dobrý den a stejný tam jsem martinské ten skener master internet
mi prozvoň datacentra
brně a praze
pracuje tam na pozici
technického šéfa a sem také absolventem
fakulta informatiky tehdy ještě katedra informatiky a jsem rád že s sem tady z kanady
vás bez vás nemusí člověk i velký počet žen si neznaménkově verzi říkat kdo z
útocích _e možných ochrana proti těmto útokům ze strany servis pro vedru a těch uživatelů
konci zařízení
a
zeptám se vás
kdo slyšel ten pojem výnosů to je to velice frekventovaný
okej takže asi jste obraze
se na a
co je cílem
to jsem řekl třeba severní dosud objevil na internetu filtr jakoby základní ve sem se
říct že se to nemusí to být ale jenom na internetu tak tady ale když
si může to být verze čtyři a ty verze šest a jak je to vlastně
definovaný je to
distribuovaný to znamená má to být zdrojů ten to má to většinou jeden cíl a
to musí být pravda
a cílem to útoku je z netu znepřístupnit nějakou službu dev null servis a tom
že by tento přímo směrovaný
na ten na tu danou službu a nebo ne já ti podpůrný služby typu dns
a tak dál
hlavním cílem
že v útoku je vyspání nebo vyčerpaní prostředků na tom cíli a znemožnění tím pádem
další přístupu pro legitimní uživatel
za věci
vám řeknu jaká začátku jakoby neexistuje univerzální ochrana
naši zákazníci si myslí že je nějaký jakoby magická věc kterou sem která se zapne
útok na nás přestane všechno začne fungovat těma motorkama trpí
jiří
firmy který mají obrovský infrastruktury a mají mnohem větší prostředky je zcela mi
na likvidaci těch útoků
ty příklady si řekneme
takže o čem budu říkat
povídat
jak takový to vypadá
jaké jsou
zdroje cíle polytopu to budu vycházet z nějakých jako by se kvality dokumentů
které jsou dostupné
potom si řekneme co základní tyto útoku který se dnešní době nejvíc používají
a poslední části si řekneme o typech ochran a jejich nasazení v síti
můžu pro vedra
nebo koncové sítě a nebo nějaký upstream ho provedu
takže vlastně ten vlastním to vypadá _e můžu poprosit o ty dveře
jak jistě víte tak internet se skládá
zatím routeru nějaký sítí které jsem měl tu ní systémy nějaký tady ne které jsou
mezi těma filtrama filtry to se jakoby nějaký specializovaný počítače které vlastně jsou optimalizované proto
jenom aby ty pakety brali z jednoho portu a dávali rodině apod
takže vlastně
jak ten
jak vypadá to s pohledu třeba nás našel menšího městečka
jakýkoliv jiný sítě na internetu
tady nějaká jiná to s námi
ta naše si my sme si tě se nějaký router i které mají mezi sebou
nějaké fyzické linky osa můžeme ta fyzická linka má nějakou reálnou konečnou to pocit
v dnešní době nejtlustší linky který jsou sto gigabytů za sekundu
a nebo potom nějaký kanály který sou složený stě let
jakoby víc
více násobku
takže
máte nějakou jako každá věc to má nějakou prostě konečnou kapacitu
a my sme propojení se zbytkem světa
a okolním asi těma jaký maminkama v úterý ty nové typy chcete tady mít který
vlastně myslíš který propojuje
sdružuje výsledek no leva fabriku nebo může mít tři typy bez nějaký městečkem a potom
co tady velký městečka tak zlej čtyři jedna
který propojí jo
nebo u nás propojů ze zbytkem světa ty menší je sketch vyřešili tím že prostě
spolu tady tyhlencty obláčků ty tomu systémy
dohromady
u nás
nějaký zákaz ni připojen k nám taky nějakou linkou která má nějakou konečnou kapacitu řekněme
tý doby deseti
no a pokuď samozřejmě tady ty maminkama rádi něco s tím a zákazník magda by
a do na nějaký data třeba který generovaný tím útokem
se může stát nebo se stane to se ta linka tady ste pokud se tady
tahle lidského necpe tak můžete vyčerpaní prostředků na tomhlenctom to počítači protože ty pakety příkazech
takový rychlosti
že to nestačí spol odbavovat procesor tady městech to plavat
síťová karta
ale může dojít ucpání za dělat s těmi je to znamená těch našich
trysek bysme na tom upstreamu
a tím samozřejmě pokud se ucpe ta maminka tak všichni uživatelé internetu který sou tady
připojení to tam cpali kolegů se neustále ten server už tam jsme tady ta tak
se tam
nastavení takle krásně se ty malinký datový tok i potom sečtou vtom konci
a cpou tu linku
jaké která jsou teda cíle těch útoků já vycházím z nějaké
z jakého dokumentu
chováte ke jsem network
řekli tedy portovat firmy rather která je z výrobců zařízení pro rekreaci že útoku
a voni tam definují nějaké
tři
takové služby které na který se točí
a vtom vysokém rizikové víte co městečka hostingu jsem kdysi kam mi a jakoby spadáme
taky
jsou tam i do kina školy asi
a studenti nemají rádi svoje instituce
přední riziko nějaký finanční na finance se většinou jakoby zas tak útočně protože finanční věc
když někdo mi na nich udělal by ten tomto tak jim vypadne webu webová služba
se stalo že dnešní době je
pro ně nepříjemné ale banky samozřejmě fungovat bez webu fungovaly slov sto chile bez toho
bez obojí interfejsu a jejich jako by jim ten ní systémy jsou nezávislí úplně na
tady internetové připojení
a potom se jak nízký riziko
energetika nějaký vodárny a tady a ta vodárna asi když se odpojil internetu tak ta
