© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

.

Mayo 2016

Defendiéndose de Ataques DDoS Ivan Salazar, Enterprise Solutions Architect AWS

Gerardo Littman, Systems Engineer, Palo Alto Networks

Objetivos de hoy

•  Ataques comunes: Los ataques más comunes de negación de servicio distribuidos (DDoS)

•  Mitigaciones: Se utilizan para proteger la infraestructura de AWS

•  Arquitectura: Tomar ventaja de las capacidades de mitigación

Ataques comúnes

Encabezados de los ataques DDoS

CRIMINALES EXTORSIONAN EMPRESAS CON ATAQUES DDOS

LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS

Encabezados de los ataques DDoS

CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS

LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS

LOS MEGA ATAQUES AUMENTAN

Encabezados de los ataques DDoS

CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS

LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS

LOS MEGA ATAQUES AUMENTAN

ATAQUES DDOS REFLECTION ESTAN DE REGRESO

Encabezados de los ataques DDoS

CRIMINALES EXTORSIONAN EMRPESAS CON ATAQUES DDOS

LOS ATAQUES DDOS SE ESTÁN VOLVIENDO MÁS PODEROSOS

LOS MEGA ATAQUES AUMENTAN

DDOS REFLECTION ATTACKS ARE BACK

LA NUEVA NORMA: ATAQUES DDOS DE 200 – 400 GBPS

1.04 39 Tamaño promedio

de un ataque DDoS

Fuente: Arbor Networks

Duración promedio de ataques > 10 Gbps

Ataques DDoS que apuntan a redes y

servicios de infraestructura

Ataques DDoS en Q2 2015

85% Gbps Minutes

Tipos de ataques DDoS

Tipos de ataques DDoS

Ataques DDoS Volumetricos

Congestionan las redes indundándolas con más tráfico del que pueden soportar

(ejemplo: ataque UDP reflection)

Tipos de ataques DDoS

Ataque DDoS State-exhaustion

Un tipo de abuso de protocolo que estresa sistemas como firewalls, IPS o

balanceadores de carga. (ejemplo: TCP SYN flood)

Tipos de ataques DDoS

Ataques DDoS a la capa de aplicación

Menor frecuencia, un atacante usará conexiones bien formadas para dar la vuelta a la mitigación y

consumir los recursos de la aplicación (ejemplo: HTTP GET, DNS query floods)

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

Los ataques SSDP reflection son muy comúnes

Los ataques tipo reflection tienen fimas

abiertas, pero pueden consumir ancho de banda disponible

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

Otros ataques volumétricos comunes:

NTP reflection, DNS reflection, Chargen reflection, SNMP reflection

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

Los SYN floods pueden parecer como intentos de conexiones reales

Y en promedio, son más grandes en

volúmen. Pueden evitar que los usuarios reales establezcan conexiones.

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

Los DNS query floods son peticiones reales de DNS

Pueden durar horas y agotar los recursos

disponibles del servidor DNS.

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Tendencias de los ataques DDoS

Volumetric State exhaustion Application layer

DNS query floods are real DNS requests

They can also go on for hours and exhaust the available resources of the DNS server.

Otros ataques comunes en la capa de aplicación:

HTTP GET flood, Slowloris

65% Volumetrico

20% State exhaustion

15% Capa aplicación

Volumétrico: amplificación UDP

Atacante 192.0.2.1

Víctima 198.51.100.4

src=198.51.100.4 dst=203.0.113.32

NTP DNS SNMP SSDP

Reflectores 203.0.113.32

Factores de amplificación volumétrica

Vector Factor Common Cause SSDP 30.8 Servicio uPnP expuesto a Internet NTP 556.9 Servidores de tiempo con monlist habilitado DNS 28 - 54 Puetos abiertos Chargen 358.8 Servicio Chargen abilitado SNMP 6.3 Servicio SNMP abierto

Source: US-CERT

Ataques DDoS con vectores múltiples

Single vector Multi-vector

85% Single vector

15% Multi-vector

Los atacantes son persistentes

Los atacantes son persistentes

UDP/161 – SNMP

amplification

Los atacantes son persistentes

UDP/161 – SNMP

amplification UDP fragments

Los atacantes son persistentes

UDP/161 – SNMP

amplification UDP fragments

UDP/1900 – SSDP reflection

Los atacantes son persistentes

UDP/161 – SNMP

amplification UDP fragments

UDP/1900 – SSDP reflection

UDP/1900 – SSDP reflection

Los atacantes son persistentes

UDP/161 – SNMP

amplification UDP fragments

UDP/1900 – SSDP reflection

UDP/1900 – SSDP reflection

UDP/123 – NTP reflection

Los atacantes son persistentes

UDP/161 – SNMP

amplification UDP fragments

UDP/1900 – SSDP reflection

UDP/1900 – SSDP reflection

UDP/123 – NTP reflection

6 hours

Mitigaciones

Modelo de responsabilidad compartida

•  Nosotros protegemos los centros de datos, tráfico IP e infraestructura.

