Jak Akamai i Prolexic radzą sobie z atakami DDoS

Paweł Kuśmierski, Senior Engineer, Lead

System Operations, Akamai, Kraków

©2013 AKAMAI | FASTER FORWARDTM

Czym jest Akamai?

Firmą założoną na MIT w 1998 przez prof. Toma Leightona i doktoranta

Dannego Lewina

Akamai posiada najbardziej rozproszoną platfomrę internetową na świecie

(ponad 150 000 serwerów, w 2000 lokalizacjach w 92 krajach)

Platforma Akamai pośredniczy w dostarczaniu od 15 do 30% światowego

ruchu www

Jesteśmy jeden „skok” od 90% procent

uzytkowników Internetu (ich routera brzegowego)

Dzienny ruch w sieci:

10+ Tbps -- 30 PB/dziennie

20+ milionów zapytań na sekundę

10 milionów jednoczesnych strumieni video

©2013 AKAMAI | FASTER FORWARDTM

Czym jest Prolexic?

Firmą założoną w 2003 roku w celu zapogiegania atakom DDoS

Prolexic posiada platformę o pojemności 1.8Tbps

Oferuje filtrowanie od poziomu IP wzwyż

Reguły tworzone są przez zespół doświadczonych ekspertów

wdrażający strategie zapobiegania (Security Operations Center, w

Krakowie powstaje właśnie nowy ośrodek)

PLXsert – ostrzeżenia o nowych zagrożeniach

(twitter: @PLXSERT)

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Przykładowi klienci z róznych branży

10 największych

amerykańskich banków

Przemysł

10 z 12 największych

firm e-bezpieczeństwa

Technologia

30 największych firm

medialnych

Media i Rozrywka

Wszystkie dowództwa

armii USA

Sektor Publiczny

97 ze 100 największych

serwisów e-commerce

Usługi

©2013 AKAMAI | FASTER FORWARDTM

Grow revenue opportunities with fast, personalized

web experiences and manage complexity from peak

demand, mobile devices and data collection.

©2013 AKAMAI | FASTER FORWARDTM

Sieć Prolexic

Centra filtracyjne:

San Jose, CA (Equinix)

Ashburn, VA (Equinix)

London, UK (LINX)

Hong Kong, Chiny (HKIX)

Frankfurt, Niemcy

Tokyo, Japonia Q4 2014

Sydney, Australia Q1 2015

Różni dostawcy i połączenia:

3-4 dostawców “Tier 1” na

centrum

Polityka Public Peering

Pojemność 1.8Tbps

Centrum filtracyjne

Botnety

Powstające centrym

©2013 AKAMAI | FASTER FORWARDTM

Origin Traffic

1

10

100

10,000

1,000

Prolexic Traffic

1

10

100

10,000

1,000

Blokowanie DDoS w przez Prolexic

Z usługą Prolexic Routed

• Atak jest blokowany na poziomie

centrum filtrującego, z daleka od

infrastruktury klienta

Prolexic Platform

3 Tier-1 Providers

1.8 Tbs/Sec

PROLEXIC

In-the-cloud

Security Operations Center

Serwerownia

klienta

©2013 AKAMAI | FASTER FORWARDTM

Asymetryczna ścieżka Asymetryczna ścieżka

Clean traffic

Attack traffic

Telemetria

Monitoring Aplikacji i oparty

o przepływy (ich odchylenie

od normy)

Internet Centrum danych klienta Część

publiczna Część

prywatna • Aktywacja w

ciągu minut

• Ochrona całej

podsieci

• I wielu usług,

nie tylko HTTP

i HTTPS

• Ruch

przychodzący

automatycznie

kieruje się do

najbliższego

centrum

• Chroni dużą

przestrzeń

adresową

• Monitoring

24/7 przez

Prolexic SOC

• Powstrzymuje

ciągłe ataki

200+ Gbps

Dwa tunele GRE

lub łącza MPLS

Security Operations Centers

Aktywacja przez rozgłaszanie BGP

Asymetryczna ścieżka

©2013 AKAMAI | FASTER FORWARDTM

SLA dla powstrzymania ataku

Attack Category TTM - Time to Mitigate

(typical)

TTM - Time to Mitigate

Guaranteed (SLA)

UDP/ICMP Floods 1 minute or less 5 minutes

SYN Floods 1 minute or less 5 minutes

TCP Flag Abuses 1 minute or less 5 minutes

GET/POST Floods 10 minutes or less 20 minutes

DNS Reflection 5 minutes or less 10 minutes

DNS Attack 5 minutes or less 10 minutes

©2013 AKAMAI | FASTER FORWARDTM

Grow revenue opportunities with fast, personalized

web experiences and manage complexity from peak

demand, mobile devices and data collection.