voda tam furt poteče protože ten systém je na tom asi nejsou plně závislý
princip celé nebo cílem těch útoků lído soutoku může být každý a je s péčka
který mají jakoby a
síť je který se a c sítě které se připojí normální uživatelé
typů tady nebo střel brně tak tím trpěl taky protože i koncový uživatelé jsou dnešní
době cílem tě útoku a může to poskytnout prostě no všechny uživatele prosím tu stránku
gimpu nějaký města a pak dva ne všichni kteří sou té lokalitě tam mají přístup
internet
jak ten tu přednášku jakoby nedá poprvý asi možná po čtvrtý a pátý takže když
tady mám i vývoj ktery těch útocích jakoby navíc cíle proběhl tady do bych sentinel
poprvý to znamená to bylo někdy a na začátku roku tak bylo kvůli maximálnímu to
reportování šest sedm let do bytu za sekundu
a byl to mu to který směrována a
situ navázat rampa
teďka to za bylo před by ty vole tak si bity útokem reportovaném jeden trávit
za sekundu takže proto volové na a bylo to dvacátého sedmého
září a na
to byl nějaký radní servery který na tento čin jako ven kamery
cože jste zaznamenali určitě teďka v nedávný době tak bylo dvacátého prvního desátý kdy vypadat
vytrpět _e a všechny možný další tady velitel farben a teď nás ty všechny možný
služby který používaj a dns infrastrukturu _m než eval firmy dějin bin von nevím jestli
jste někdy slyšeli
_e do fi poměrně velká firma tráva datacentra a já menší třeba dns server si
pro tady tyhlencty velký společnosti a útokem na ten na to dns to aniž by
se útočila na ty koncový server i tak se vlastně staví pro běžný uživatel protože
vím resolving tak
a potom na fungování tisíc
jaké jsou důvody útoku
podle to reportu sám tam říkají
takže
je tam politické se nějaký důvod je aktivizován a
konkretistčin
na ty konkurenční boj s tím zase ste setkali mi a nemusí ten konkurenční boj
být jakoby stimulovaný nebo i jeho cílem nemusíte jakoby
peněžní nějaký profi ale často je to konkurenční boj se mezi nima kolenama který si
velice rádi je útočí na svoje první servery a aby asi se v řadě nějak
na záda no ty jsi kultury nevidím jako jak to funguje možná někdo ten to
potom osvětlit na konci
jestli se v tom vyzná
pak je tam výkupné si jsme se kdy setkal je to holt chvíli klasicky vykonali
vydírání co ste si četli o tom nic nezapsalo tom nám to dokonce i takže
se zákazníci to dostali jsme řekla ten zaplatí majitel zaplatili a nestalo se nic nám
se stalo
ale těžko říct je někdy to vydírání fakt za tím stojí jako bejt velkej útokem
věc sou velký problém
potom co tam nespokojení uživatelé tak ty my nemáme jo spousta sis
ale co je nejvíc je tam neznámý motiv prostě když mi na to že jako
zákazníka našeho které jakoby má nějakou pipu nějakou malou sumičku a za pár set stovek
nebo takové a jako byla jakmile sem to ve ty jsi tam jako pro záznam
tak se tam máte
závazný obsah a někdo vás nema máte nádherný server
ne takže
opravdu jsou útoky který je to není jasný proč
jak máme s trend o půl tak jasné jsou a jako ale počítače podle ty
ale v dnešní době úplně nej základnější
druhu zdroje nebo zdroj který je co nevezme zabezpečené d p služby které slouží k
reflexy
a to hlavně dnsko enterprise porno a další nul které se dají zneužít potom staré
verze chceme se kterým možnost nějaký spustit nějaký vzdáleně nějakých kostek že náš oblíbený život
dupal on prej smůla všechny tím trpí jo
soubor atria všechny tady tyhlencty a i zařízení připojených k internetu za traversing adresa kamery
když sem nezměnil hesla co čtvrt pro ten útoku který proběhl teďka na ten kdy
potom jsou té profese na služby který je tyhlencty momenty a nebo mají svoje vlastní
i cloudu vy služby který může všechna normálně cíle i když to provést jako amazon
a teda říkej to majetek vychytaný že a ve skončí nikdo nejsou není to čistá
vestavěný pravda ten tempus dneska zas
a říkala tím že dávají různý triády a tak dál
že tam je nějaký mechanismy který to sou schopny kryt ale
ty nějakým způsobem vždycky trvá nezafungoval nefunguje to okamžitě takže ten je na to přídou
že útočíte to nějakým způsobem trvá že zasáhnou
tam byly tam byla hrozný nebo pro bylo to ve zprávách tý do servis tisíc
ti dopady době kteří nabízejí za peníze by útoky
zas tak vyzrálý tajná služba izraelská tipnete si na plné ne moc dobře
a časem vlastně těch útoků mi večeři dokud dané verze čtyři ale jsme zaznamenali útoky
na praze šest
a tam je prostě velký potenciál těch chytrých zařízeních a těch hodnot chyba třeba který
by tyto uvedených kernelu linuxu pes android a počet zařízení který co nám vytvořený s
androidem jako by normálně připojený k internetu který může být zneužity oběť zdroje a zaplněné
tribuny
a tak mi pohne týmž pretty stylu a bude jich víc
takže i ty typy útoku jsou jak jsem říkal ohledně těch zdrojů máme tady čtyři
typy a dokud který mají za cíl ten
ne dostupnost služby a nejpoužívanější a
devadesáti devíti procent je přitom který vidíme je jen i ty a prospěšná tak nebo
zesílení bude péčka když se právě děje přes
