Zum Inhalt springen Weiter zur Suche
Testversion

Hybride DDoS-Cloud für DDoS-Schutz

September 26, 2019

Transkription

In diesem Video erklärt Ahmad Nassiri, Solutions Architect, was Hybrid-DDoS ist, welche Komponenten für eine Hybrid-Bereitstellung benötigt werden und wie der Schutz in dynamischen Netzwerken geschützt und skaliert werden kann.

AI Mitschrift:

Hallo, heute werden wir einen bestimmten DDoS-Angriff auf Ihre Carrier-Grade NAT-Infrastruktur besprechen, bei dem ein böswilliger Akteur auf IP-Ressourcen in Ihrem NAT-IP-Pool abzielt.

Lassen Sie uns zur Veranschaulichung das Zugangs- und Kernnetz unseres Dienstanbieters zeichnen.

Und wir haben unser Carrier-Grade-NAT-Gerät, unser Edge-Routing und schließlich das Internet hier draußen.

Bei diesem speziellen Angriff handelt es sich um einen volumetrischen Angriff, einen Infrastrukturangriff auf eine NAT-Pool-Ressource und das CGN-Gerät.

Und eine bestimmte IP-Adresse wird von unserem bösartigen Akteur ausgewählt und ins Visier genommen.

Diese speziellen Angriffe sind sowohl für das Carrier-grade NAT-Gerät als auch für die Teilnehmer selbst lähmend. Der Hauptgrund ist, dass wir hier draußen unsere Abonnenten haben, und je nach der Überbelegungsrate der Abonnenten für öffentliche IP-Ressourcen könnten wir ein Verhältnis von 64 zu 1, vielleicht sogar 256 zu 1 haben, und wir könnten bis zu 256 Abonnenten haben, die tatsächlich von diesem einzigen Angriff betroffen sind, der in dieses Gerät gelangt.

Dazu kommt. Wir werden auch die Ressourcen der Leitungen ausschöpfen, um den Datenverkehr für andere Teilnehmer zu übertragen, die nicht mit dieser bestimmten IP-Adresse verbunden sind.

Der Dienstanbieter verfügt normalerweise über eine Architektur oder Infrastruktur zur DDoS-Abwehr. In diesem Fall ist unser DDoS-Erkennungsmechanismus das, was uns wirklich am Herzen liegt.

Und es ist sehr typisch, dass wir bei solchen Angriffen Telemetriedaten von unserem Router zu unserem DDoS-Detektor senden. Und dieser DDoS-Detektor löst auf der Grundlage der eingerichteten Richtlinie ein Blackhole im Router aus. Dies kann über BGP-Flowspec oder auch mit der Fähigkeit zur Fernauslösung von Black Hole geschehen.

Der Angriff wird also an diesem Punkt entschärft, und ab diesem Punkt sind wir wieder voll in der Lage, Datenverkehr über unser Netzwerk zu übertragen. Leider weiß das CGN-Gerät jedoch nicht, dass dieses Null-Routing stattgefunden hat. Daher sind die Teilnehmer, die der betroffenen NAT-IP-Adresse zugeordnet sind, nun nicht mehr erreichbar.

Dies kann aus zwei Gründen geschehen. Die eine ist, dass die Richtlinie die Zieladresse oder die Quelladresse oder beides berücksichtigt. Dieser Router könnte den Datenverkehr tatsächlich zu Null routen. Oder er lässt ihren Datenverkehr durch und leitet die Antwort zu Null.

Unterm Strich ist die Wirkung dieselbe: Unsere Abonnenten sind nun außer Gefecht gesetzt.

Wie können wir also diese Art von Angriffen abschwächen? Hier auf A10 Networks haben wir eine besondere Funktion, die sich "Auto-Blacklisting" der NAT-Pool-Adressierung nennt. So können wir den Angriff erkennen oder es wird uns signalisiert, dass ein Angriff stattgefunden hat, und wir können diese bestimmte IP-Adresse außer Betrieb nehmen.

In diesem Fall wird unsere IP-Adresse also signalisiert, sobald der Angriff erkannt wird. Wir erhalten ein /32-Update in unserer Routing-Tabelle für das Carrier-grade NAT-Gerät. Wir nehmen dieses bestimmte Präfix und es wirkt sich nur auf unsere Steuerungsebene aus. Es handelt sich nicht um ein Routing-Update für die Verkehrsebene. Und wir werden die betreffende IP-Adresse aus dem NAT-Pool entfernen.

An diesem Punkt müssen wir diese Abonnenten auf eine nicht betroffene öffentliche IP-Adresse verschieben. Wir werden also zu unserer nächsten IP-Adresse umziehen. Jetzt haben wir den Dienst für unsere Abonnenten vollständig wiederhergestellt.

Sobald der Angriff abgeklungen ist, entfernt der DDoS-Detektor die Null-Route. Er entfernt auch das /32-Update für das CGN-Gerät und stellt den Dienst für diese IP-Adresse wieder her.

Diese spezielle IP-Adresse wird dann wieder in Betrieb genommen. Jetzt können wir unsere Dienste für bestimmte Abonnenten wiederherstellen und diese wieder in Betrieb nehmen, wodurch unser NAT-Pool vervollständigt wird und die Abonnenten wieder vollen Zugang zum Internet haben.

Ich hoffe, Sie haben heute etwas gelernt, und ich danke Ihnen, dass Sie sich unser Video angesehen haben.

Verwandte Ressourcen

Hybride DDoS-Cloud für DDoS-Schutz | A10 Networks