©2013 AKAMAI | FASTER FORWARDTM

Akamai oka rzutem

©2013 AKAMAI | FASTER FORWARDTM

Optymalizacje Akamai: „Chmura” Użytkownik łączy się zawsze z najbliższym serwerem Akamai

Serwerwnie źródłowe są zazwyczaj daleko od klienta końcowego

... Co skutkuje dłuższym czasem RTT

Użytkownik

Serwerownia Klienta

Serwery brzegowe Akamai

©2013 AKAMAI | FASTER FORWARDTM

Użytkownik

Rozwiązanie:

Optymalizacje przesyłania

Problem 1:

Tam-i-z-powrotem

dla dużych ilości danych

Serwerownia Klienta

Serwery brzegowe Akamai

Optymalizacja: protokół przesyłania (TCP)

©2013 AKAMAI | FASTER FORWARDTM

Użytkownik

Problem 2:

Na trasie do serwerowni może

wydarzyć się awaria (lub de-peering)

Serwerownia Klienta

X

X

Optymalizacje Akamai: Wybór tras

©2013 AKAMAI | FASTER FORWARDTM

Użytkownik

Rozwiązanie:

Akamai SureRoute

Problem 2:

Na trasie do serwerowni może

wydarzyć się awaria (lub de-peering)

Serwery brzegowe Akamai

X

Serwerownia Klienta

Optymalizacje Akamai: Wybór tras

©2013 AKAMAI | FASTER FORWARDTM

Packet

Loss

50%

40%

30%

20%

10%

0%

Generic Internet Akamai

Akamai SureRoute Straty pakietów w Indiach po przecięciu kabla na Bliskim Wschodzie

©2013 AKAMAI | FASTER FORWARDTM

(Cloud)

Datacenters

Użytkownik

1

10

100

10000

Origin

Traffic

1000

Akamai

Traffic

10

100

10000

1000

Ochrona brzegowa Akamai (Permeter defence, WAF)

ZATRZYMANE

1

©2013 AKAMAI | FASTER FORWARDTM

Dane o reputacji klienta

Zapisywanie danych o znanych źródłach ataku

pozwala na lepszą ochronę

• Identyfikujemy złych użytkowników na podstawie reguł dla

różnych typów ataków

• Dla każdego z nich obliczamy reputację w 10-cio punktowej

skali

• Odfiltrowujemy ruch z podejrzanych źródeł (specjalna strona,

opóźnienie, 501)

• Dane dostarczane do ponad 100k serwerów brzegowych

• Dane wspólne dla wszystkich klientów Akamai

• Akamai obsługuje 15-30% ruchu www w Internecie

• W ciągu miesiąca widzimy większość użytkowników Internetu

©2013 AKAMAI | FASTER FORWARDTM

Client Reputation Console

©2013 AKAMAI | FASTER FORWARDTM

Błędy reguł obliczania reputacji

37.35%

19.68%

4.89%

0.00%

10.00%

20.00%

30.00%

40.00%

50.00%

60.00%

CloudFlare Incapsula Akamai

False Positives False Negatives

.09%

.31%

.48%

Source: Akamai

Cloud-based

WAF 1

Cloud-based

WAF 2

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Na czym skupiają się ataki DDoS?

