Combate à DDOS na rede acadêmica

Rildo Antonio de Souza CAIS/RNP

Combate à DDOS na rede acadêmica

• Definições

• Peakflow

• O (antigo) uso do Peakflow pelo CAIS

• A solução

• Funcionamento da solução

• Resultados

• Desdobramentos

3

Definições - DDOS

• DDOS – Ataque de negação de serviço distribuído

4

Definições – Rede Ipê

• 27 Pontos de Presença (PoP)

• Aproximadamente 1200 instituições

• Aproximadamente 3,5 milhões de usuários

• Quantidade inestimável de hosts

5

Definições – Rede Ipê

6

Definições – Ataques de Amplificação

Fonte: US-CERT

7

Peakflow SP – O que é?

• Solução para detecção e tratamento de ataques de DDOS

8

Peakflow SP – Como funciona

PoP-SP

Taxa média amostragem: 1/1000

PoP-RJ

PoP-RS

PoP- PR

PoP- DF

PoP- SC

9

Peakflow SP – Como funciona

Gera alerta

• Comportamento

• Assinaturas

10

Cenário Anterior do Peakflow SP na RNP

• Quantidade de alarmes alta

• Logs com mais de 4.000 linhas

• Necessidade de atuação rápida

• Dificuldade de separar eventos RNP vs eventos gerais (redes de trânsito)

11

• Subutilizado

• Limitações da ferramenta

• Não gera / envia LOGs com evidências do ataque

Cenário Anterior do Peakflow SP na RNP

12

Briga de gato e rato

Cenário Anterior do Peakflow SP na RNP

13

A solução

• Integração + Automação

SGIS

14

A solução

• Integração + Automação

SGIS

runReport

15

A solução

• Tecnologias utilizadas

16

Funcionamento da solução

• Controlar alarmes que devem ser monitorados

• Gerar flows para alarmes monitorados

• Uso da API do Peakflow

• Fácil atualização e manutenção

17

Como funciona a solução

runReport

É cliente? Sim Não

Origem cliente? Faz whois

Separa por cliente

Sim Não

Acessa

Início

SGIS

18

Como funciona a solução

Instituição é NOTIFICADA

SGIS

Atacado é ALERTADO

Instituição é ALERTADA RNP destino

SGIS Atacante é NOTIFICADO

RNP origem

19

Dados Relevantes

• Aumento no número de notificações de DDOS

15

1075

981

379

192 159

548

834

0

200

400

600

800

1000

1200

jan fev mar abr mai jun jul ago

Incidentes Negação de Serviço - 2016

20

Dados Relevantes

98,53%

1,47%

tcp outros (udp e icmp)

Ataques por protocolo

21

Dados Relevantes

93,22%

6,78%

ataques origem RNP

ataques destino RNP

Origem dos Ataques

22

Ataques coordenados

• Ataques DDOS com mais de 20 instituições envolvidas

• Instituições com 27 mil IPs envolvidos no ataque

Dados Relevantes

23

Maiores ataques detectados - Volume

Ataque 1 - Data:05/08/2016

Pacotes por Segundo: 4.3 Gbps ( Tráfego Malicioso ) Impacto: 7.5 Gbps ( Tráfego Total) Tipo: DNS Amplification Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia

Dados Relevantes

24

Maiores ataques detectados - Volume

Ataque 2 - Data:05/08/2016

Tamanho:4.5 Gbps ( Tráfego Malicioso ) Impacto: 8.3 Gbps ( Tráfego Total) Tipo: DNS Amplification

Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia

Dados Relevantes

25

Resultados

• Número de notificações aumentaram muito Jan 2016 = 15 Incidentes Ago 2016 = 834 Incidentes

• Melhor análise dos ataques DDoS

• Ataques entrando ou saindo da Rede Ipê agora são notificados

26

Resultados

• Aumento da visão sobre a segurança do ambiente acadêmico

• Definição de estratégias para combate à ataques DDOS.

27

Dúvidas

Rildo Antonio de Souza – rildo.souza@rnp.br

Obrigado !!