Jonathan BOURGAIN Expert DDOS et advanced Threat chez Arbor Networks E tat de lart des architectures de protection antiDDoS POUVEZ VOUS REPONDRE A CES QUESTIONS Est ce que je connais ID: 777938
Download The PPT/PDF document "Protection Anti-DDoS et Menaces Avanc..." is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
Protection Anti-DDoS et Menaces Avancées
Jonathan BOURGAIN Expert DDOS et advanced Threat chez Arbor Networks
E
tat
de l’art des architectures de protection anti-DDoS
Slide2POUVEZ VOUS REPONDRE A CES QUESTIONS?
Est-
ce
que je connais les dernières tendances sur les attaques DDOS ?Est-ce que je connais les meilleurs pratique en matière de lutte contre les attaques DDoS?Est-ce que je connais l’impact réel des ddos sur mon business ?
LA MENACE DDOS A EVOLUEIL EST TEMPS DE REEVALUER VOS RISQUES FACE A LA MENACE
Slide3GAGNER LA GUERRE CONTRE LE DDOS
Tout le succès d'une opération réside dans sa préparation - Sun TzuGénéral
chinois du vie siècle av. J.-C. (544–496 av. J.-C.). Il est surtout célèbre en tant qu'auteur de l'ouvrage de stratégie militaire le plus ancien connu : L'Art de la guerre. L'idée principale de son œuvre est que l’objectif de la guerre est de contraindre l’ennemi à abandonner la lutte, y compris sans combat, grâce à la ruse, l'espionnage, une grande mobilité et l'adaptation à la stratégie de l'adversaire. Tous ces moyens doivent ainsi être employés afin de s'assurer une victoire au moindre coût (humain, matériel).
Slide4Mirai Botnet is
a Modern Day
Multi-Vector Attack
The Modern Day DDoS Attack Is Complex
Industry Best Practices Exist to Stop
All
of These Attacks
The Internet
BotNet
Your ISP
Firewall
Your Data Center
Volumetric Attacks
Large(up to 500 Gbps)
Saturates
links
TCP State-Exhaustion Attacks
Crashes
stateful
devices (Load balancers, firewalls, IPSs)
Application Layer Attacks
Low and Slow, Stealth
attacks
Crashes application servers
Legitimate Traffic
Dynamic, Multi-vector Combination
Slide5LA VISIBILITE PREMIER PAS VERS UNE STRATEGIE DE PROTECTION EFFICACE
“Si tu ne connais ni ton adversaire ni toi-même, à chaque bataille tu seras vaincu.”Connaitre son ennemis c’est connaitre les grandes tendances DDoS, les personnes derrière les différentes attaques, leur motivation et leur moyen.
Se connaitre soit même c’est connaitre ses services critiques, leur exposition à la menace DDoS, les clients de son infrastructure, leur comportement
…et leur besoin en terme de confidentialité.
Slide6ATLAS Threat Detection & Classification
Honeypots
&
SPAM TrapsATLAS
Security
Community
Millions of
samples
DDoS
Family
20+ malware sources!
100K
Malware samples/day
Sandbox of Virtual Machines
run
malware
(look for
botnet
C&C, files, network behavior)
Report and PCAP stored in database
“Tracker”
DDoS
Attack
Auto-classification and analysis every 24 hrs.
AIF
Policy
Slide7Catégorie ’attaques
ddos
Volumétrique, attaque par brute force
Inondation de traficSaturation des liens par génération d’un important volume de trafic
7
Couche 4-7,
Attaques intelligentes
Saturation de ressources TCP
Saturation des ressources des servers,
load
balancers
, firewalls ou routeurs
Couche applicative
Saturation des ressources applicative.
Slide8DERNIERES STATISTIQUES DDOS
Slide9IMPACTS DES ATTAQUES DDOS
Slide10Stopper les attaques ddos
Protection contre les attaques multicouche.
Stop les attaques DDoS jusqu’à la capacité du lien (volumétrique, applicative et les autres menaces avancées); détecte les anomalies sur le trafic sortant.
2
Vos centres de données
Internet
Attaque applicative
Centre de Nettoyage
Le réseau de votre/vos opérateur(s)
Stop les attaques volumétriques supérieur à
la capa du lien
dans le Cloud
1
Communication intelligente entre les deux environnements
3
4
Enrichie par une veille sur les menaces avancées
Attaque volumétrique
A
Recommended
Industry
Best Practice:
Slide11Source: Ponemon Institute: Dec. 2013, Cost of Data Center Outages
On-premises Intelligent DDoS Mitigation Systems (e.g. Arbor APS / TMS products)
Overlay cloud-based DDoS protection services (i.e. Arbor Cloud or ISP/MSSP)
Network infrastructure-based techniques such as S/RTBH & Flowspecat all network edges10 Best Practices in DDoS Defense Factor network availability into the design of online services or applications; continuously stress-test.
Develop a DDoS Attack Mitigation Process
Continuously
stress-test
& refine.
Utilize flow telemetry (e.g. NetFlow) collection & analysis for attack detection, classification
& trace back.
Deploy multi-layered DDoS protection which includes:
Scan for misconfigured, abusable services running on servers, routers, switches, home CPE devices, etc. (i.e. TCP 23/2323). Alert users running abusable services – possibly blocking until they
are remediated.
1
2
3
4
5
Slide12Source: Ponemon Institute: Dec. 2013, Cost of Data Center Outages
10 Best Practices in DDoS Defense (cont’d)
Participate in the global operational security community and share threat intelligence and defense best practices.
Check
Open NTP Project
for abusable NTP services on your networks.
Disallow Level 6/7 NTP queries from the Internet.
Check
Open Resolve Project
for abusable open DNS recursors on your networks. Ensure only authorized users can query recursive DNS servers.
Ensure SNMP is blocked on public-facing infrastructure/
servers.
Employ Anti-spoofing mechanisms such as Unicast Reverse-Path Forwarding, ACLs, DHCP Snooping & IP Source Guard, Cable IP Source Verify, etc. on all edges of ISP and enterprise networks.
NTP
Services
DNS
Recursors
6
7
8
9
10
Slide13DDoS : écran de fumée
pour masquer les attaques persistantes avancées.
Attack Activities Over Time
Advanced Attack Kill Chain
Port Scanning
DDoS
Phishing
Bad URL
Malware
POS
TOR
Evasion
P2P
DDoS
Evasion
Evasion
Evasion
Bot
Target Org
RESEARCH
Recon
INITIAL COMP
Weaponization
Delivery
Installation
SPREAD OUT
Exploitation
C&C
EXTRACT DATA
Complete Mission
Attackers
Port Scanning
Zero Day
Phishing
RAT
DDoS
Slide14EN RESUME UNE BONNE SOLUTION DDOS C’EST QUOI
Une solution qui :Donne de la visibilité sur les services qu’elle protège et les permet d’avoir une stratégie de protection basé sur les risques.préserve la disponibilité sans compromettre la confidentialité.
communique de manière intelligente entre ses composants.
Ne sollicite les ressources de mitigation que lorsque cela est nécessaire et là où c’est le plus pertinent.Permet de comprendre le fonctionnement de ses services et le comportement de ses clients pour mieux les protéger.Qui n’introduit pas un risque supérieur d’indisponibilité.
Slide15Slide16Q&A / Thank You
Jonathan BOURGAINIngénieur Avant-Vente
jbourgain@arbor.net
16For more info, please contact: