Ataki Distributed Denial of Service w sieciach WAN Tomasz Grabowski ([email protected])
description
Transcript of Ataki Distributed Denial of Service w sieciach WAN Tomasz Grabowski ([email protected])
Ataki Ataki
Distributed Denial of Service Distributed Denial of Service w sieciach WANw sieciach WAN
Tomasz Grabowski Tomasz Grabowski
Atak Atak Distributed Denial of ServiceDistributed Denial of Service
• przesyłanie olbrzymiej ilości danych i/lub pakietów do atakowanej sieci
• odbywa się z wielu (od kilku do kilku tysięcy) komputerów jednocześnie
• adresy atakujących komputerów są nieprawdziwe
Atak Atak Distributed Denial of ServiceDistributed Denial of Service
Efekty atakuEfekty atakuDistributed Denial of ServiceDistributed Denial of Service
• spadek wydajności sieci
• utrata dostępu do Internetu
• całkowite sparaliżowanie działania sieci
Efekty atakuEfekty atakuDistributed Denial of ServiceDistributed Denial of Service
• utrata wiarygodności firmy
• niebezpieczeństwo wykorzystania faktu, że atakowana sieć jest niedostępna dla innych komputerów w Internecie
• straty finansowe; kilkugodzinne przerwy w działaniu takich serwisów jak Yahoo, Amazon czy eBay kosztowały kilkadziesiąt milionów dolarów
Straty z powodu ataków DDoSStraty z powodu ataków DDoS
• zdobywanie kontroli nad komputerami za pomocą wyspecjalizowanych narzędzi
• bardzo duża szybkość tworzenia sieci DDoS
• nie jest wymagana żadna fachowa wiedza
• geograficzne położenie komputerów ma znaczenie
Tworzenie sieci DDoSTworzenie sieci DDoS
• aktualizacja aplikacji oraz systemu
• wykorzystanie oprogramowania personal firewall
• okresowy audyt zabezpieczeń systemu
• analiza pakietów wychodzących z sieci
• filtrowanie adresów nierutowalnych
• wykorzystywanie systemów IDS
• blokowanie pakietów z adresem broadcast
Obrona przed atakami DDoSObrona przed atakami DDoS
• IP Traceback
• znakowanie losowych pakietów
• umożliwia ofierze namierzenie źródła ataku
• przykład: ICMP Traceback
• Pushback
• ograniczanie ruchu na routerach pośredniczących
• powiadamia routerów pośredniczących w ataku
Konieczność zmiany oprogramowania na routerach
Obrona przed atakami DDoSObrona przed atakami DDoS
• Rozwiązania sprzętowe
• Proventia (Internet Security Systems)
• Attack Mitigator IPS 5500 (Top Layer)
• Peakflow SP / X (Arbor Network)
• Guard XT / Detector XT (Riverhead Networks)
Obrona przed atakami DDoSObrona przed atakami DDoS
Obrona przed atakami DDoSObrona przed atakami DDoS
• Rozwiązania sprzętowe
• Wykrywanie anomalii w ruchu• Wykrywanie znanych ataków• Blokowanie ruchu związanego z atakiem• Konieczność nadzoru przez operatora
Obrona przed atakami DDoSObrona przed atakami DDoS
• Rozwiązania sprzętowe
• Podstawowy problem:
Jeśli sumaryczna ilość danych bądź pakietów, przesyłanych podczas ataku przekracza możliwości głównego łącza lub wydajność głównego routera, to ataku nie da się powstrzymać.
Obrona przed atakami DDoSObrona przed atakami DDoS
• Rozwiązania manualne
• Śledzenie wykorzystania łączy• Sprawdzanie wydajności sieci• Monitorowanie poszczególnych urządzeń• Współpraca pomiędzy administratorami sieci
• JENNIE – oprogramowanie do wspomagania manualnego wykrywania ataków DDoS
Obrona przed atakami DDoSObrona przed atakami DDoSGEANT
PIONIER
AMSK Szczecin
Politechnika Szczecińska
Wydział Informatyki
Sala laboratoryjna nr 10
Komputer XXX.XXX.XXX.XXX
Obrona przed atakami DDoSObrona przed atakami DDoS
• Najczęstsze cechy ataków
• Na konkretny adres IP• Z kilkudziesięciu źródłowych adresów IP• Niewiele cech losowych• Ruch rzadko przekracza 200 Mbps• Najdłuższe ataki trwają kilka godzin• Zwykle ofiara w jakiś sposób zawiniła (np. „wojny” na IRC)
Obrona przed atakami DDoSObrona przed atakami DDoS
• Ataki DDoS nie stanowią poważnego problemu w sieci PIONIER
• Duża przepustowość łączy
• Dobra współpraca administratorów• czas reakcji to kilkadziesiąt minut
• Filtry uniemożliwiające spoofowanie
Nie ma skutecznej obrony Nie ma skutecznej obrony
przeciwko atakomprzeciwko atakom
Distributed Denial of ServiceDistributed Denial of Service
Obrona przed atakami DDoSObrona przed atakami DDoS
Rady dla firmRady dla firm
• W przypadku małych sieci, złożonych z kilkuset lub mniejszej ilości komputerów.
• Instalacja prostego oprogramowania do zbierania statystyk (np. MRTG)
• Filtry uniemożliwiające spoofowanie• Odpowiednie umowy z ISP• Dobór urządzeń z wysokim parametrem PPS (packets per
second)
Rady dla firmRady dla firm
• Parametr PPS (packets per second)
Podczas ataku DDoS:
1 pakiet = 40 bajtów.
10 Mbps – 30.000 PPS
100 Mbps – 300.000 PPS
1000 Mbps – 3.000.000 PPS
Według producentów:
1 pakiet = od 200 do 1600 bajtów
Rady dla firmRady dla firm
• W przypadku dużych sieci, złożonych z kilkuset lub większej ilości komputerów.
Wszystko to, co w przypadku małych sieci, a dodatkowo:• sprawdzenie metod obrony ISP przed atakami DDoS• zaawansowane oprogramowanie do zarządzania siecią• rozwiązania sprzętowe (w uzasadnionych przypadkach)• zapasowe łącze z Internetem• „awaryjna” konfiguracja DNS
Dziękuję za uwagęDziękuję za uwagę