nemůže tím těch sem že se zabezpečených potom tady jsou ste tady s a taky
který normálně rozbor netu znamená zralý struny strašně moc se kardioda ta na ten cíl
ty _m ty většinou mívají nižší ale musej mít vyšší datový tok potom tady jsou
a útoky typu
ste full a taky který se musím flákly
jestli ty vklady a dál který nemusej mi zas tak prosím o jejich cílem není
s paní té infrastruktury jakoby fyzické těch linek
ale cílem je zahltit stavové tabulky nějaký stavových zařízení které jsou na cestě
můj jsem vyčerpat tabulky stavové ve fajlu který prostě firewall musíme stavit tabulky a ty
stromy tabulky má nějakou konečnou hodnotu s té tak jako by každý firewall staví který
dnešní době na těch koncových serverech tak taky má nějakou kapacitu počet možných zpracování otevřený
spor já teda jako otroci
ty nemusej mít tak velký jako by benefit
protože ten cíl
a ty stavy tabulky to nejsou tak velky takže ve všem ty a s kým
taky nemusim tak musím volat je
soudili ten cíl tomto
a potom další tyto kusovek bys sofistikovanější útoky takže kopie dělají rovnou nějaký nechce snažil
se abys střelecký jackson a tak vytáhnu data zahodit tu aplikaci která tam běží a
tak dál o tom říkat nebudu
ty ochrany ty jsem povídat jsou zaměřeny na typu metrickým toky veliký toto sem řeší
není
co my vidíme nebo když se to blíž jakoby až za tou ochranou pro těm
velkým tokům se liší teď s tím menším přesnější to
co my vidíme je nárůst těch minuty vektor a vrstvu toku
a multiple k tomuto ještě si všechny testy komín útok jakoby jakým způsobem do sebe
zamíchali potom je samo že těší odstranit a naprosto utopie že se ty typy bod
ten tak se střídat krátkých časových okamžicích to znamená ty ochrany tebou ten aparát není
schopnej
na té diskuse zareagovat a nebo se střílet prachy okamžicích typy to útoku na ty
cíle
první typu nejpoužívanějším klepe zesílení
a funguje to na tom principu že je pořád internetu spousta je s péče který
dovoluji odesílat ze svojí sítě
pakety který maily které mají
zdravotní ta jinou nevíš
ta která by tam měla být znova můžete vznést uchování iterates
já cílem tohle cédéčko byly ten dnešní době nejčastější a nejvíc brutálním to který jako
cílem pro spaní těch lidech na internetu ty viny musí který do můžeme nižší operátorů
k tomu zesílení jde využít jako by skoro každý _e tak to teda budete protokol
který není
který není ze zabezpečený nejčastěji de neska který mají pod povolenou rekurzi zveřejnění internetu
ne zabezpečen tepe servery který zase možnou taky jak na příkazová
vrátit větší počet a dnes přišel
my sme liga minuty neřešili to s otevřených porno serveru který se používá portmapper pro
nfs normálně a serverech uvidíme na otevřený jakoby do světa
jak to teda funguje
je to takovým způsobem že máme tady nějakýho útočníka který je ovšem městečku které umožňuje
posílat
to útočníka pakety které mají
zdroj víte adresu jinou než by měl mít ten paket že ve zdravit adrese by
měla být ta i padesátky to vodešel ten také nicméně klasický routery routeru jenom na
základě cílovej to adresy a vůbec senátů a zdrojů pro adresu nedívají pokud není samozřejmé
na
nakonfigurováni s kecám ten router ani tam nastavené jak a filtrace
takže každý má tisíce server různé nezabezpečeno u repre službou
pošle
pak je
jeden
dhp který má tuto ženu líp adresu zdravou ta zrovna adresa je tohohlenctoho cíle na
tejden to
paket tady příde
služba dnsko odpoví mnohem větším počtem budete paketů směrem k té vydá deset podvržené to
znamená na ten cíl
a takovej se to s těch tisíců serveru se jde
tady začíná ten problém že ten datový tok veverky
jak jsem měl třetím tesla je tak tady je vidět toto zesílení to zesílení nebo
na blití běžně ten po mně
ten server odpoví jakým objemem dat oproti tomu kolik bych dostal teď dnsko je pěkný
padesát čtyři ndnp to velice dobrý a sou tady dalšího snmp třeba taky nebylo s
jak strašně moc těch s servisu který do na to s zneužití já to pěkný
dokument o request se na konci té prezentace jsou odkazy ona by ke stažení prvku
a tam je to všechno rozepsaný velice pěkně
ten tobě velice jednoduchý na udělání a je taky velice jednoduchý získat seznam těch otevřených
sem prostě děláte a scan celého internetu a který vám odpoví tou službou nezabezpečeno tak
víte že můžete využít a ty spiny
_e kubiceho adresní prostor uslyším do velice rychlý jsou na to nástroje takže jednoduše získat
_e
desetitisíce možných
cílů který potom za ten se tedy s tou jste vy tom městečku který nemá
tu filtraci to zas není to je složitý v dnešní době co různý to není
různý děs běs peška pokud jestli máte za pár kaček
vyzkoušíte kde to není filtrovaný a
děláte
to je důležitý tohlenc se nevyřeší samotce vem si je smečka to filtrovat a sem
den kdy jsem si zabezpečit jsem takže si máte spravujete ty servery a zabezpečte se
je a
jsou na to různý projekty který jakoby co otevřený a scan jo
ty
sítě nebo chcete aby si pro rozsah a seznam těch otevřených se dávaj ke stažení
je to musí si svůj se očkovat jestli je v těch seznamech
