Anti-DDoS Solutions

Bart Van den Branden

2

3

Distributed Denial of Service

Distributed : vanaf verschillende plaatsen op het InternetDenial : Onbeschikbaar maken van OfService : webserver of internet infrastructuur

Wat is nu DDOS (en dan ook anti-DDOS)

Hoe werkt DDoS?

5

Gemiddelde DDOS aanval

Bron : Akamai

6

Hoe werken hackersShodan – http://www.shodan.io/

PrincipeShodan server(s) scanned constant het InternetGebruikers doen een query op de resultaten van de scans. Zeer snel

Observations around DDOS

7Observations around DDOS

Types DDOS en oplossingen

9

3 soorten DDOS oplossingen

3 soorten aanvallen (Telenet anti-DDOS beschermt je tegen 1 soort)2 op 3 aanvallen is volumetrisch

Type Volumetrisch Applicatief Protocol

Methode Bandbreedte saturatie Aanval op servers door te veel aanvragen

Aanval door vreemd netwerk verkeer te sturen

Oplossing Telenet Anti DDOS (of Cloud)

Consultancy & Onsite Appliance

Consultancy & Onsite Appliance (of Cloud)

10

3 Soorten oplossingen

Telenet Anti-DDOSDit is de dienst die door onze interne Arbor infrastructuur

Consultancy & Onsite applianceConsultancy vanuit TB SecurityOnsite appliance van CheckPoint (self learning appliance)

Cloud Anti-DDOSDit is een oplossing die wordt aangeboden van onze partner AkamaiHoge SLA

Telenet biedt deze andere oplossingen ook aan indien gevraagd.

11

DDOS op 2 plaatsen bestrijden

OnsiteAnti DDOS

Telenet Akamai

Volumetrisch X X

Applicatief X (X)

Protocol X (X)

SLA No Standard High

MultiISP Yes No Yes

Telenet Anti DDOS The Best Thing Since Sliced Bread

Telenet Anti DDOSWelke aanvallen

Automatische beveiliging tegen de meest voorkomende volume aanvallen

Invalid packets

UDP Fragments

Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt

Alle chargen en SSDP aanvallen

Detectie van zombie en botnets

Andere volumetrische aanvallen via de Help Desk

Telenet Anti DDOSVoordelen

Geen eigen PI

Maximum geaggregeerde scrubbing capaciteit van 60Gb

Automatisch

Geen lokale installatie

Eenvoudige activatie

Maandelijkse rapportage

Consultancy

Analyse en advies van een DDoS Expert :

Next-Generation Firewalls

DNS

ADC or WAF

Architectuur

Werken met huidige oplossingen

Telenet Anti-DDoS

Wat is dat?Gebaseerd op technologie van Arbor

Werkt op iFiber en Corporate Fibernet

DDoS Intelligence Feed

Welke aanvallen

Automatische beveiliging tegen de meest voorkomende volume aanvallen

Invalid packets

UDP Fragments

Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt

Alle chargen en SSDP aanvallen

Detectie van zombie en botnets

Andere volumetrische aanvallen via de Help Desk

VoordelenGeen eigen PI

Maximum geaggregeerde scrubbing capaciteit van 60Gb

Automatisch

Geen lokale installatie

Eenvoudige activatie

Maandelijkse rapportage

21

Telenet anti-DDOS

Scrubbing in the cloud

22

Telenet anti-DDOS

Scrubbing in the cloud

23

Telenet anti-DDOS

Scrubbing in the cloud

24Scrubbing in the cloud

On Site Appliance Check Point DDoS Protector

26©2014 Check Point Software Technologies Ltd.

Volumetrisch

High volume of packets

Applicatie Flood

Web / DNS connection-

based attacks

Multi-Layered Protections

Protocol Flood

High rate of new sessions

27©2014 Check Point Software Technologies Ltd.

Volumetrisch

High volume of packets

Protocol Flood

High rate of new sessions

Applicatie Flood

Web / DNS connection-

based attacks

Multi-Layered Protections

Network behavioral analysis

DoS Mitigation Engine (DME) tot

10M PPS

Connectie verificatie

Preventing misuse of resources

BehavioralHTTP en DNS

Gebruikers auth door challenge-

response

28

DDOS Protector – HTTP Page flood

DDOS Protector leert normale netwerk verkeerAantal connectiesAantal GET/POST aanvragenUitgaande bandbreedteURL lengte

Dit wordt bijgehouden per uur , per dag van de week.

Wanneer dit afwijkt, is er mogelijk een HTTP Page Flood aanval

Bescherming :1 : Detect + still forward traffic : misschien iets gaande2 : Prevent + challenge client : Gebruikers Authenticatie3 : Prevent + drop : Filteren en blokkeren

29

Cloud Anti-DDoS (Akamai)

©2015 AKAMAI | FASTER FORWARDTM

Grow revenue opportunities with fast, personalized web experiences and manage complexity from peak demand, mobile devices and data collection.

A cloud platform with

INTERNET SCALE

Six global scrubbing centersHigh-capacity DDoS mitigation and in-region redundancy

©2015 AKAMAI | FASTER FORWARDTM

Mitigatie - Inactief

INTERNETCLEAN INBOUND TRAFFIC

CLEAN OUTBOUND TRAFFIC

PROTECTEDNETWORK

REMOTE ATTACK MONITORING

Prolexic 24/7 SOC

CUSTOMER

GRE or L2PROLEXICATTACK

MITIGATIONNETWORK

PrivateFacing

PublicFacing

HKG

LON

DCA

SJC

DE

HKG

LON

DCA

SJC

DE

Mitigation - Actief

ATTACK MITIGATIONNETWORK

HKG

LON

DCA

SJC

CLEAN OUTBOUND TRAFFIC

HKG

LON

DCA

SJC

PublicFacing

PrivateFacing

INBOUND ATTACK AND

CLEAN TRAFFIC

INTERNET

REMOTE ATTACK MONITORING

Prolexic 24/7 SOCGRE or L2

CUSTOMER

DEDE

Terug even Telenet antiDDOS

34

Werkt op iFiber en Corporate Fibernet

Hoge scrubbing capaciteit

Automatische scrubbing vanaf het moment dat de volumetrische grens overschreden wordt• Invalid packets• Fragments• Grote NTP en DNS packets, die typisch in amplification attacks worden gebruikt• Alle chargen en SSDP packets• Detectie van zombie

Andere aanvallen kunnen we ook bestrijden. Klant dient Telenet te contacteren

Telenet Anti DDOSWat is dat?