MITIGAZIONE DEI DDOS WORK IN PROGRESS - MASSIMO CARBONI
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Mitigazione dei DDoS Work in Progress MASSIMO CARBONI Università di Roma3, 29-31/05/2018 Workshop GARR 2018, NetMakers
Agenda
Motivazione e Caratterizzazione delle Minacce
• Punto di vista «esterno»
• Punto di vista «GARR»
Attività di Scouting
• Individuazione piattaforme per il PoC
Attività di PoC
• Schema generale e dell’ambiente di test
• Risultati
Conclusioni e prossimi passi
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 2
Attacchi DDoS DDoS Attack Vector Frequency, Q4 2017
Volumetrici su Larga Scala UDP
Fragment
33%
• Impatto su tutta l’utenza GARR DNS 19%
Infrastructure DDoS Attacks
(es. accesso Global Internet) CLDAP 10%
NTP 9%
Volumetrici UDP 7%
• Impatto sull’utenza oggetto CHARGEN 6%
dell’attacco o su di un gruppo SYN 5%
limitato di utenti connessi TCP ANOMALY (1%) MDNS (0.09%) TCP Fragment (0.05%)
attraverso la medesima
SSD 4% SNMP (1%) FIN (0.09%) SQL (0.05%)
P RESET (0.37%) TFTP (0.07%) Connection (0.02%)
infrastruttura ACK 2% ICMP (0.20%) GRE Protocol (0.07%)
RIP (0.09%) NetBIOS (0.07%)
RPC 1%
Other 4%
Application
Layer DDoS
Application DDoS
1%
Applicativi
• Impattano una singola GET 1%
Infrastructure
applicazione PUSH 0.30% Layer DDoS
Attacks
99%
POST 0.05%
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 3
Durata degli attacchi DDoS
L’80% degli attacchi dura meno di 30’ > 60'; 15
≤ 60'; 23 ≤ 5'; 87
Processi standard lenti
Rimedi adottati talvolta estremi ! RTBH
≤ 30';
131
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 4
Vettori di Attacco Numerosità degli aIacchi osservaM dal 2018 per Mpologia di
VeIore
• Riduzione del numero 75
di attacchi di tipo
«Volumetrico UDP» ≤ 5' ≤ 30'
52
• Incremento degli ≤ 60' > 60'
attacchi TCP e UDP 41
mirati alle applicazioni
30
• Vediamo ancora (per
quanto?) un numero
ridotto di attacchi 10
multi-vettore 5 4 7 2 5 4 0 3 2 1 1 0 8 3 3
TCP UDP ICMP GRE MVETTORE
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 5Analisi Tecnica Preliminare
Abbiamo strumenti interni di monitoraggio Netflow
• Servono 20’ per avere informazioni abbastanza precise sugli attacchi
• Gli attacchi che individuiamo durano meno di questo tempo e dobbiamo
decidere cosa è rilevante
• Per questo tipo di attacchi il nostro è uno strumento di reportistica
Attacchi percepiti come un malfunzionamento di rete
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 6Cosa Servirebbe M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018
Necessità
Visibility
• Iden&ficare i DDoS rispe2o al traffico lecito
• Io conosco la rete i comportamen& Base e dunque so dis&nguere le Deviazioni e
le Anomalie
DetecMon
• Avere la possibilità di dis&nguere tra traffico legi@mo e traffico «malevolo»
• NF (L3/L4) consente di avere informazioni sul numero di flussi, volume, porte, ecc.
Può fornire mol& falsi posi&vi ! serve aggiungere dei criteri
Control
• Rilevante per GARR dobbiamo decidere cosa proteggiamo:
• Accessi Utente, Applicazioni, Protocolli, Servizi
• Agisco Internamente /Esternamente
MiMgaMon • Bu2o tu2o o mi&go, con procedure concordate (vedi RTBH)
Report • Analisi dell’accaduto in termini di durata, &po, volume, ecc. Informazioni riguardan& il modo
con cui è stato iden&ficato, chi ha innescato il processo ecc.
