Die Auswirkungen von DDoS-Angriffen auf Carrier-Grade-NAT-Geräte
Oktober 1, 2019
Transkription
In diesem Video erläutert Glen Turner, Solutions Architect, was passiert, wenn eine Carrier-Grade-NAT-Infrastruktur und IP-NAT-Pools DDoS-Angriffen ausgesetzt sind.
AI Mitschrift:
Hallo, heute werden wir über die Auswirkungen von DDOS-Angriffen auf Carrier-Grade-Nat-Geräte im Netz von Dienstanbietern sprechen. In unserem typischen Netzwerk haben wir unsere Teilnehmer am Rand und wir haben unser Zugangs- und Kernnetzwerk.
Wir werden ein Carrier Grade NAT-Gerät an der Grenze installieren lassen. Unser Peering-Router, und dann das Internet.
Im Internet gibt es nun einen böswilligen Akteur, der die Infrastruktur des Netzes des Diensteanbieters angreifen will.
Diese Angriffe innerhalb des CGN-Netzes können sowohl für das Gerät als auch für den Teilnehmer selbst Probleme verursachen.
Wir haben jetzt die öffentliche IP-Adresse verschoben. Das ist in der Regel ein Zeichen für unsere Teilnehmer an das Carrier Grade NAT-Gerät und jetzt überlasten wir diese Adresse mit mehreren Teilnehmern.
Wenn also ein volumetrischer DDoS-Angriff auf unser CGN-Gerät trifft, wird der Angriff auf mehrere Teilnehmer verteilt. In einigen Fällen, je nach Dienstanbieter und dessen Fähigkeit, seine aktuelle IPv4-Infrastruktur für NATing zu nutzen, kann das Verhältnis von Teilnehmer zu IP 64:1 oder sogar 256:1 betragen.
Diese speziellen volumetrischen DDoS-Angriffe, die in das Carrier Grade NAT-Gerät eindringen und auf unseren NAT-Pool abzielen, haben für die Teilnehmer den Effekt, dass sie den Angreifer tatsächlich auf mehrere Benutzer verteilen und verstärken.
Das ist also das erste Problem. Das zweite ist das Carrier-Grade-NAT-Gerät selbst, das nun Ressourcen wie die Fähigkeit zum Aufbau von Sitzungen und die Zeit für den Verbindungsaufbau erschöpfen kann. Diese speziellen Probleme innerhalb des Carrier Grade NAT-Geräts führen nun zu einem Ausfall nicht nur für diese Anzahl von Teilnehmern, sondern auch für alle Dienste, die im Datenpfad dieses speziellen Angriffs liegen. Innerhalb unseres Carrier Grade NAT-Geräts werden wir also einen bestimmten Datenpfad für den Angriff haben.
Und dies wird sich auf L2-L3-Netzwerkprozessoren, vielleicht CPUs usw. auswirken.
Um diese speziellen Arten von DDoS-Angriffen zu entschärfen, die wir in einem späteren Video behandeln werden, müssen wir in der Lage sein, diesen Angriff sehr früh im Datenpfad zu unterbinden, um das Gerät zu schützen.
Und um das Gerät zu schützen, müssen wir auch in der Lage sein, diese NAT-IP-Adressen auf eine schwarze Liste zu setzen.
Indem wir die NAT-IP-Adresse auf eine schwarze Liste setzen, können wir unsere Abonnenten in einen anderen Bereich umleiten, in dem die öffentliche IP-Adresse nicht mehr gefährdet ist, um den Dienst für sie zu speichern.
Die andere Art von Angriffen, derer wir uns bewusst sein sollten, ist ein Angriff, der endpunktunabhängige Filterverbindungen aufdeckt. Bei dieser Art von Angriffen gibt es mehrere Entitäten im Internet, bei denen es sich auch um ein einfaches Bot-Netz handeln kann. Und sie verwenden implantationsunabhängige Filterverbindungen, um eine bekannte NAT-Pool-IP-Adresse und einen Port anzugreifen.
Es gibt hier mehrere Auswirkungen. Erstens sieht unser Abonnent jetzt tatsächlich diesen Angriff, und der Angriff, über den wir vorhin gesprochen haben, bei dem eigentlich nur eine zufällige NAT-IP-Adresse angegriffen wird, wir haben wirklich nur die Vorstellung, dass die Infrastruktur selbst angegriffen wird und einen Ausfall für Abonnenten für diese bestimmte IP-Adresse verursacht.
Hier übermitteln wir den volumetrischen DDoS-Angriff in Worten an unseren Teilnehmer.
Bei diesem speziellen Angriff gibt es also mehrere Fakten. Zum einen verringern wir durch den volumetrischen Angriff die Fähigkeit, Datenverkehr über unsere Kernverbindungen zu übertragen. Außerdem leiten wir ihn durch die Box und kompromittieren die eigentliche Hardware.
Und dann leiten wir sie in das Zugangsnetz weiter, und bei bestimmten Zugangsnetzen, wie z. B. PAN, kann dies auch für mehrere Nutzer verheerend sein, die vielleicht nicht einmal an diese IP-Adresse, sondern einfach nur an diese Infrastruktur gebunden sind.
Durch eine Kombination von Techniken zur Sperrung der NAT-IP-Adresse und zur Begrenzung der Verbindungsrate können wir diese Art von DDoS-Angriffen eindämmen und den Dienst für unsere Teilnehmer wiederherstellen.
Es ist wichtig zu wissen, dass dieser spezielle Angriff auch andere Ressourcen erschöpfen kann, wie z. B. unsere Fähigkeit, Sitzungen mit unserer Verbindungsgeschwindigkeitseinrichtung innerhalb des Geräts einzurichten.
Wir müssen also in der Lage sein, die Verbindungsrate zu begrenzen, und wir müssen auch in der Lage sein, den Angriff zu identifizieren und dann den Angriff zu entschärfen, indem wir diesen bestimmten Teilnehmersatz auf eine andere öffentliche IP-Adresse verschieben.
Vielen Dank, dass Sie heute zugehört haben, und schauen Sie sich unbedingt auch unsere anderen Videos hier auf A10 Networks an.
