combate à ddos na rede acadêmica - cert.br - centro de ......2016/05/08 · 9 cenário anterior...
TRANSCRIPT
CombateàDDOSnaredeacadêmica
RildoAntoniodeSouzaCAIS/RNP
2
Definições-DDOS
• DDOS–Ataquedenegaçãodeserviçodistribuído
3
Definições–RedeIpê
• 27PontosdePresença(PoP)
• Aproximadamente1200insJtuições
• Aproximadamente3,5milhõesdeusuários
• QuanJdadeinesJmáveldehosts
4
Definições –RedeIpê
5
Definições – Ataques de Amplificação
Fonte:US-CERT
6
PeakflowSP–Oqueé?
• SoluçãoparadetecçãoetratamentodeataquesdeDDOS
7
PeakflowSP–Comofunciona
PoP-SP
Taxa média amostragem: 1/1000
PoP-RJ
PoP-RS
PoP- PR
PoP- DF
PoP- SC
8
PeakflowSP–Comofunciona
Geraalerta
• Comportamento• Assinaturas
9
CenárioAnteriordoPeakflowSPnaRNP• QuanJdadedealarmesalta
• Logscommaisde4.000linhas
• Necessidadedeatuaçãorápida• DificuldadedeseparareventosRNPvseventosgerais(redesdetrânsito)
10
• SubuJlizado
CenárioAnteriordoPeakflowSPnaRNP
• Limitaçõesdaferramenta
• Nãogera/enviaLOGscomevidênciasdoataque
11
Brigadegatoerato
CenárioAnteriordoPeakflowSPnaRNP
12
Asolução
• Integração+Automação
SGIS
13
Asolução• Integração+Automação
SGIS
runReport
14
Asolução
• TecnologiasuJlizadas
15
Funcionamentodasolução
• Controlaralarmesquedevemsermonitorados
• Gerarflowsparaalarmesmonitorados• UsodaAPIdoPeakflow• Fácilatualizaçãoemanutenção
16
Comofuncionaasolução
runReport
Écliente?Sim Não
Origemcliente? Fazwhois
Separaporcliente
SimNão
Acessa
Início
SGIS
17
Comofuncionaasolução
InsJtuiçãoéNOTIFICADA
SGISAtacadoéALERTADO
InsJtuiçãoéALERTADARNPdesJno
SGISAtacanteéNOTIFICADO
RNPorigem
18
DadosRelevantes
• AumentononúmerodenoJficaçõesdeDDOS
15
1075
981
379
192159
548
834
0
200
400
600
800
1000
1200
jan fev mar abr mai jun jul ago
IncidentesNegaçãodeServiço-2016
19
DadosRelevantes
98.53%
1.47%
tcp outros(udpeicmp)
Ataquesporprotocolo
20
DadosRelevantes
93.22%
6.78%
ataquesorigemRNP
ataquesdesJnoRNP
OrigemdosAtaques
21
Ataquescoordenados
• AtaquesDDOScommaisde20insJtuiçõesenvolvidas
• InsJtuiçõescom27milIPsenvolvidosnoataque
DadosRelevantes
22
Maioresataquesdetectados-Volume
Ataque1-Data:05/08/2016PacotesporSegundo:4.3Gbps(TráfegoMalicioso)Impacto:7.5Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia
DadosRelevantes
23
Maioresataquesdetectados-Volume
Ataque2-Data:05/08/2016Tamanho:4.5Gbps(TráfegoMalicioso)Impacto:8.3Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia
DadosRelevantes
24
Resultados
• NúmerodenoJficaçõesaumentarammuitoJan2016=15IncidentesAgo2016=834Incidentes
• MelhoranálisedosataquesDDoS• AtaquesentrandoousaindodaRedeIpêagora
sãonoJficados
25
Desdobramentos
• Aumentodavisãosobreasegurançadoambienteacadêmico
• DefiniçãodeestratégiasparacombateàataquesDDOS.
26
Dúvidas
RildoAntoniodeSouza–[email protected]
Obrigado!!