•  Usted mantiene control sobre la seguridad de su aplicación.

Antes de la mitigación de DDoS

Centro de datos convencional Ataque DDoS

Usuarios

Servicios convencionales de mitigación DDoS

Centro de datos convencional

Ataque DDoS

Usuarios Servicio de mitigación DDoS

Resiliente por diseño

IP ICMP

TCP

UDP

No DNS

Resiliente por diseño

IP ICMP

TCP

Elastic Load Balancing

UDP

No DNS

Amazon CloudFront

Resiliente por diseño

IP ICMP

TCP

Elastic Load Balancing

UDP

No DNS

Amazon CloudFront

Resiliente por diseño

IP ICMP

TCP

Elastic Load Balancing

UDP

No DNS

Amazon Route 53

Amazon CloudFront

Resiliente por diseño

IP ICMP

TCP

Elastic Load Balancing

UDP

No DNS

Amazon Route 53

Amazon CloudFront

Mitigación DDoS para la infraestructura de AWS

virtual private cloud

Infraestructura global de AWS

DDoS attack

Users

Mitigación DDoS de AWS

Mitigación DDoS de AWS

CloudFront Route 53

Características •  Siempre en línea •  Commodity hardware •  Mitigaciones Targeted and

heuristic mitigations Beneficios •  Bajo MTTR (Mean Time To

Respond) •  Latencias de

microsegundos

Priorización de paquetes

IP Origen

Reputación

Niveles de tráfico

Fuente ASN

Fuentes válidas

Priorización de paquetes

Prioridad

IP Origen

Reputación

Niveles de tráfico

Fuente ASN

Fuentes válidas

Moldeado de tráfico basado en prioridad

•  Los ataques DDoS pueden parecer tráfico real. •  Al tráfico se le asigna una prioridad, y usamos esa

información para proteger la disponibilidad. •  Evitamos falsos positivos y mitigamos ataques conocidos

y desconocidos.

Mitigación: Detección e ingeniería de tráfico

Identificar el objetivo en espacio compartido

•  Cada grupo de IP tiene una combinación única

 

 

Ubicación Edge

Usuarios

Distribución Distribución Distribución

Identificar el objetivo en espacio compartido

Ataque DDoS

•  Cada grupo de IP tiene una combinación única

 

 

Ubicación Edge

Usuarios

Distribución Distribución Distribución

Identificar el objetivo en espacio compartido

•  Cada grupo de IP tiene una combinación única

•  Permite la identificación del objetivo

 

Ubicación Edge

Distribución Distribución

Ataque DDoS

Usuarios

Identificar el objetivo en espacio compartido

Ubicación Edge

Ubicación Edge Ataque DDoS

Usuarios

Usuarios

Distribución

Distribución

Distribución

•  Cada grupo de IP tiene una combinación única

•  Permite la identificación del objetivo

•  Habilita nuevas opciónes de mitigación

 

 

Ingeniería del tráfico

Ingeniería del tráfico

Ataque DDoS

Ingeniería del tráfico

Mitigar

Ataque DDoS

Ingeniería del tráfico

Aislar

Ataque DDoS

Ingeniería del tráfico

Aislar

Desocupar

Ataque DDoS

Ingeniería del tráfico

Dispersar Ataque DDoS

Arquitectura

Arquitectura en AWS para resistencia DDoS

•  Volumétrica •  State exhaustion •  Capa de aplicación

Arquitectura: Volumétrico

¿Por qué es importante?

•  Los ataques DDoS Volumétricos pueden congestionar la capacidad de tráfico de la infraestructura tradicional –  Más de un tercio de los operadores de centros de datos

experimentaron congestión de tráfico relacionada a DDoS en 2014 (fuente: Arbor Networks).

