CombateàDDOSnaredeacadêmica

RildoAntoniodeSouzaCAIS/RNP

2

Definições-DDOS

• DDOS–Ataquedenegaçãodeserviçodistribuído

3

Definições–RedeIpê

•  27PontosdePresença(PoP)

•  Aproximadamente1200insJtuições

•  Aproximadamente3,5milhõesdeusuários

•  QuanJdadeinesJmáveldehosts

4

Definições –RedeIpê

5

Definições – Ataques de Amplificação

Fonte:US-CERT

6

PeakflowSP–Oqueé?

•  SoluçãoparadetecçãoetratamentodeataquesdeDDOS

7

PeakflowSP–Comofunciona

PoP-SP

Taxa média amostragem: 1/1000

PoP-RJ

PoP-RS

PoP- PR

PoP- DF

PoP- SC

8

PeakflowSP–Comofunciona

Geraalerta

•  Comportamento•  Assinaturas

9

CenárioAnteriordoPeakflowSPnaRNP•  QuanJdadedealarmesalta

•  Logscommaisde4.000linhas

•  Necessidadedeatuaçãorápida•  DificuldadedeseparareventosRNPvseventosgerais(redesdetrânsito)

10

•  SubuJlizado

CenárioAnteriordoPeakflowSPnaRNP

•  Limitaçõesdaferramenta

•  Nãogera/enviaLOGscomevidênciasdoataque

11

Brigadegatoerato

CenárioAnteriordoPeakflowSPnaRNP

12

Asolução

•  Integração+Automação

SGIS

13

Asolução•  Integração+Automação

SGIS

runReport

14

Asolução

•  TecnologiasuJlizadas

15

Funcionamentodasolução

•  Controlaralarmesquedevemsermonitorados

•  Gerarflowsparaalarmesmonitorados•  UsodaAPIdoPeakflow•  Fácilatualizaçãoemanutenção

16

Comofuncionaasolução

runReport

Écliente?Sim Não

Origemcliente? Fazwhois

Separaporcliente

SimNão

Acessa

Início

SGIS

17

Comofuncionaasolução

InsJtuiçãoéNOTIFICADA

SGISAtacadoéALERTADO

InsJtuiçãoéALERTADARNPdesJno

SGISAtacanteéNOTIFICADO

RNPorigem

18

DadosRelevantes

•  AumentononúmerodenoJficaçõesdeDDOS

15

1075

981

379

192159

548

834

0

200

400

600

800

1000

1200

jan fev mar abr mai jun jul ago

IncidentesNegaçãodeServiço-2016

19

DadosRelevantes

98.53%

1.47%

tcp outros(udpeicmp)

Ataquesporprotocolo

20

DadosRelevantes

93.22%

6.78%

ataquesorigemRNP

ataquesdesJnoRNP

OrigemdosAtaques

21

Ataquescoordenados

•  AtaquesDDOScommaisde20insJtuiçõesenvolvidas

•  InsJtuiçõescom27milIPsenvolvidosnoataque

DadosRelevantes

22

Maioresataquesdetectados-Volume

Ataque1-Data:05/08/2016PacotesporSegundo:4.3Gbps(TráfegoMalicioso)Impacto:7.5Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia

DadosRelevantes

23

Maioresataquesdetectados-Volume

Ataque2-Data:05/08/2016Tamanho:4.5Gbps(TráfegoMalicioso)Impacto:8.3Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia

DadosRelevantes

24

Resultados

•  NúmerodenoJficaçõesaumentarammuitoJan2016=15IncidentesAgo2016=834Incidentes

•  MelhoranálisedosataquesDDoS•  AtaquesentrandoousaindodaRedeIpêagora

sãonoJficados

25

Desdobramentos

•  Aumentodavisãosobreasegurançadoambienteacadêmico

•  DefiniçãodeestratégiasparacombateàataquesDDOS.

26

Dúvidas

RildoAntoniodeSouza–rildo.souza@rnp.br

Obrigado!!