27%

24%

8%

4%

30%

5%

©2013 AKAMAI | FASTER FORWARDTM

W tym roku: 320 Gbps DDoS na klienta z branży gier

Celem była główna strona www,

infrastruktura sieciowa i DNS

Atak na kilka sposobów:

• SYN / UDP floods na całą podsieć

• Atak objętościowy na DNS

Attack characteristics:

• Szczytowo 320 Gbps i 71.5 Mpps przez centra

filrowania Prolexica

• 2.1 milion zapytań/s przez Fast DNS Akamai

Prolexic:

Fast DNS:

©2013 AKAMAI | FASTER FORWARDTM

Grow revenue opportunities with fast, personalized

web experiences and manage complexity from peak

demand, mobile devices and data collection. +

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Multi-Perimeter Cloud: How It Works Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)

• Automated (rate controls, caching)

• High performance (no degradation + acceleration)

• HTTP / HTTPS (defense against SSL attacks)

• Capacity 21 Tbps

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Multi-Perimeter Cloud: How It Works

Perimeter 1 – WAF • Always on (defense against data theft)

• High performance and highly scalable

• Highly accurate (reduced FP and FN)

• HTTP / HTTPS

• Local or cloud-based applications

Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)

• Automated (rate controls, caching)

• High performance (no degradation + acceleration)

• HTTP / HTTPS (defense against SSL attacks)

• Capacity 21 Tbps

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Multi-Perimeter Cloud: How It Works

Perimeter 1 – WAF • Always on (defense against data theft)

• High performance and highly scalable

• Highly accurate (reduced FP and FN)

• HTTP / HTTPS

• Local or cloud-based applications

Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)

• Automated (rate controls, caching)

• High performance (no degradation + acceleration)

• HTTP / HTTPS (defense against SSL attacks)

• Capacity 21 Tbps

Perimeter 2 – DDoS (BGP)

• Comprehensive (all ports + protocols)

• Entire data center (all apps, bandwidth)

• Configurable (IP subnet granularity)

• Always on or on demand (5-20 min SLA)

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Perimeter 3 – DNS

• Highly scalable (<1% total capacity)

• Highly available (24x7 SLA)

• High performance (zone apex)

• Supports DNSSEC

• Primary and secondary DNS

Perimeter 1 – WAF • Always on (defense against data theft)

• High performance and highly scalable

• Highly accurate (reduced FP and FN)

• HTTP / HTTPS

• Local or cloud-based applications

Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)

• Automated (rate controls, caching)

• High performance (no degradation + acceleration)

• HTTP / HTTPS (defense against SSL attacks)

• Capacity 21 Tbps

Multi-Perimeter Cloud: How It Works

Perimeter 2 – DDoS (BGP)

• Comprehensive (all ports + protocols)

• Entire data center (all apps, bandwidth)

• Configurable (IP subnet granularity)

• Always on or on demand (5-20 min SLA)

©2013 AKAMAI | FASTER FORWARDTM

Avoid data theft and downtime by extending the

security perimeter outside the data-center and

protect from increasing frequency, scale and

sophistication of web attacks.

Perimeter 3 – DNS

• Highly scalable (<1% total capacity)

• Highly available (24x7 SLA)

• High performance (zone apex)

• Supports DNSSEC

• Primary and secondary DNS

Perimeter 1 – WAF • Always on (defense against data theft)

• High performance and highly scalable

• Highly accurate (reduced FP and FN)

• HTTP / HTTPS

• Local or cloud-based applications

Perimeter 1 – DDoS (Proxy) • Always on (for immediate response)

• Automated (rate controls, caching)

• High performance (no degradation + acceleration)

• HTTP / HTTPS (defense against SSL attacks)

• Capacity 21 Tbps

Multi-Perimeter Cloud: How It Works

SOC Managed Service • People-driven security

• Experience Security Professionals

• Staffed 24x7 SOC

• Monitor / Alert

• Respond

Perimeter 2 – DDoS (BGP)

• Comprehensive (all ports + protocols)

• Entire data center (all apps, bandwidth)

• Configurable (IP subnet granularity)

• Always on or on demand (5-20 min SLA)

©2013 AKAMAI | FASTER FORWARDTM

Result:

2-100X compression

Result:

2-100X compression

Result:

2-100X compression

Aplikacja do wizualizacji

sieci Akamai

©2013 AKAMAI | FASTER FORWARDTM

Grow revenue opportunities with fast, personalized

web experiences and manage complexity from peak

demand, mobile devices and data collection.

Dziękuję za uwagę

Paweł Kuśmierski, pkusmier@akamai.com