Transcript DDOS attacker – behöver jag bry mig

Agenda
• Tillbakablick
• Bakomliggande orsaker
• Hur utförs attacker
• Korta fakta
• Kampen mot Botnets
• Skydd mot DDoS
• Behöver jag bry mig?
Tillbakablick
Varför utförs DDoS attacker?
Hur utförs DDoS attacker ?
Botnet
Bots / zombies
Bot master
Command
&
Control
DNS
WWW
• Ett botnet kan bestå av miljoner Bots
• Går att hyra
Kundens:
• Nätverk
• Servrar
• Applikationer
Aktivist Botnet, ”Botnet 2.0”
”Botnet 2.0”
Användare, dator och
DDoS klient
Kundens:
• Nätverk
• Servrar
• Applikationer
DRDoS (DNS Reflection Denial of Service)
Botnet
Bots / zombies
Bot master
Command
&
Control
Rekursiva ”öppna” DNS servrar
DNS
DNS
DNS
WWW
• Kan förstärka attacken upp till 100 gånger
– Största kända attacken genererade 300 Gbps
– Kallas även ”amplification attack”
Kundens nätverk,
servrar och applikationer
Applikationsattacker (Slow & Low)
• Plötsligt svarar inte applikationen!
• Var ligger problemet?
– Access, router, switch, brandvägg, lastbalanserare,
front end, databas eller en DDoS attack
• Kan ta lång tid att hitta orsaken
Kort fakta om DDoS attacker
• Attacker mot applikationer ökade 79% (*)
• Attacker på IP/transport nivå ökade 23% (*)
• Bandredden på attackerna ökar, men 62% är under 1 Gbps (**)
• Attackerna blir kortare, 86% av attackerna under 1 timme (**)
*=Prolexic 2013Q2
**=Arbor Networks 2013Q2
Kampen mot Botnets
• Det går att komma åt Botnets
– Flera har gripits
– Internationellt samarbete ökar möjligheten
– Men hjälper det ….
– En del talar emot, som Tor
Prolexic global DDoS attack report 2013Q2
Vad är då Tor ?
Tor, en anonymiseringstjänst på Internet
• Används av militären, journalister, aktivister, företag, organisationer och
privat personer som vill dölja sin identitet (IP-adress)
• Är fritt att använda
• Även anonymisering av tjänster
– Gör det svårt att identifiera botnets
• Kan dölja applikationsattacker
• Vilka startade då utvecklingen av TOR ?
– U.S. Naval Research Laboratory !
Skydd mot DDoS attacker
Två typer av skydd
• Kundplacerat
• Nätbaserat
Nätbaserade DDoS skydd hos TeliaSonera
• Blackholing
• Telia DDoS Protection
• Stamnät med hög kapacitet
Kundplacerat DDoS skydd
Checkpoint DDoS Protector
 Från 500 Mbps till 12 Gbps
 Upp till 4 Miljoner samtidiga sessioner
 Upp till 10 Miljoner paket per sekund
• 7 modeller att välja på
• 1 GbE koppar eller fiber
• 10 GbE fiber
Enkel problemfri inkoppling
Internet
R
R
R
R
Aktive / aktive
Aktive / standby
Switch
Switch
Brandvägg
Brandvägg
Hur fungerar Checkpoint DDoS Protector
• Alltid inkopplad i linje med trafiken
• Kontinuerligt självlärande
– Skyddar mot både kända och okända attacker
• Automatisk och snabb aktivering
– Skapar dynamiska filter i realtid
• Skydd mot applikationsattacker
– Inklusive Slow & Low
• 24*7 assistans
Typiskt DDoS HTTP Flood Scenario
IRC Server
HTTP Bot
Upptäcker(Infected
ett
avvikande
nerladdningsbeteende (1)
host)
 Identifierar sidan eller sidorna
BOT Command
Signatur skapas i realtid:
 Blockera onormala användares access till
HTTP Bot
sida/sidorna som är
under
attack
(Infected
host)
Internet
Attacker
Upptäcker ett avvikande nerladdningsbeteende(2)
 Identifiera onormala
HTTP Bot användare
(Infected host)
HTTP Bot
(Infected host)
Publik Web Server
Summering avseende skydd
• Kundplacerat
– Skyddar mot alla typer av attacker under accesshastigheten
– Effektivt och snabbt skydd mot applikationsattacker
• Nätbaserat
– Effektivt skydd mot bandbreddsattacker
– Långsam aktivering
• För ett heltäckande skydd behövs båda
Behöver jag bry mig?
Branschfördelning av DDoS attacker
Prolexic global DDoS attack report 2013Q2
Behöver jag bry mig?
Som att köpa försäkring mot
• Förlorade intäkter
• Lägre produktivitet
• Skador på varumärke
• Otillgänglighet
• Intrång
Organisationers prioritering av skyddsfunktioner
Ponemon Security Report, November 2012
Frågan är inte om det händer?
Utan …………………NÄR!
Tack!