close

Вход

Забыли?

вход по аккаунту

- Крок

код для вставкиСкачать
Анатомия DDoS-атак, или Как предупредить и
обезвредить нападения злоумышленников
Дрожжин Данил
Эксперт по сетевой безопасности компании КРОК
Москва, 2014
ЧТО ТАКОЕ DDOS-АТАКА?
‹#›
АНАТОМИЯ АТАК
Кого атакуют?
‹#›
АНАТОМИЯ АТАК
Кого атакуют?
Какие сервисы наиболее
часто атакуют?
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
• Объемы
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
• Объемы
• Сложность
‹#›
ПОЧЕМУ ВАЖНА ЗАЩИТА ОТ DDOS?
• Доступность ботнетов
• Мотивы
• Объемы
• Сложность
• Частота
‹#›
ЖЕРТВЫ DDOS-АТАК
‹#›
КАТЕГОРИЗАЦИЯ DDOS-АТАК
ISP 1
ISP 2
ISP
Firewall
ISP n
Volumetric Attacks
IPS
Load
Balancer
Серверы
приложений
Переполняет каналы связи:
• Во внутренних сетях цели
• Между сетями провайдера и
атакуемой сетью
‹#›
КАТЕГОРИЗАЦИЯ DDOS-АТАК
TCP State-Exhausting Attacks
ISP 1
• Атака направленная на устройства
связи с контролем состояний (load
balancers, firewalls, application servers)
• Нацелена на традиционную структуру
сетевой безопасности
ISP 2
ISP
Firewall
ISP n
Volumetric Attacks
IPS
Load
Balancer
Серверы
приложений
Переполняет каналы связи:
• Во внутренних сетях цели
• Между сетями провайдера и
атакуемой сетью
‹#›
КАТЕГОРИЗАЦИЯ DDOS-АТАК
TCP State-Exhausting Attacks
ISP 1
• Атака направленная на устройства
связи с контролем состояний (load
balancers, firewalls, application servers)
• Нацелена на традиционную структуру
сетевой безопасности
ISP 2
ISP
Firewall
ISP n
Volumetric Attacks
Переполняет каналы связи:
• Во внутренних сетях цели
• Между сетями провайдера и
атакуемой сетью
IPS
Load
Balancer
Серверы
приложений
Application Layer Attacks
• Малозаметные атаки на приложения
• Нацелены на определённые уязвимости
приложений
‹#›
ЗАЩИТА ОТ DDOS
• Установлен у 100% сервис-провайдеров уровня Tier 1
• Мониторинг 45% мирового интернет-трафика (75 Тбит/с)
• Лидер в операторском, enterprise и мобильном сегменте
‹#›
ЗАЩИТА ОТ DDOS
• Установлен у 100% сервис-провайдеров уровня Tier 1
• Мониторинг 45% мирового интернет-трафика (75 Тбит/с)
• Лидер в операторском, enterprise и мобильном сегменте
‹#›
ИСТОРИЯ КОМПАНИИ ARBOR
ATLAS – Первая в мире
система анализа угроз
Arbor Networks
основан на базе
университета Мичиган
(США)
Peakflow SP
Визуализация, анализ
пиринга, обнаружение DOS
атак
Peakflow DOS and Trafic
Первая в индустрии система
обнаружения DOS и аналитика Flow
Peakflow SP TMS
Arbor представил TMS
2700 3Gbps
Infonetics
назвал
Infonetics
Arbor лидером
назвал
Arbor
рынка
DDOS,
более
лидером
рынка
чемболее
65% всего
DDOS,
чем
рынка
65% всег
Peakflow SP TMS первая
распределённая система 10G
очистки трафика в индустрии
Pravail APS
Peakflow SP TMS
Arbor представил первое
распределённое решение
40Gbps TMS
Первый ежегодичный отчёт
Worldwide Infrastructure Security
Report
Fingerprint Sharing Alliance (FSA) &
Active Threat Feed (ATF)
‹#›
СХЕМА ЛУЧШЕЙ ЗАЩИТЫ ОТ DDOS
Операторы связи
Корпоративные заказчики
Продукты серии:
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
В разрыв: активный/пассивный
Мониторинг на Span/Tap
Pravail APS
Link Tap /
Port Span
Сеть ЦОД
Сеть ЦОД
Pravail APS
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
• Блокировка комплексных атак
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
• Блокировка комплексных атак
• Облачная сигнализация
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
• Блокировка комплексных атак
• Облачная сигнализация
• Очистка SSL-трафика
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
• Блокировка комплексных атак
• Облачная сигнализация
• Очистка SSL-трафика
• Интерфейс на русском языке
‹#›
ПРЕИМУЩЕСТВА ARBOR PRAVAIL APS
• Защита “из коробки”
• Простота внедрения
• Блокировка комплексных атак
• Облачная сигнализация
• Очистка SSL-трафика
• Интерфейс на русском языке
• Обновляемые сигнатуры Atlas Intelligence Feed
‹#›
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
Первая в мире система анализа угроз
Peakflow SP
Peakflow SP
ISP Network
Более 300 операторов
мира предоставляют
данные для анализа
DARKNET
ATLAS SENSOR
Peakflow SP
Peakflow SP
ISP Network
DARKNET
ISP Network
1
ATLAS SENSOR