co je dobré z hlediska likvidace to trochu jestli ta data jako by to de
nějaký server kde není potřeba do té
otevře světa tak ten provede tom že michael filtrovat že prostě zahodí všechny bude tečka
problém je že může dojít saturaci podobně
a
potom ta filtrace není tak jenom kapse čemusi domlouvat s těma s těma které sou
jako terénní s nejsou naší správě a
true zabral
ovšem právě test to snadné stane získání je snadná realizace je ten důvod proč se
této nás ten typ to útoků nečas využívat
další ty podobný té tělesné útoků jsou stejné s
útoky který sou norma neschopné tomu a je to normálně ten jako mají počítač kde
prostě byť nejčastěji vidí medikovanými c dneska který _m nainstalovaný nějaký škodlivý php jako
který stane normální binární kód
a ústí jo
a ten prostě začne chrlit data co to jde na ten cíl takže když těch
zdrojů nebo ti venkovani počítači zase
ty jakej těch chceme se k nejsou
udělaný tak že by to volat něco sofistikovaný jo
ty kódy se tam nahrávaly automatického z ku zase kolt který jako by se může
automaticky typu že to funguje potomek večer že prostě scan _m tak jako nebo čase
zase snažím řekla další počítač a tak dál
dokolečka
cíl tady tomto případě saturace mě
filtrace horší protože sama ze to může generovat ty jsi ty provoz může to tak
jak generovat ostatní typy provozu
a
a ještě tam problém s tom že jako by tady tahle sem ty
do půjde udělat i ze server který jsou v městečka který filtru podle toho b
c t
protože ty zdroje jsou real
ale mohl filtrovat celá padesát tisíc zdrojů
hrozně problematický protože ta seznam a všechno best nějakých podpůrných prostředků to ručně neviděl
ste full další ty jsou ste full to ty tri mají právem a jemnější jakoby
tempem dvě telecí cíleně
zapojení těch stavových tabulek tam jsou rozmyslím fázi facek a fin fary
ještě dětí si protokol se jaký používá pravou tady tohlencto jsem je vyčerpali zdroje
jak ty asi taky menší oběma cíle zaplej ty stavy za tabulek filtrace zase je
dost problematická protože většinou tohlencto je taky iniciovaný se těch jako high počítačová spadne tomu
nebyls nějakých když tosáci aktivisty řez nějaký nástrojů
těch zdrojů může být hodně a za sebe za to specializovaný ho hardvéru
který to dělal to maticky situaci špatně popřel to
cílem řečový zaplnění těch line prostě ty útoky mají menší
nejmenší ten byt
mapa co sofistikované kdo s útoky který
mají za cíl jako bys hodit tu aplikaci
jakost ne přímo
využívají chyby těch aplikací webových a nebojí
a jak se řeší potom na ztrátě aplikace nebojí deskou nebo pepa protějším formulemi
protože ten datový objem je velice malý ten cíl útoku
takže není potřeba to řešit nějak nazpět sem na prostředka má na straně pro vedra
přenechám nedochází jakým překročení
fyzických kapacitě zařízení
takže kde potom pracují ty ochrany
samo že vy máte server na vás tento tak a
je ucpaná linka tom vašem serveru nebo k tomu ty vaše servery farmě tak se
nic moc neuděláte
že to záleží tyhlencty volumetric útoky jsem museli provede komu to servis pro repre nebo
ještě někde
dál
to na nějakýho většího provedena
těch velký dat streamech a nebo použít nějakou kladnou from the se tento gross měl
ní
takže pokuď jako by došlo k saturaci linky nějaký tak potom si to řeší jakoby
před tou linkou teda jsem spala samozřejmě a
pokuď _e saturaci nedošlo tak je to možný řeší jakoby lokální učili na vašem serveru
pro white red
a tam s potom možně aby stravovat nebo není
vyčistit sem provoz přesměrovávat čističky a vrátit ho dobře ten dobrej kterém a při na
ten server na ten server
jo takže
jaký máme typy ochran
jeden typ jako by který mají městečka je přímo u těch městeček
a když je to u nás nebo je to v naší a streamech
potom jsou ty
i ty okraje cloud o vyjít který je nějaký cloud provede který ten útok jakoby
rozmělní na jsou
no to do hodně míst těch center který mají kombinaci zeměkouli a je ticho hybridní
revize učí ti výrobci
kterýma
které kombinaci ten on site znamená že to
když ten útok je malej a byl jste schopni zvládnout takzvané tak sebe pokud ne
tak taky způsobem signalizuje telce rozmělní
té infrastruktuře to pro vedra která vychovala
takže
jak jsem říkala první ty desíti těch městeček to je jedno jak je to městečko
velky a jsou tam nějaký možnost je filtrace samozřejmě na těch jednotlivých novinka které přichází
nebo odchází směrem k těm serverům
a
tam různá grant granularita ty filtrace
používaná _e že period angl jako kterým se dá pohybovat cílová adresa a
potom sem do použitá cel filtry klasický a co tak rychle stavový potom nějaký politickou
partaj amplitudy takové java fénixové tady nic jsou
a nebo ještě teďka nejnovější já bych že ty flow spektru jakoby signalizovaná filtrace ne
stavu a všechny
některý se dá použít na těch autech
a nebo pokuď teda nejsou filtrová recur ono spravovat
ty s kravin centra jsou
o dvou typů a to je on demand znamená že cítí někde to s kravin
centru ne umístěné kde útok tak se přes měřil zas kravin centra a ten vyčištění
