DDoS-Erkennung, Mitigation, Management und Bedrohungsanalyse
Umfassende Sicherheit & CGNAT
TLS/SSL Inspection
Web-Application-Firewall
Anwendungssicherheit und Load Balancing
Analytik und Management
CGNAT und IPv6-Migration
September 26, 2019
In diesem Video spricht Glen Turner, Solutions Architect, darüber, wie unsere integrierte DDoS-Schutzlösung zum Schutz der Carrier-Grade-NAT-Infrastruktur und IP-NAT-Pools eingesetzt werden kann.
Hallo, heute werden wir einen bestimmten DDOS-Angriff auf Ihre Carrier-Grade NAT-Infrastruktur besprechen, bei dem ein böswilliger Akteur auf IP-Ressourcen in Ihrem NAT-IP-Pool abzielt.
Lassen Sie uns zur Veranschaulichung das Zugangs- und Kernnetz unseres Dienstanbieters zeichnen.
Und wir haben unser Carrier-grade Nat-Gerät, unser Edge-Routing und schließlich das Internet hier draußen.
Bei diesem speziellen DDoS-Angriff handelt es sich um einen volumetrischen Angriff und einen Angriff auf die Infrastruktur und die NAT-Pool-Ressource sowie das CGN-Gerät.
Und eine bestimmte IP-Adresse wird von unserem bösartigen Akteur ausgewählt und ins Visier genommen.
Diese speziellen DDoS-Angriffe sind sowohl für das Carrier-grade NAT-Gerät als auch für die Teilnehmer selbst lähmend. Der Hauptgrund ist, dass wir hier draußen unsere Abonnenten haben, und je nach der Überbelegungsrate der Abonnenten für öffentliche IP-Ressourcen könnten wir ein Verhältnis von 64:1, vielleicht sogar 256:1 haben, und wir könnten bis zu 256 Abonnenten haben, die tatsächlich von diesem einzigen Angriff betroffen sind, der auf dieses Gerät kommt.
Außerdem werden wir die Ressourcen der Leitungen ausschöpfen, um den Datenverkehr für andere Abonnenten zu übertragen, die nicht an diese bestimmte IP-Adresse angeschlossen sind.
Der Dienstanbieter hat normalerweise eine DDOS-Schutzarchitektur oder -infrastruktur eingerichtet. Und in diesem Fall geht es wirklich um unseren DDOS-Erkennungsmechanismus.
Und es ist sehr typisch, dass wir bei diesen Arten von DDoS-Angriffen Telemetrie von unserem Router bis zu unserem DDOS-Detektor haben.
Und dieser DDOS-Detektor, der auf der Richtlinie basiert und eingerichtet wurde, löst ein schwarzes Loch im Router aus. Dies kann durch BGP Flowspec oder auch durch die Möglichkeit der Fernauslösung eines Black Hole geschehen. Dieser Angriff wird also an diesem Punkt entschärft, und ab diesem Punkt sind wir wieder voll in der Lage, Datenverkehr über unser Netzwerk zu übertragen. Leider weiß das CGN-Gerät jedoch nicht, dass dieses Null-Routing stattgefunden hat. Daher sind diese Teilnehmer, die dem Effekt der nat IP-Adresse zugeordnet werden können, nun außer Betrieb. Dies könnte aus zwei Gründen geschehen. Zum einen können die Richtlinien die Zieladresse oder die Quelladresse oder beides berücksichtigen.
Dieser Router könnte ihren Datenverkehr tatsächlich nicht weiterleiten. Oder er lässt ihren Datenverkehr durch und leitet die Antwort nicht weiter.
Unterm Strich ist die Wirkung. Ist das gleiche wie unsere Abonnenten sind jetzt aus dem Dienst.
Wie können wir also diese Art von DDoS-Angriffen abschwächen? Hier auf A10 Networks haben wir eine besondere Funktion, die sich Auto-Blacklisting von NAT-Pool-Adressierung nennt. So können wir den Angriff erkennen oder es wird uns signalisiert, dass der Angriff stattgefunden hat, und wir können diese bestimmte IP-Adresse für den Dienst nutzen. In diesem Fall wird also unsere IP-Adresse signalisiert, sobald der Angriff erkannt wird. Wir erhalten ein /32-Update in unserer Routing-Tabelle für das Carrier-grade NAT-Gerät. Wir nehmen dieses bestimmte Präfix und es wirkt sich dann nur auf unsere Steuerungsebene aus.
Dies ist keine Routing-Aktualisierung auf der Verkehrsebene, und wir werden die betreffende IP-Adresse aus dem Dienst des NAT-Pools nehmen. An diesem Punkt müssen wir diese Abonnenten auf eine nicht betroffene öffentliche IP-Adresse verschieben.
Wir werden also zu unserer nächsten IP-Adresse wechseln. Und jetzt haben wir den Dienst für unsere Abonnenten vollständig wiederhergestellt.
Sobald der DDoS-Angriff abgeklungen ist. Der DDOS-Detektor wird die Null-Route entfernen. Er entfernt auch das /32-Update für das CGN-Gerät und stellt den Dienst für diese IP-Adresse wieder her.
Diese bestimmte IP-Adresse wird dann wieder in Betrieb genommen und wir können unsere Dienste für bestimmte Abonnenten wiederherstellen und diese wieder in Betrieb nehmen, wodurch unser NAT-Pool vervollständigt wird ... und die Abonnenten wieder vollen Zugang zum Internet haben.
Ich hoffe, Sie haben heute etwas gelernt und danke Ihnen, dass Sie an unserem Video teilgenommen haben.