Сенсоры систем ATLAS расположены в сети
интернет для обнаружения и классификации
атак

Информация отправляется в ATLAS central
repository где объединяется с данными
полученными от инсталляция Arbor Peakflow и
другими данными

Команда ASERT анализирует данные и создаёт
Fingerprint
Peakflow SP
Peakflow SP
DARKNET
ATLAS SENSOR
2
ATLAS DATA CENTER
3
ATLAS ANALYSIS SYSTEMS
‹#›
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
ATLAS
Honeypots &
SPAM Traps
Security
Community
20,000+
Вредоносных программ в
день
“Песочница из
виртуальных машин”
запускает
вредоносный код
(ищет командный центр сети
ботнет, отслеживает
отклонения и закономерности
сетевого поведения кода)
2.2M +
сэмплы
Отчёт и PCAP файлы
сохраняются в базе
DDoS
Family
“Fingerprint”
Постоянная аналитика 24
часа в сутки для создания
базы данных сигнатур
‹#›
ACTIVE THREAT LEVEL ANALYSIS SYSTEM (ATLAS)
АНАЛИЗ
ПОИСК
Вредоносное ПО
Ботнеты
Черви
P2P
Arbor Networks
анализирует 75Tbps
Команда ASERT
находит и
анализирует угрозы
ЗАЩИТА
Поведенческий
признак
Продукты Arbor Pravail и
Peakflow автоматически
получают последнюю
информацию об интернет
угрозах используя Atlas
Intelligence Feed (AIF)
‹#›
ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ
APS 2002
До 500 Mbps
APS 2104
До 2 Gbps
Замена лицензии
APS 2105
До 4 Gbps
Замена лицензии
Замена лицензии
APS 2003
До 1 Gbps
Замена лицензии
APS 2004
До 2 Gbps
Только для модернизации
Варианты интерфейсов защиты:
8 x 10/100/1000 (медь GE)
8 x GE Fiber (SX, LX)
APS 2107
До 8 Gbps
Замена лицензии
APS 2108
До 10 Gbps
Варианты интерфейсов защиты:
12 x 10/100/1000 (медь GE)
12 x GE Fiber (SX, LX)
2 x 10G Interfaces (SR, LR)
‹#›
СЕРТИФИКАЦИЯ
‹#›
ВЫВОДЫ
• DDoS-атаки – это угроза бизнесу
‹#›
ВЫВОДЫ
• DDoS-атаки – это угроза бизнесу
• Защита должна быть умной и многоуровневой
‹#›
ВЫВОДЫ
• DDoS-атаки – это угроза бизнесу
• Защита должна быть умной и многоуровневой
• ATLAS – лучший центр экспертизы
‹#›
ВЫВОДЫ
• DDoS-атаки – это угроза бизнесу
• Защита должна быть умной и многоуровневой
• ATLAS – лучший центр экспертизы
• КРОК и Arbor Networks – всегда помогут!
‹#›
СПАСИБО ЗА ВНИМАНИЕ
Данил Дрожжин
Эксперт по сетевой безопасности компании КРОК
111033, Москва, ул. Волочаевская, д.5, корп.1
+7 495 974 2772, +7 495 974 2277 (факс)
[email protected]
www.croc.ru
‹#›
1/--страниц
Пожаловаться на содержимое документа