provoz de zpátky do té sítě tomu cíli nebo jsou víme
veškerý provoz pořád prochází zařízením a to zařízení když dojde k útoku tak o nějaký
způsob se snažil odstranit a nebo kombinace můžete mi i mám je to distribuovaný s
kravin centrum si ti vlastní
druhej typ je
ochrany je cloudu viz krávy to je založený určitě znáte klaus je ty pro provede
měl a jede si jako frajer proč jsi tak jo ta kampaň úpravám kapsu a
je fans pár tě provede hodně funguje to na principu že
vy jakoby skrýváte tu cílovou víte adresu vaší
to je to vešlo servisu za nějakého toho to provede
on na ně přesměrujete dns on potom jakoby distribuovaně na zeměkouli podle různých regionů odbavuje
ten váš provoz bude takový taková proxi a cache aby potom vlastně můžete ten vlastní
servis váš nějakým způsobem zabezpečit tu komunikaci jenom aby mu mohl s ním komunikovat ten
plot provedení byly
cože nesmí prozrazeno ta cílová a jít adresátem to vaše servis
anebo jsou založena být čipy vyloženě
a tento pro večer
propaguje váš rozsah a není to a je to založená unicastem to založené na a
přesměrování ty čipy
ram potom hybridní nemůže být část té ochrany to by vtom cloudu tam si pro
nemáte a pak můžete mít čas
nebo hardware nějakej prostředek se desíti to že právě tendleten splatit potrat
protože okraje hodně takže
zase jsme si ukazovali jak ten to vypadá
tak kde se jednotlivý ty ochrany můžou nasadit
to je tam black ho znamená
zahazovat provozu na vyžádání
opilý to může to pilinových partnerovi může to být upstreamu upstream filtry se je nasadit
na kterýkoliv linky to znamená ten a tyhle ty platový strávím cloud vyspravit funguje globálně
a celý
na tom
a milán
a on the mám s kravin funguje něco provede drahý nájem je tady tenhlencten to
znamená všechny a teď prochází on demand spraví
strany centru umístěny někde síti
je s péčka provede
potom _e asi ten řetězec připojení kontraverzi vypadá jak by měl by
nejdřív máte samozřejmě
nějaký ten případ interneto stráž jak je ochráněna tím specializovaného ochrana proti těm windows útokům
volumetric kým pak je teprv firewall pak je jestli pes tam paláce a tak dál
paraboly nejsou ochrana proti týden s útoků
ahoj řeší hlavní problémy i pes lidé s to samé
ty vlastně řešilo až jakoby jemnější ty útoku první za městem přímo na tu a
infrastrukturu
takže k té první jak u té ochrany nebo možnost možným prostředků boje s tím
útokem
co se týče filtrace máme té je tam byl jo přes protokol by čipy který
vlastně
funguje takovým způsobem a že se dá polemizovat
věděl byste jsem někdy se může někde ste si co psát registrovat to není tak
moc
rozšířeny
potom jsou ty další typy
limit děcko znamená že to máme domluvený tenhleten byl zvolen z nějakýma partnera má nebo
jeho použijeme nově vlastně sítí předáte tranzitní se ti jsem na spoji se objeví okénko
ta globální sítě může použít já caletka nebo nejnovější kousek
jak teda funguje
tady tahle jako přesvědčit i
výhoda je že
to je nakonfigurována může to požaduje zákazník
nevýhodou je že některý městečka to nepodporují v dnešní době už skoro všechny je datacentru
vy a při tom útoku vlastně
si čovek může signalizovat jestli na nějakou líp adresu chce a aby se ten provoz
zahazoval z idnes příjmy
_e je to znamená by se měl zahazoval push cítí to pro vedra který jakoby
je nade mnou a cílem je aby tento nezasáhli ostatní zákazníky nebo nezasáhl ostatní zařízení
který jsem připojený za tady tímhlectím propojen který saturován a ze kterého ten to chcu
odstranit
nevýhoda jasná tím že vlastně ja zachází ten provoz tak dělám to co ten útočník
chce ta služba je dostupná
a
ještě problém je vtom že ani nevím by tento skončil protože pokud se ty data
zarazilo někde kde dnes přijdou ke mně tak já vlastně nevím kdy a jak jsem
pokud na to ne ten partner _m na nějaké nástroje to zjisti teda nezjistíme se
ten tomu skončil nebo neskončil
samo že ten design bejval se dá použít i z nějakým jakoby limit lidskou znamená
že buď _e nějaký síti je vtom a streamu nebo některý a streamy jako by
byl nějak můžou
a muži jo přes komunitu z policie když bychom autu kde chcu ten pro zázvor
jo takže já prostě řeknu zacházíte příchozí hovor znáte to na slíbil adresou jenom s
asie protože vím že se točí na nějakou sem tu na nějaký obchod český kde
je to prostě nebude trápit že třea se mu půjčíme
to je ovšem funkce ta kterou většina těch provedu i těchto jedničkových nemám komentovat
té tak sou jak jsem říkal ten chce mít zase tom jaký speciality a je
to může nějakým způsobem filtraci řídit
jak to teda funguje
pokuď de na něm to nějaký a streamují je s péče které mě při to
do světa
a je to na to vlastník adresou
já začnu vyžití propagovat tady tenhlecten prefix s nějakou speciální komunitou vyřídit na kterou tě
je přidělena nějaká značka domluvená s tím upstream _e jejich rezervy o komunita
a co se stane
městečko začne provoz
zakázal znamená tady tahle linka se mi volní
nicméně otce čtvrt toto není přístupný ale je to přístupný třeba tady předzdili nic uteče
si těch jsou české republice se dostali to je věc která se poměrně často děje
