych urządzeń IP (routery, kamery CCTV, drukarki itp.) – Celem ataku może być dowolny podmiot, którego działalność wymaga dostępu do Internetu • Prosty, tani, skuteczny – Dostępny jako usługa (CaaS), nie trzeba być specjalistą – Przystępny cenowo – Cel ataku jest przeciążony i przestaje działać (strona, łącze, serwery) – Nie wiadomo, kto stoi za atakiem
  • 4. Skala problemu (2) • 2013 r. – upowszechnienie ataków typu reflected • 2016 r. – upowszechnienie ataków z botnetów IoT • IX 2016: 660 Gb/s ataku na blog Briana Krebsa • IX 2016: 1000 Gb/s sumy jednoczesnych ataków wewnątrz sieci OVH • X 2016: 1200 Gb/s ataku na Dyn (DNS), awaria wpływa na serwisy m.in. Netflix, Paypal, Spotify, Twitter
  • 5. Dominacja ataków infrastrukturalnych źródła: • Akamai 2016Q3 report • Verisign 2016Q2 report
  • 6. Pytania do firmowego IT i do ISP • Co się stanie z naszą bieżącą działalnością, jeśli otrzymamy 10, 20, … 100 gigabitów na sekundę ataku DDoS? • Czy separacja urządzeń internetowych od sieci technologicznych jest pełna? • Jaką pojemność ma zastosowane rozwiązanie anty DDoS – lokalne lub u operatora? • Czy blokada ataku polega po prostu na… zablokowaniu celu ataku? (blackholing)
  • 7. Crime as a service (CaaS)
  • 8. 100G na PC – dlaczego to takie trudne? Aby uzyskać 14,8 mln pakietów na sekundę (port 10Gb/s) potrzebujemy: • 1277 ns na duży pakiet • ~67,2 ns na mały pakiet daje to w uproszczeniu (pomijając zrównoleglanie) około 200 cykli jednego rdzenia współczesnego 3GHz CPU Dla porównania: • L2 cache: ~4 ns, L3 cache: ~8 ns • atomic lock+unlock: 16 ns • cache miss: ~32ns • syscall: 50–100 ns (uwaga na wpływ SELinux)
  • 9. redGuardian (1) Bardzo wydajny filtr pakietów rozwijany przez Atende Software od 2015 r. • zastosowanie biblioteki Intel DPDK • wykorzystanie mechanizmów dostępnych w nowych CPU Intela (AVX2, DDIO, CAT) • wydajność 100M pps (> 100 Gbps) na pojedynczym serwerze klasy PC • skalowanie liniowe przez partycjonowanie ruchu • klasyfikacja ruchu wg nagłówków IP/TCP/UDP • klasyfikacja wg payloadu • filtry stanowe • rate limiter • interfejs do samplingu (PCAP)
  • 10. redGuardian (2) Regularny profiling i testy regresyjne #50 test_gre.TestGre.test_frag_after_df ... passed #51 test_gre.TestGre.test_frag_after_large ... passed #52 test_gre.TestGre.test_frag_after_small ... passed #53 test_gre.TestGre.test_frag_before_clear_df ... passed #54 test_gre.TestGre.test_frag_before_df ... passed […] #121 test_statefilter.TestStatefilter.test_hash_dnsid ... passed #122 test_statefilter.TestStatefilter.test_hash_srcip ... passed #123 test_statefilter.TestStatefilter.test_hash_srcport ... passed #124 test_statefilter.TestStatefilter.test_make_tcp_reset ... passed
  • 11. redGuardian w akcji Reflected DNS Flood 123031 2468.332598000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123035 2468.332848000 189.23.146.130 -> x DNS 200 Standard query response 0xe873 MX 5 stagg.cpsc.gov MX 5 hormel.cpsc.gov TXT[Unreassembled Packet] 123038 2468.332977000 89.179.69.140 -> x DNS 200 Standard query response 0x1458 A 63.74.109.2 DNSKEY[Unreassembled Packet] 123044 2468.333063000 109.172.131.19 -> x DNS 194 Standard query response 0xca41 NS auth61.ns.uu.net SOA auth00.ns.uu.net NS auth00.ns.uu.net 123047 2468.360474000 109.172.2.110 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet] 123048 2468.360500000 115.42.166.98 -> x DNS 200 Standard query response 0x1458 NS auth61.ns.uu.net NS auth00.ns.uu.net MX 5 hormel.cpsc.gov MX 5 stagg.cpsc.gov TXT[Unreassembled Packet] 123055 2468.360793000 77.122.99.234 -> x DNS 200 Standard query response 0x1458 DNSKEY[Unreassembled Packet]
  • 12. Modele wdrożeniowe • BGP scrubbing center – przejęcie ruchu przychodzącego, odbiór tunelem • Lokalne scrubbing center – dosył i odbiór ruchu dedykowanym łączem • Licencja/on-premises – wdrożenie u klienta na sprzęcie własnym lub dostarczonym – testowane u jednego z krajowych ISP
  • 13. Koncepcja budowy narodowego scrubbing center • Możliwość budowy narodowego/branżowego scrubbing center przeznaczonego do ochrony administracji publicznej i operatorów infrastruktury krytycznej • Podział kosztów zakupu infrastruktury i utrzymania portów w IX • Model realizowany w Holandii, przez stowarzyszenie zrzeszające ISP • Możliwość wykorzystania tanich i wydajnych mechanizmów filtrowania ruchu
  • 14. Przyszłość • Wzrost liczebności botnetów IoT (źródła Mirai upubliczniono), miliony zapomnianych, nie aktualizowanych urządzeń • Wybór ataków w „IP streserach” zwiększy się • Próby odcinania największych firm oraz całych krajów • Bez szeroko zakrojonej współpracy i koordynacji na poziomie kraju nie uda się wygrać z tym problemem