Escalamiento con ELB

ELB Usuarios

Security group

DMZ public subnet

Security group

Front-end server private subnet

Instances

Route 53 health checks en instancias ELB

ELB Usuarios

Security group ELB

instances

Route 53

Route 53 health checks en instancias ELB

ELB

Security group ELB

instances

Route 53

Usuarios

Route 53 health checks en instancias ELB

ELB

Security group ELB

instances

Route 53

Usuarios

Route 53 health checks en instancias ELB

ELB

Security group ELB

instances

Route 53

Usuarios

Route 53 health checks en instancias ELB

ELB

Security group ELB

instances

Route 53

Usuarios

Route 53 health checks en instancias ELB

ELB Users

Security group ELB

instances

Route 53

DDoS

Usuarios

Route 53 health checks en instancias ELB

ELB Users

Security group ELB

instances

Route 53

DDoS

Usuarios

Minimizar la superficie de ataque

Amazon Virtual Private Cloud (VPC) •  Le permite definir una red virtual en su propia

sección aislada de AWS •  Le permite ocultar instancias de Internet usando

grupos de seguridad network access control lists (NACLs)

Seguridad en su VPC

Grupos de Seguridad •  Operan a nivel de instancia (primera capa de defensa) •  Sólo soportan reglas “allow” •  Stateful: el tráfico de regreso es permitido automáticamente •  Todas las reglas son evaluadas entes de permitir el tráfico

Network ACLs •  Operan a nivel de subred (segunda capa de defensa) •  Soporta reglas de “allow” y “deny” •  Stateless: EL regreso de tráfico debe ser permitido explícitamente •  Las reglas se procesan en orden

Web app server

DMZ public subnet

SSH bastion

NAT

ELB

Amazon EC2 security group

security group

security group

security group

Front-end private subnet

Amazon EC2

Back-end private subnet

security group

MySQL

MySQL db

Amazon VPC

Web app server

DMZ public subnet

SSH bastion

NAT

ELB Usuario

Amazon EC2 security group

security group

security group

security group

Front-end private subnet

TCP: 8080

Amazon EC2

TCP: 80/443

Back-end private subnet

security group

TCP: 3306 MySQL

MySQL db

Amazon VPC

Web app server

DMZ public subnet

SSH bastion

NAT

ELB

Admin Amazon EC2 security group

security group

security group

security group

Front-end private subnet

TCP: 8080

Amazon EC2

TCP: 80/443

Back-end private subnet

security group

TCP: 3306 MySQL

MySQL db

TCP: 22

Amazon VPC

Usuario

Web app server

DMZ public subnet

SSH bastion

NAT

ELB Users

Admin

Internet

Amazon EC2 security group

security group

security group

security group

Front-end private subnet

TCP: 8080

Amazon EC2

TCP: 80/443

Back-end private subnet

security group

TCP: 3306 MySQL

MySQL db

TCP: Outbound

TCP: 22

Amazon VPC

Usuario

Grupos de seguridad de referencia

ELB

Grupos de seguridad de referencia

Web application server

Network ACL de referencia

Prepárese a escalar y absorber

Route 53 •  Servicio de DNS altamente disponible, escalable •  Utiliza el ruteo anycast para baja latencia

   

   

Prepárese a escalar y absorber

Route 53 •  Servicio de DNS altamente disponible, escalable •  Utiliza el ruteo anycast para baja latencia

CloudFront •  Mejora el rendimiento optimizando las conexiones y

guardando el contenido en caché •  Dispersa el tráfico entre diferentes ubicaciones edge

globalmente •  Los ataques DDoS se absorven cerca de la fuente  

Prepárese a escalar y absorber

Elastic Load Balancing •  Tolerancia a fallas para aplicaciones •  Escalamiento automático •  Múltiples Zonas de Disponibilidad

Presencia global de AWS y redundancia

Presencia global de AWS y redundancia

Conexión a Internet C

Conexión a Internet A

Conexión a Internet B

Presencia global de AWS y redundancia

CloudFront

Solicitud de objeto válida

Protocolo inválido

Solicitud de Objeto inválida

Presencia global de AWS y redundancia

ELB

TCP

UDP

Presencia global de AWS y redundancia

Route A

Route B

Route C

users

Presencia global de AWS y redundancia

ELB instances

Availability Zone

ELB instances

Availability Zone

ELB

Ruteo anycast de Route 53

Cómo llego a example.com?

Ruteo anycast de Route 53

.org

.co.uk

Por acá!

Por acá!

Por acá!

.com

.net

Por acá!

.co.uk

Por acá!

.net

.org

Por acá!

.com

Por acá!

Por acá!

Cómo llego a example.com?

Ruteo anycast de Route 53

How do I get to example.com?

.org

.co.uk

Por acá!