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 8Necessità
Report Visibility
MiMgaMon DetecMon
Control
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 9Indagine di Mercato
Nel mercato ci sono una serie di soggetti che agiscono come gestori di tematiche
DDOS, la questione è chi tra questi detiene le soluzioni hw e sw che possono
indirizzare le nostre necessità
Arbor: Radware:
Strumento scalabile di analisi di traffico e Visibility Elementi chiave Detection e Mitigation (L3-L7),
evoluta verso la protezione di attacchi soluzione di tipo inLine (TAP-mode), usa algoritmi
DDoS. Detection basata su Netflow e DPI, BGP e di Behavioral Analysis. Soluzione aperta:
SNMP e arricchita da servizi di IP Detection non solo Netflow, offerta di API e
Intelligence. Mitigation basata su BGP e integrazione con le più svariate terze parti, anche
appliance dedicata con funzioni stateless open source
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 10Qual è l’Architettura di Mitigazione
Data Collector
Scrubbing
Central
Console for
Visibility
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 11 11Ambiente di PoC
DNS
WEB
Data Collector
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 12Risultati delle POC
GARR: N.Ciurleo, S.d’Ambrosio, M.Marletta, E.Gucciardi, A.Inzerilli
Arbor: A.Tagliarino, M.DiDedda
Radware: F.Palozza, M.Vinci, S.Cozzi
Ringrazio Arbor e Radware per il supporto nell’a5vita’ di PoC
M.Carboni | Workshop GARR 2018, NetMakers | Roma,
29-05-2018Arbor: risultati
Vettori di Attacco: Identificazione dettagliata, particolarmente efficace nella gestione di
Visibility
attacchi multivettore
Global Detection: Protezione di base di tutta la rete
Detection
Attacchi noti: Algoritmo di riconoscimento attacchi noti efficace e con pochi casi falsi
positivi. Rilevamento attacchi distribuiti (DDoS) e non distribuiti (Dos)
Web-GUI: interfaccia di lavoro intuitiva, dispone di viste utente. Interfaccia di gestione della
lavatrice (TMS) integrata con il sistema
Control Scalabilità: Numero elevato di managed object supportati
Programmabile: Interfaccia di gestione dei managed object flessibile, integrazione con DB
GARR
TMS: Controllo del traffico in transito su lavatrice con evidenza sull’azione dei filtri
Diversion: Supporto a varie tecniche: RTBH, BGP next hop, BGP flowspec drop to VRF
Mitigation
Router-FlowSpec: Supporto dei filtri flowspec per bloccare gli attacchi più semplici ma
significativi direttamente sui router
Report Analisi: fornisce la documentazione rispondente ai fatti. Fornisce informazioni complete,
aggiunge informazioni di correlazione tra vettori di attacco multipli
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 14 14Radware: risultati del PoC
SmartAP: in questa modalità è in grado di identificare un attacco in tempi estremamente rapidi,
con limitate informazioni riportate al gestore (/utente) " Magic Box
Visibility
Behavioral DoS: è efficace nell’identificare e distinguere dettagliatamente il traffico malevolo,
consentendo di bloccare il solo traffico d’attacco
Global Detection: il sistema non prevede questa funzione
Detection
Attacchi noti: funzione attiva solo nel caso di traffico Mirror (inLine), Gestisce signature
applicative di traffico malevolo (port scan, ecc)
Web-GUI: interfaccia di lavoro da migliorare (java), coerente con l’approccio (Magic Box, manca
la visione integrata della lavatrice con il resto del sistema
Scalabilità: limitato numero di protected object supportati ! Richiede un diverso modello di
Control implementazione, mediante soluzioni esterne
Programmabile: Interfaccia di gestione dei protected object flessibile, integrazione con DB
GARR. Integrazione con strumenti di 3th (sonde, firewall, LLB, ecc.)
DP: Controllo del traffico su lavatrice con scarza evidenza sull’azione dei filtri, “insegue”
dinamicamente (20sec) anche in caso di variazione dei vettori di attacco
Mitigation Diversion: Supporto a varie tecniche: BGP next hop, BGP flowspec drop to VRF
Router-FlowSpec: non disponibile
Report Analisi: fornisce una limitata documentazione in relazione agli eventi. In ragione della velocita’
di «reazione» (Riassunto dei risultati Arbor Radware
GARR: N.Ciurleo, S.d’Ambrosio, Visibility Vettori di Attacco
M.Marletta, E.Gucciardi,
Global Detection
A.Inzerilli
Detection
Attacchi noti
Web-GUI
Arbor: A.Tagliarino, M.DiDedda
Control Scalabilità
Programmabile
Radware: F.Palozza, M.Vinci,
S.Cozzi Washing Machine
Mitigation Diversion
Router-FlowSpec
Analisi/
Report Documentazione
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 16 16Cosa abbiamo Imparato
Traffico GARR non predicibile ! BURST + Commodity Internet
Bacchette magiche non ne abbiamo trovate
Che nessuno è perfetto, nemmeno GARR:
• Dobbiamo rivedere alcuni aspetti del disegno di rete IP/MPLS
• Gestione separata del traffico Clean da quello Dirty
Che un sistema di mitigazione dei DDoS non è una «pozione magica», se non
correttamente inserito nei processi operativi interni è potenzialmente in grado di
portare via molte risorse:
• Tecniche, Economiche, Umane
Abbiamo bisogno di rivedere il disegno di rete IP/MPLS
• Dobbiamo implementare funzioni non previste inizialmente
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 17Conclusioni
A fronte della revisione di rete GARR, potremo adottare un sistema in grado di affiancare l’azione
del GARR-NOC e del GARR-CERT riguardo alla Mitigazione degli attacchi DDoS
• La tecnica del RTBH (SdA) rappresenta una soluzione tecnica sufficiente?
È necessario riconsiderare la questione del Controllo come processo chiave nella
implementazione di una qualsiasi soluzione
• GARR deve agire solo quando è messa a rischio la funzionalità di rete globale (Attacchi
Volumetrici)
• APM deve essere in grado di vedere (Visibilità) cosa sta accadendo e decidere di agire
direttamente oppure in modo mediato da GARR, anche quando non c'è presidio?
• Gli strumenti che adotteremo devono essere in grado di rispondere in modo chiaro a queste
domande
Faremo una attività di indagine interna alla comunità GARR al fine di capire quale sia la necessità
• Passare da gruppo di lavoro sui DDOS a servizio di mitigazione
Scopo dell'attività è incrementare la disponibilità dei servizi di Rete
Ringrazio Arbor e Radware per il supporto e la pazienza dimostrata in ques; mesi
M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018 18Grazie M.Carboni | Workshop GARR 2018, NetMakers | Roma, 29-05-2018
Puoi anche leggere