pokuď provede to umožňuje tak můžu si přes tu komunitou říc
a aby celá zahazoval ten provoz jenom s příchozí byly fázi
takže mám potom začne zahazoval tento který prosazuje a zbytek světa třea dopad a česká
republika slovensko potom dostupný
další možnosti rád je nastavení ty filtrace nestalo vy si klasický nastaví filtr co je
nějaká linka která se uvolnit
neboj ona daný satinovaná ale
většinou to děláme nanynka příchozích do naší sítě ručně se tam nastaví a filtr
po neco analýzy true uděláme to provozu vidíme že to příkazy prostě na dns nějak
unikl je to chodí jako byste neska nastavíme to filtru den ty toky se potom
zastaví na okraji naší sítě nejde to už na zákazníka toho mysim tím tady
nejlepší konfigurace tady tohlencto nebo o zvedá sem techniky způsobem masky to automatizovat ale pořád
je to
praze muset zadává na konfiguraci by se to dělá v žatci znaky apíčka
jak to teda funguje
máme tady
naše linky to jsou připojeny z nich
pro holky vzít provedl a vidíme že to bude tady těhletěch třech a už máme
identifikovaný a už mám identifikovali jak i pro se jedna takže je tady prostě moc
filtruje a se to tady se to uvolní a se to je pět dostupný
novinkou co se týče toho a celá ta je false to je proste genová vjezdy
že ty a je to signalizace program vlády filtru pomocí vidí ty nějaký speciální
adresami
a tím vlastně můžu potom z nějakého kontroléru signalizovat ty a celkem si nastavit ručně
stojí automaticky na ty interfejsy kde je ten false bych zapnuty a jsou tam nějaký
akce kdy pro ten třídy provoz se dělá prachy gray může se to dělat revizi
právě nějaký ty čističky nebo nějakého pdfka s
dobu se může vydat nech marek dám si že dobrá věc a objímat implementovaný provoz
prostě označíte ten příchozí provoz
a ne ta by spadl nějaký nižší klasi provozu a potom když o ní vejde
vedou jako by ten provoz do jedný linky tak to je ten a stejně jako
by prostě ní šimková sem se mohu jakoby spadne
dopadne první a i když tam kasetové ty provozoval tam pořád prochází
jo na to je automaticky generování kopyto podpora je s péčko pro to zařízení který
máte městečka to je s pešková prostřední _e věc
nevýhody celého to řeší něco že ten nový a se může provádět poskytovatelé toho neposkytuje
vůči svým zákazníkům večer doménu ve svojí síti
a
taky je to závisí na implementaci na těch jednotlivých router _e
který prostě je mají omezený zase nějaký tabulky počet co se týče počet limitů tě
false jak pravil který tam byl nainstaloval
to řek že s kravinku to znamená odstraňování těch toho provozu
první možnost row jakoby můžeme používat je o k o landovi provede tři
prý sice ve službě konce ne
každým regionu tempa provede má nějaký svoje centrum pijavice směřujete dnsko o nich každým region
odpovídají jako běžný peškem ty dns servery a jak vesty potom _e jestli ty nejdou
na přímo na ten váš server doutnají cache
ta si to vyžádá od vás pokuď je ten útok velký nebo věty requestu hodně
tak samozřejmě jakoby jdou k těm nejbližším dycky jsem to hodil provedena takže se nesmí
na ty útoky tom jednom jedinym podělen a pak se to rozmělní
nevýhodou to má samozřejmě je to je to pro posouvání a ták a proxi složitě
se to monitoruje protože vy nejste schopni jakoby monitorovat líbí se provede má nějakej nějakou
chybu nebo takle a co může problémy bych se zjistí ta skutečná víte
toho vašeho server protože tím ste vlastně jakoby na začátku a ten to může zase
přímo na vás
takže důležitý je tady jako by ten zdroj nebyl jasné
jak to teda potom funguje
ten
zkrat bych provést armády slez kravin centra všude na zeměkouli takže v tomhle regionu odpovídá
jinou mít adresou to znamená ten požadavek když někdo chce uživatel chce jít na ten
váš ne
tak on nejde ty data nejdou až na ten váš server ale kdo tomu pro
vedro vy pro metr potom to přeposílal pokud samotě tady to
tak pro vector
tady to vyčistí a přeposílání ten
čistý depresi
je to jsou to placený nějaký služby
je to přes dnsko musíme se pře přesná dns
a dns server nsa do toho ven
jestli provede základ tvého strýce že vy stejnej tomanici infrastruktura minulý rok všude kde měli
ty server vy farmy a zpracování tou a těch requestu
samo že to umístění odpovídá zpoždění tento uzel na zeměkouli a z je pasé amerika
to nějaký menší africe
co se týče a rozkradli mu ten jeden titul dnsko i druhý ty ve výši
ty
která vlastně
případě jako úpadku nebo i případě máme provozovat ten
když je ten pro where propaguje část vašeho prefixem tím panem na sebe aby stahujete
příchozí provozní to přes dns
a výhoda
ta mě rychlost reakce tady těch
jako zrádce a rychle zrazeno případě kdy je ten jakoby hybridní protože změna de neslyšel
trval rychleji než pře rating landing když i ty
potom vlastně se to zpracujete nějakým tom na těch zařízeních a k vám se může
posílat ten a když ještě provoz jakým tu na tu cílovou se
co se týče s kravinku uvnitř sítě vyčištění to provozu mi sítě u pitra když
nemáte saturovaný nějaký linky provoz je žádní
