Post on 20-Jan-2017
Anti-DDoS Solutions
Bart Van den Branden
2
3
Distributed Denial of Service
Distributed : vanaf verschillende plaatsen op het InternetDenial : Onbeschikbaar maken van OfService : webserver of internet infrastructuur
Wat is nu DDOS (en dan ook anti-DDOS)
Hoe werkt DDoS?
5
Gemiddelde DDOS aanval
Bron : Akamai
6
Hoe werken hackersShodan – http://www.shodan.io/
PrincipeShodan server(s) scanned constant het InternetGebruikers doen een query op de resultaten van de scans. Zeer snel
Observations around DDOS
7Observations around DDOS
Types DDOS en oplossingen
9
3 soorten DDOS oplossingen
3 soorten aanvallen (Telenet anti-DDOS beschermt je tegen 1 soort)2 op 3 aanvallen is volumetrisch
Type Volumetrisch Applicatief Protocol
Methode Bandbreedte saturatie Aanval op servers door te veel aanvragen
Aanval door vreemd netwerk verkeer te sturen
Oplossing Telenet Anti DDOS (of Cloud)
Consultancy & Onsite Appliance
Consultancy & Onsite Appliance (of Cloud)
10
3 Soorten oplossingen
Telenet Anti-DDOSDit is de dienst die door onze interne Arbor infrastructuur
Consultancy & Onsite applianceConsultancy vanuit TB SecurityOnsite appliance van CheckPoint (self learning appliance)
Cloud Anti-DDOSDit is een oplossing die wordt aangeboden van onze partner AkamaiHoge SLA
Telenet biedt deze andere oplossingen ook aan indien gevraagd.
11
DDOS op 2 plaatsen bestrijden
OnsiteAnti DDOS
Telenet Akamai
Volumetrisch X X
Applicatief X (X)
Protocol X (X)
SLA No Standard High
MultiISP Yes No Yes
Telenet Anti DDOS The Best Thing Since Sliced Bread
Telenet Anti DDOSWelke aanvallen
Automatische beveiliging tegen de meest voorkomende volume aanvallen
Invalid packets
UDP Fragments
Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt
Alle chargen en SSDP aanvallen
Detectie van zombie en botnets
Andere volumetrische aanvallen via de Help Desk
Telenet Anti DDOSVoordelen
Geen eigen PI
Maximum geaggregeerde scrubbing capaciteit van 60Gb
Automatisch
Geen lokale installatie
Eenvoudige activatie
Maandelijkse rapportage
Consultancy
Analyse en advies van een DDoS Expert :
Next-Generation Firewalls
DNS
ADC or WAF
Architectuur
Werken met huidige oplossingen
Telenet Anti-DDoS
Wat is dat?Gebaseerd op technologie van Arbor
Werkt op iFiber en Corporate Fibernet
DDoS Intelligence Feed
Welke aanvallen
Automatische beveiliging tegen de meest voorkomende volume aanvallen
Invalid packets
UDP Fragments
Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt
Alle chargen en SSDP aanvallen
Detectie van zombie en botnets
Andere volumetrische aanvallen via de Help Desk
VoordelenGeen eigen PI
Maximum geaggregeerde scrubbing capaciteit van 60Gb
Automatisch
Geen lokale installatie
Eenvoudige activatie
Maandelijkse rapportage
21
Telenet anti-DDOS
Scrubbing in the cloud
22
Telenet anti-DDOS
Scrubbing in the cloud
23
Telenet anti-DDOS
Scrubbing in the cloud
24Scrubbing in the cloud
On Site Appliance Check Point DDoS Protector
26©2014 Check Point Software Technologies Ltd.
Volumetrisch
High volume of packets
Applicatie Flood
Web / DNS connection-
based attacks
Multi-Layered Protections
Protocol Flood
High rate of new sessions
27©2014 Check Point Software Technologies Ltd.
Volumetrisch
High volume of packets
Protocol Flood
High rate of new sessions
Applicatie Flood
Web / DNS connection-
based attacks
Multi-Layered Protections
Network behavioral analysis
DoS Mitigation Engine (DME) tot
10M PPS
Connectie verificatie
Preventing misuse of resources
BehavioralHTTP en DNS
Gebruikers auth door challenge-
response
28
DDOS Protector – HTTP Page flood
DDOS Protector leert normale netwerk verkeerAantal connectiesAantal GET/POST aanvragenUitgaande bandbreedteURL lengte
Dit wordt bijgehouden per uur , per dag van de week.
Wanneer dit afwijkt, is er mogelijk een HTTP Page Flood aanval
Bescherming :1 : Detect + still forward traffic : misschien iets gaande2 : Prevent + challenge client : Gebruikers Authenticatie3 : Prevent + drop : Filteren en blokkeren
29
Cloud Anti-DDoS (Akamai)
©2015 AKAMAI | FASTER FORWARDTM
Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.
A cloud platform with
INTERNET SCALE
Six global scrubbing centersHigh-capacity DDoS mitigation and in-region redundancy
©2015 AKAMAI | FASTER FORWARDTM
Mitigatie - Inactief
INTERNETCLEAN INBOUND TRAFFIC
CLEAN OUTBOUND TRAFFIC
PROTECTEDNETWORK
REMOTE ATTACK MONITORING
Prolexic 24/7 SOC
CUSTOMER
GRE or L2PROLEXICATTACK
MITIGATIONNETWORK
PrivateFacing
PublicFacing
HKG
LON
DCA
SJC
DE
HKG
LON
DCA
SJC
DE
Mitigation - Actief
ATTACK MITIGATIONNETWORK
HKG
LON
DCA
SJC
CLEAN OUTBOUND TRAFFIC
HKG
LON
DCA
SJC
PublicFacing
PrivateFacing
INBOUND ATTACK AND
CLEAN TRAFFIC
INTERNET
REMOTE ATTACK MONITORING
Prolexic 24/7 SOCGRE or L2
CUSTOMER
DEDE
Terug even Telenet antiDDOS
34
Werkt op iFiber en Corporate Fibernet
Hoge scrubbing capaciteit
Automatische scrubbing vanaf het moment dat de volumetrische grens overschreden wordt• Invalid packets• Fragments• Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt• Alle chargen en SSDP packets• Detectie van zombie
Andere aanvallen kunnen we ook bestrijden. Klant dient Telenet te contacteren
Telenet Anti DDOSWat is dat?