Agenda
• Tillbakablick
• Bakomliggande orsaker
• Hur utförs attacker
• Korta fakta
• Kampen mot Botnets
• Behöver jag bry mig
• Skydd mot DDoS
Tillbakablick
Varför utförs DDoS attacker?
Hur utförs DDoS attacker ?
Botnet
Bots / zombies
Bot master
Command
&
Control
WWW
Kundens:
• Nätverk
• Servrar
• Applikationer
Aktivist Botnet, ”Botnet 2.0”
”Botnet 2.0”
Användare, dator och
DDoS klient
Kundens:
• Nätverk
• Servrar
• Applikationer
DoS, attack från en dator
• DoS/DDoS program på Internet
– Slowloris, Pyloris, LOIC, HOIC…
• Enkelt att ladda ner
• En DoS-klient kan räcka för att göra en server otillgänglig!
Användare med dator
och DoS/DDoS program
Kundens server /applikation
Kort fakta om DDoS attacker
• Attacker mot applikationer ökade 72% (Q3-Q4 2012, Prolexic)
• Attacker på IP/transport nivå ökade 17% (Q3-Q4 2012, Prolexic)
• Mer än 7000 DDoS attacker/dag (Prolexic)
• Genomsnittlig nertid vid en attack 54 minuter (Ponemon, november 2012)
• Genomsnittlig kostnad 150 000 kr/minut (Ponemon, november 2012)
Prioritering av skyddsfunktioner
Ponemon security report, november 2012
Kampen mot Botnets
• Det går att komma åt Botnets
– Flera har gripits
– Internationellt samarbete ökar möjligheten
– Men hjälper det ….
– En del talar emot, som Tor
Prolexic global DDoS attack report 2012Q4
Vad är då Tor ?
Tor, en anonymiseringstjänst på Internet
• Används av militären, journalister, aktivister, företag, organisationer och privat
personer som vill dölja sin identitet (IP-adress)
• Är fritt att använda
• Även anonymisering av tjänster
• Gör det svårt att identifiera botnets
• Kan dölja applikationsattacker
• Vilka startade då utvecklingen av TOR ?
– U.S. Naval Research Laboratory !
Behöver jag bry mig?
• Förlorade intäkter
• Lägre produktivitet
• Uppfyller inte krav på tillgänglighet
• Ökad risk för intrång
Frågan är inte om det händer, utan när!
Se till att vara förberedd!
Skydd mot DDoS attacker
• Hos Internetoperatören
– Blackholing
– Delat DDoS skydd i nätet
• Telia DDoS Protection
• Lokalt hos kund
– Dedikerat DDoS skydd
• Checkpoint DDoS Protection
Cygates lösning för skydd mot DDoS attacker
Checkpoint DDoS Protector
 Från 500 Mbps till 12 Gbps
 Upp till 4 Miljoner samtidiga sessioner
 Upp till 10 Miljoner paket per sekund
• 7 modeller att välja på
• 1 GbE koppar
• 10 GbE fiber
Enkel problemfri inkoppling
Internet
R
R
R
R
Switch
Switch
Brandvägg
Brandvägg
Active
Standby
Checkpoint DDoS Protector
• Skyddar mot alla typer av kända och okända attacker
– IP/Transportnivå
– Applikation
– Signatur
• Oberoende av access
Hur fungerar Checkpoint DDoS Protector
• Alltid inkopplad i linje med trafiken
– Kontinuerligt självlärande
– Bra skydd mot applikationsattacker
• Automatisk aktivering
– Skapar dynamiska filter i realtid
– ”Motar Olle i grind”
Typiskt DDoS HTTP Flood Scenario
IRC Server
HTTP Bot
Upptäcker(Infected
ett
avvikande
nerladdningsbeteende (1)
host)
 Identifierar sidan eller sidorna
BOT Command
Signatur skapas i realtid:
 Blockera onormala användares access till
HTTP Bot
sida/sidorna som är
under
attack
(Infected
host)
Internet
Attacker
Upptäcker ett avvikande nerladdningsbeteende(2)
 Identifiera onormala
användare
HTTP Bot
host) laddar ner få sidor
- Normala (Infected
användare
- Onormala användare laddar ner många sidor
HTTP
Bot
- Onormala användare har
samma
nerladdningsmönster
(Infected host)
Publik Web Server
Cygates erbjudande för skydd mot DDoS attacker
• Checkpoint DDoS Protector
• Installation
• Serviceavtal
• Remote assistans 24/7
Välkomna till vår monter!