jiní postýl uživatel nejsou postiženi myš cíl to útoku tak můžete ten provoz u sebe
cítí nějak se začít čistit a bylo zkrachoval
a jakým způsobem se to dělá
co no specializovaný zařízení jedno tady teďka vystavuje u tom na ten eště nevím no
doufám že se něco dozvím od nich o tom
a
funguje to tak že pokud příjde to by mi ho z detekujeme nebo ten pro
while zdekuje pomoc nějaký netvor analýzy tak uvnitř té sítě ten provoz přesměrujete čističky a
tam se musí sem začala čistit
to je a byl spát
pro problém je že ty komerční systém většinou potřebu zase
uživatelé znamená c
o opravdu musí někdo sedět
na dohledu sítě který je zvyklý zpracované školení ve zpracování tě útoku jí že to
přišel za nic nesaturovaný řekne dobrým že to přesměrovat přesměrujete domě čističky manuálně a tam
to jakým způsobem poloautomatický nebo manuálně vyčistit tím že to bude aplikovat nějaký
nějaký pravidla aby tam se musí se to stalo málo
výhoda je ta je tohlensto a dopad
srabi může při normálním stavu ten provoz tou čističkou neprochází to znamená pokuď se čistička
pokazí neposadily dělá nějakej servis nebo se zblázní tak se prostě restartuje nic se nestane
nevýhoda samo ze toho je pomalost detekce po no pomalost reakce protože ta čistička má
to je ten systém vypadá taková způsobem
je
vypadá takhle si tě nějak je to zařízení nějaká ta čistička a
večer autru které jsou tady na kraji sítě se posílá ne flow nešlo export
je taky protokol který posílala lokalizační údaje no a neposílá
co kam nebo neposílal na obsah těch paketu ale posílá co kam šlo jo to
znamená zatím to je jako víte jak zakop o taky port a objem dat no
mimochodem ty lokalizační kde se u nás podle vyhlášky uchovávají každýho městečka půl roku může
si že policie
hodně lidí to neví je to podle zákona
takže toto infrastruktura jako by má měl mít podle zákona každý
poskytovatel české republice
má tady na tom nepsalo kolektoru potom může být nějaký nástroj
který tam detekuje s overlay
a
pokuď teda ten nástroj se ví že rozhodne že došlo k nějakým to kus ti
lokalizační dat
co pošle do sítě
já příkaz aby se ten příchozí provoz
přes menoval na tu čističku
takový například příkazem
v čase teď je to při směrování přes ty čipy nebo i přes ten false
pgr dárek
je to na čističku tam se to tam to operátorovi čoveče vyčistí tady to zpátky
na ten server a odchozí data odkazy normální mají cestou
typický představitel tady tohlencto
výrobce který dát já si zařízení je firma core to je dělíte to monstrum
kdo jenom se zeptám si šel někdo to mám někdy a
nejdem oznámí já je to docela používaný
ty čističky můžou vidět na to jestli ti a nebo samozřejmě pokuď
chcete velkým toky tak vždycky nejradši likvidovat _e to
na okraj ve své vlastní sítě aby se člověk nemusel tomto a tady tomto případě
kdy
se přenáší jakoby ty data tento budete čističky tak musíte mít kapacitu ve svůj si
chtěl byste tento jakoby chceme si to ty čističky po vidět cestiček máte víc tak
můžete sami nečistil ten provoz vždycky tam fotky co nejblíž tomu vstupu do té sítě
distribuovaný auto vpád
takže případ na sezení hardware je teda se nedá té které jedna síť jeden z
našich upstreamu edit aby se jako komerční službou a mají čtyři ty čističky na zeměkouli
tady mají je white evropě který a nemají
americe a ten jejich systém je dimenzovaný mysim na čtyři terabyty zase k moci
a s tím že každý ty lokalitě render abych vám to se může založit ty
doky do letadla takže nejsou schopný protože mezi ameriko a evropou zavřený taková takový pásmu
jakou městě kontinentů takový jakoby se snaží dycky to přenést eticích čističky
do ty lišící čističky ten tobě tam vyčistit ta služba funguje tak jak jsem řekl
my si prostě platíte tam a nějaký operátor i když nás tento
tak vyzvednete telefon a řekněte jim jeho já to chcu přesměrovávat a vyčistěte to a
je to přes nezlob se to číst
tady tohlencto funguje takovým způsobem je to
je to je to není to automaticky
a sem dejme garantuje že to vyčistí ale je to samé další možné měnit
_e u všech tě lacino
takže typu zkrat bych doordinováním zprávy
to sou zařízení přes který ten provoz neustále procházím se do to za dobrou rozhodně
dívají dělá někdo statisto statistickou analýzu
a když je tam nějaká odchylka ty statistické analýzy od nějakých těch pršelo tomu statisticky
tady se snaží jako by vygenerovat automaticky filtr a ten být automaticky aplikuje jo
a nebo nějakým způsobem a nabídnou ho k aplikaci tomu operátor
ještě u toho předchozího
a vodopád nasazení tak samozřejmě ten našlo exportéry jde do těch do toho kontrola do
celého toho řešení
celé to řešení má nějakou reakční dobu a tamto arturu je nejkratší doba kdy ten
systém je skoro detekovat to je jedna minuta a tomu zkrátili toho pět minut před
tím
to znamená tento push probíhá jednu minutu a teprve potom se ten operátor rozvíjí že
to teda něco proběhlo a jestli zvážit podívá se jestli je to ono není to
ono jestli to má přesměrovat tohleto sou jakoby automaticky a tím že ty zařízení vidět
přímo do těch dat a sou na tý lince