Por acá!

Por acá!

.com

.net

Por acá!

.co.uk

Por acá!

.net

.org

Por acá!

.com

Por acá!

Por acá!

Cómo llego a example.com?

Ruteo anycast de Route 53

How do I get to example.com?

.org

.co.uk

Por acá!

Por acá!

Por acá!

.com

Por acá!

.co.uk

Por acá!

.net

.org

Por acá!

.com

Por acá!

Por acá!

.net

Cómo llego a example.com?

Ruteo anycast de Route 53

How do I get to example.com?

.org

.co.uk

Por acá!

Por acá!

Por acá!

.com

Por acá!

.co.uk

Por acá!

.net

.org

Por acá!

.com

Por acá!

Por acá!

Cómo llego a example.com?

.net

Arquitectura: State exhaustion

¿Por qué es importante?

•  Los ataques State-exhaustion pueden impactar la disponibilidad de firewalls, IPS, y balanceadores de carga. –  Más de una tercio de las empresas experimentaron

una falla de firewall o IPS relacionada con DDoS en 2014 (fuente: Arbor Networks).

SYN proxy y SYN cookies

DDoS mitigation

system

CloudFront host

Client

SYN proxy y SYN cookies

SYN

ACK

SYN/ACK DDoS

mitigation system

CloudFront host

Client

SYN proxy y SYN cookies

SYN

ACK

SYN/ACK DDoS

mitigation system

CloudFront host

Client !

SYN

ACK

SYN/ACK !!

TCP connection table

SYN proxy y SYN cookies

SYN

ACK

SYN/ACK DDoS

mitigation system

CloudFront host

Client !

Spoofed IP

SYN

ACK

SYN/ACK !!

SYN

SYN/ACK

TCP connection table

Usando proxies propios

NGINX

Security group

DMZ public subnet

Security group

Front-end server private subnet

Instances DDoS

Users

Arquitectura: Capa aplicación

Las apariencias pueden engañar

•  Los ataques DDoS a la capa de aplicación parecen tráfico real y pueden consumir recursos del servidor

•  Los ejemplos incluyen: HTTP GET floods apuntando a aplicaciones web, o DNS query floods apuntando a servidores DNS

Asegure recursos expuestos

•  Protega la entrada a su aplicación •  Geo-restricción de CloudFront •  Connection reaping de CloudFront •  Web Application Firewalls (WAFs) del Marketplace •  Use AWS WAF para construir sus propias mitgaciones en

CloudFront

Arquitectura resiliente

Web app server

Arquitectura resiliente

Users Web app

server

Arquitectura resiliente

DDoS

Users Web app

server

Arquitectura resiliente

DDoS

Users

Auto Scaling

Web app server

Arquitectura resiliente

Security group

DDoS

Users

Auto Scaling

Front-end servers private subnet

Web app server

Arquitectura resiliente

ELB

Security group

DMZ public subnet

Security group

WAF/proxy private subnet

DDoS

Users

WAF

Auto Scaling

ELB

Securitygroup

Auto Scaling

Security group

Front-end servers private subnet

Web app server

Arquitectura resiliente

ELB

Security group

DMZ public subnet

CloudFront edge location

Security group

WAF/proxy private subnet

DDoS

Users

WAF

Auto Scaling

ELB

Securitygroup

Auto Scaling

Security group

Front-end servers private subnet

Web app server

Arquitectura resiliente

ELB

Security group

DMZ public subnet

CloudFront edge location

Security group

WAF/proxy private subnet DDoS

Users

WAF

Auto Scaling

ELB

Securitygroup

Auto Scaling

Security group

Front-end servers private subnet

Web app server

Reglas de AWS WAF

AWS WAF

¿Por qué AWS WAF?

Vulnebilidad en la aplicación

Los buenos

Los malos

Web server Base de datos

Código Exploit

¿Por qué AWS WAF?

Abuso

Los buenos

Los malos

Web server Database

¿Por qué AWS WAF?

DDoS en aplicación

Los buenos

Los malos

Web server Database

¿Qué es AWS WAF?

DDoS en aplicación

Los buenos

Los malos

Web server Database

AWS WAF

¿Qué es AWS WAF?

DDoS en aplicación

Los buenos

Los malos

Web server Database

AWS WAF

Reglas AWS WAF: 1: BLOCK peticiones de los malos 2: ALLOW peticiones de los buenos

¿Qué es AWS WAF?

DDoS en aplicación

Los buenos

Los malos

Web server Database

AWS WAF

¡Gracias!