![Page 1: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/1.jpg)
CombateàDDOSnaredeacadêmica
RildoAntoniodeSouzaCAIS/RNP
![Page 2: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/2.jpg)
2
Definições-DDOS
• DDOS–Ataquedenegaçãodeserviçodistribuído
![Page 3: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/3.jpg)
3
Definições–RedeIpê
• 27PontosdePresença(PoP)
• Aproximadamente1200insJtuições
• Aproximadamente3,5milhõesdeusuários
• QuanJdadeinesJmáveldehosts
![Page 4: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/4.jpg)
4
Definições –RedeIpê
![Page 5: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/5.jpg)
5
Definições – Ataques de Amplificação
Fonte:US-CERT
![Page 6: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/6.jpg)
6
PeakflowSP–Oqueé?
• SoluçãoparadetecçãoetratamentodeataquesdeDDOS
![Page 7: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/7.jpg)
7
PeakflowSP–Comofunciona
PoP-SP
Taxa média amostragem: 1/1000
PoP-RJ
PoP-RS
PoP- PR
PoP- DF
PoP- SC
![Page 8: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/8.jpg)
8
PeakflowSP–Comofunciona
Geraalerta
• Comportamento• Assinaturas
![Page 9: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/9.jpg)
9
CenárioAnteriordoPeakflowSPnaRNP• QuanJdadedealarmesalta
• Logscommaisde4.000linhas
• Necessidadedeatuaçãorápida• DificuldadedeseparareventosRNPvseventosgerais(redesdetrânsito)
![Page 10: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/10.jpg)
10
• SubuJlizado
CenárioAnteriordoPeakflowSPnaRNP
• Limitaçõesdaferramenta
• Nãogera/enviaLOGscomevidênciasdoataque
![Page 11: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/11.jpg)
11
Brigadegatoerato
CenárioAnteriordoPeakflowSPnaRNP
![Page 12: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/12.jpg)
12
Asolução
• Integração+Automação
SGIS
![Page 13: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/13.jpg)
13
Asolução• Integração+Automação
SGIS
runReport
![Page 14: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/14.jpg)
14
Asolução
• TecnologiasuJlizadas
![Page 15: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/15.jpg)
15
Funcionamentodasolução
• Controlaralarmesquedevemsermonitorados
• Gerarflowsparaalarmesmonitorados• UsodaAPIdoPeakflow• Fácilatualizaçãoemanutenção
![Page 16: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/16.jpg)
16
Comofuncionaasolução
runReport
Écliente?Sim Não
Origemcliente? Fazwhois
Separaporcliente
SimNão
Acessa
Início
SGIS
![Page 17: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/17.jpg)
17
Comofuncionaasolução
InsJtuiçãoéNOTIFICADA
SGISAtacadoéALERTADO
InsJtuiçãoéALERTADARNPdesJno
SGISAtacanteéNOTIFICADO
RNPorigem
![Page 18: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/18.jpg)
18
DadosRelevantes
• AumentononúmerodenoJficaçõesdeDDOS
15
1075
981
379
192159
548
834
0
200
400
600
800
1000
1200
jan fev mar abr mai jun jul ago
IncidentesNegaçãodeServiço-2016
![Page 19: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/19.jpg)
19
DadosRelevantes
98.53%
1.47%
tcp outros(udpeicmp)
Ataquesporprotocolo
![Page 20: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/20.jpg)
20
DadosRelevantes
93.22%
6.78%
ataquesorigemRNP
ataquesdesJnoRNP
OrigemdosAtaques
![Page 21: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/21.jpg)
21
Ataquescoordenados
• AtaquesDDOScommaisde20insJtuiçõesenvolvidas
• InsJtuiçõescom27milIPsenvolvidosnoataque
DadosRelevantes
![Page 22: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/22.jpg)
22
Maioresataquesdetectados-Volume
Ataque1-Data:05/08/2016PacotesporSegundo:4.3Gbps(TráfegoMalicioso)Impacto:7.5Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia
DadosRelevantes
![Page 23: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/23.jpg)
23
Maioresataquesdetectados-Volume
Ataque2-Data:05/08/2016Tamanho:4.5Gbps(TráfegoMalicioso)Impacto:8.3Gbps(TráfegoTotal)Tipo:DNSAmplificaJonDuração:Cercade40minutosPaísescommaiorvolumedetráfego:EUA,Rússia,ReinoUnidoeColômbia
DadosRelevantes
![Page 24: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/24.jpg)
24
Resultados
• NúmerodenoJficaçõesaumentarammuitoJan2016=15IncidentesAgo2016=834Incidentes
• MelhoranálisedosataquesDDoS• AtaquesentrandoousaindodaRedeIpêagora
sãonoJficados
![Page 25: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/25.jpg)
25
Desdobramentos
• Aumentodavisãosobreasegurançadoambienteacadêmico
• DefiniçãodeestratégiasparacombateàataquesDDOS.
![Page 26: Combate à DDOS na rede acadêmica - CERT.br - Centro de ......2016/05/08 · 9 Cenário Anterior do Peakflow SP na RNP • QuanJdade de alarmes alta • Logs com mais de 4.000 linhas](https://reader031.vdocuments.com.br/reader031/viewer/2022022713/5c4b0dce93f3c34c5065b281/html5/thumbnails/26.jpg)
26
Dúvidas