a mentolek sis jedna ku jedný přístup k těm datům když to ten a pro
se požár často samplování aby ten objem těch dat exportovanými voltových takže to nasere mnohem
rychleji
nevýhoda samozřejmě
je to že ty data musej těm zařízení procházet skrz a můžeš ti velký si
dítě nesmysl tohle se dále implementovat
a třeba v datacentra je kdy
má teda máte někdo core síť a máte datacentrum a to zařízení data mezi tady
tyhlencty dvě
dvě místa síti
tím že to je sedí přímo
teda to velice tak se na mne implementoval nějaký věci který se nedaj implementovat na
to má dopad řešení je potřeba nějaký čemž že to může jakoby posílat těm klientům
nějaký odpovědi a podvržený aby to zjistil jestli ten to je nereálný na druhý straně
co se týče mu ještě ty typy a útoku a nebo
ne to de kristova provoz a další věci
jak to teda potom funguje
a styly
a minulém se nasadí na nějakou linku která ve nikdo toho serveru a nebo je
uvnitř připojen uvnitř ve sítě na připojení datacentru a veškerý data tím před prochází
vždycky říkala nebo my používáme zařízení autora her tady toto vás tom je poměrně nebo
jeden z lídrů
a pane mistr datacentra je brně a ty muži čtyrycet vyrazit za sekundu a filtrovat
útok až do tady tyhlencty kapacity a co tam implementovány ty a neutrální analýza náhle
tam sedm provoz _e se tam integrování pes
to je zařízení výrobci je víc je víc těch typu máte jak omezenou kapacitu pokud
byste chtěl pro velké kapacity tak ty zařízení pak musíte dávat vedle sebe udělá zmizí
na nějaké terče no
a tak dál
potom a
jak nebo
poslední ta varianta k setkat rozkradli kombinovaná to znamená máte
jako my de france pro
zatímco připojené nějaký datacentru na nějaký servery a další takže který sou datacentrum
my jsme připojeni nebo zákazníci za připojení
nějakýma tě maminka má který mají určitou kapacitu po videu to
do tématika do kapacity linky
se to zpracovávat přímo
tady pokuď se překročí kapacita linky tak to de france pro je schopný
jakým způsobem
dát pokyn pro viz liberec ten spánek která začne přesvědčit i propagovat jakoby specifičtější prefix
internetu a stahuje si na sebe ten provoz takže tahle linka se uvolní oni
to jak jsem s sebe zpracujou a tunelem to pošlou do toho deset splátek potom
pošle zpátky na ty srby vyčištění
takže to je tak všechno v rychlosti léto hodně
ta
pro vás gardy široká se o tom povídat nebo mám omezený čas
pokud byste chtěli
master je _e
sítích
takže
zveřejnil necelej a
jak jsou novinky a dalších přednáškách akcích
chcete sem se zeptat prosím
no to pochopitelné
bylo to ano
jako myslíte jaké jako bruce for strany kdo chce uhádnout hesla jako no a
tak tam je otázka jako do jaký kategorie znaky kategorie ten server jako by ten
tak stará jestli by se to šlo vyřešit na tom serveru přímo jak na a
zaměřené pokuď máte toto a není pořád ten server jako je dostupný jo jako mysim
ze zadání vůbec zastáváte že neprošla to bych saturaci technických těch prostředků jako nebo linky
tak tohle se dá celkem jsem řešit přes nějaký filtru bazénu jakoby automatizovaně když tak
to už je problém to už jakoby nemůžete řeší u sebe to se musí řešit
nějakou tou ochranou nejlepši tady si prostě
tohlencto všechno jako a
a stal jo ale tak právě příklady jakoby pro něco takovýho ale
se který sou jakoby ochránit proti prosím slajd protože tady tenhlencten na
podtřídy to je vlastně a
může být detekovaný to ber diagramy analýzou jako syn flat protože hodnoty jako by hodně
spojení s tady tohlencto
pokud je vyloženě tam dojde k saturaci
to by se musel říct co je ten
jakoby daty kategorie to patří nebo jestli by se to vyřešit navýšením část prostředků to
server u aby jako schopnej větší zátěž anebo jestli dochází uč saturaci ty linky pokud
dochází k saturaci linky takže muset řešit se svým pro legraci
o
tam
zase můžete to říct pro varem bude vás to stát ty peníze nemůžete jakoby navýšit
rezervy prostředky do servisu
můžem se potom tady o tom pobavit ještě někdo prosím a nějaký otázky
to záleží
jako záleží co to je co to má umět a ty licenses o přes kapacitu
a jako všechny je jako všechny tedy se kvality věc je to poměrně drahý no
takže tady ty ochrany
vy si myslíte na desítky gigabit za sekundu tak je to za rovin jako u
nás
ještě
prosím ještě na nějaký dotaz
a
vím
mysleme zatim jenom jeden jsme měli jenom zatim jenom jeden a vono taky souvisí s
tím že ty služby na který jsem točíte nejsou tak dost jako podmínka u toho
nejprve šesti aby ta se mi pavel znáte řetězce oběda nekreslíme se na to nedá
takže se točí to je právě taky ten ta možnost
nebo ten důvod principem verze čtyři tom
tak takový zase
eště
pro záznam a teď jako jihof to bych ještě ne říkejte jeden malý jsou ve
systému měřícího a
to lze jako pro vás je normální pro
ráj má komunitní projekt měřej internetu ratha pásem ty mám jednu sondu kterou tomu zdarma
dát za to že sem tady myslím že sylva připojí a zapojit celou tu
že jestli vás to zajímá potrestal
vámi dál
jak jsem říkal tady na konci potom jsou všechny zajímavý dokumenty
kde je to jakoby rozebraný vyšším
dobře říct
tak děkuju