Download - Combate à DDOS na rede acadêmica
Combate à DDOS na rede acadêmica
Rildo Antonio de Souza CAIS/RNP
Combate à DDOS na rede acadêmica
• Definições
• Peakflow
• O (antigo) uso do Peakflow pelo CAIS
• A solução
• Funcionamento da solução
• Resultados
• Desdobramentos
3
Definições - DDOS
• DDOS – Ataque de negação de serviço distribuído
4
Definições – Rede Ipê
• 27 Pontos de Presença (PoP)
• Aproximadamente 1200 instituições
• Aproximadamente 3,5 milhões de usuários
• Quantidade inestimável de hosts
5
Definições – Rede Ipê
6
Definições – Ataques de Amplificação
Fonte: US-CERT
7
Peakflow SP – O que é?
• Solução para detecção e tratamento de ataques de DDOS
8
Peakflow SP – Como funciona
PoP-SP
Taxa média amostragem: 1/1000
PoP-RJ
PoP-RS
PoP- PR
PoP- DF
PoP- SC
9
Peakflow SP – Como funciona
Gera alerta
• Comportamento
• Assinaturas
10
Cenário Anterior do Peakflow SP na RNP
• Quantidade de alarmes alta
• Logs com mais de 4.000 linhas
• Necessidade de atuação rápida
• Dificuldade de separar eventos RNP vs eventos gerais (redes de trânsito)
11
• Subutilizado
• Limitações da ferramenta
• Não gera / envia LOGs com evidências do ataque
Cenário Anterior do Peakflow SP na RNP
12
Briga de gato e rato
Cenário Anterior do Peakflow SP na RNP
13
A solução
• Integração + Automação
SGIS
14
A solução
• Integração + Automação
SGIS
runReport
15
A solução
• Tecnologias utilizadas
16
Funcionamento da solução
• Controlar alarmes que devem ser monitorados
• Gerar flows para alarmes monitorados
• Uso da API do Peakflow
• Fácil atualização e manutenção
17
Como funciona a solução
runReport
É cliente? Sim Não
Origem cliente? Faz whois
Separa por cliente
Sim Não
Acessa
Início
SGIS
18
Como funciona a solução
Instituição é NOTIFICADA
SGIS
Atacado é ALERTADO
Instituição é ALERTADA RNP destino
SGIS Atacante é NOTIFICADO
RNP origem
19
Dados Relevantes
• Aumento no número de notificações de DDOS
15
1075
981
379
192 159
548
834
0
200
400
600
800
1000
1200
jan fev mar abr mai jun jul ago
Incidentes Negação de Serviço - 2016
20
Dados Relevantes
98,53%
1,47%
tcp outros (udp e icmp)
Ataques por protocolo
21
Dados Relevantes
93,22%
6,78%
ataques origem RNP
ataques destino RNP
Origem dos Ataques
22
Ataques coordenados
• Ataques DDOS com mais de 20 instituições envolvidas
• Instituições com 27 mil IPs envolvidos no ataque
Dados Relevantes
23
Maiores ataques detectados - Volume
Ataque 1 - Data:05/08/2016
Pacotes por Segundo: 4.3 Gbps ( Tráfego Malicioso ) Impacto: 7.5 Gbps ( Tráfego Total) Tipo: DNS Amplification Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia
Dados Relevantes
24
Maiores ataques detectados - Volume
Ataque 2 - Data:05/08/2016
Tamanho:4.5 Gbps ( Tráfego Malicioso ) Impacto: 8.3 Gbps ( Tráfego Total) Tipo: DNS Amplification
Duração: Cerca de 40 minutos Países com maior volume de tráfego: EUA, Rússia, Reino Unido e Colômbia
Dados Relevantes
25
Resultados
• Número de notificações aumentaram muito Jan 2016 = 15 Incidentes Ago 2016 = 834 Incidentes
• Melhor análise dos ataques DDoS
• Ataques entrando ou saindo da Rede Ipê agora são notificados
26
Resultados
• Aumento da visão sobre a segurança do ambiente acadêmico
• Definição de estratégias para combate à ataques DDOS.
27
Dúvidas
Rildo Antonio de Souza – [email protected]
Obrigado !!