Ir al contenido principal

Mitigación de DDoS con Netflow

Comparto debajo un articulo de FlowTraq que puede resultarles de interes

NetFlow is an abundant data source in any organization, because most routing and switching devices will export some form of NetFlow/sFlow/jFlow/IPFIX. Using flow formats to detect an incoming Distributed Denial of Service DDoS attack is therefore both a logical choice, as well as a practical convenience. However, there are also drawbacks to using NetFlow which may impact detection speed if not carefully considered. Below are some factors that impact the effectiveness of fast DDoS detection using NetFlow.

EXPORTER DELAYS

A big factor in fast DDoS detection is the speed at which your routers or switches are exporting their flows. Most devices are configured to export flow records when the flow is 60 seconds old. This means it may add up to a full minute delay before the router starts sending evidence of the ongoing attack. Since for most devices this delay is configurable, we highly recommend you dial this number down to 15 or even 10 seconds. Every second counts when fighting an incoming DDoS.

AGGREGATION AGGREVATION

When a “view”, or a “graph” of NetFlow data is displayed, you are actually looking at an aggregation of the underlying NetFlow. Meaning the actual flows are dropped in buckets before analysis can happen. Most typically DDoS attacks are detected based on a significant deviation in volume. This means a threshold is set, or a threshold is learned (both options are available in FlowTraq), and the “buckets” must fill to this threshold before a DDoS is detected. The bigger the buckets are, the longer it will take to fill to the threshold point. Smaller buckets overflow faster, leading to faster detections in most cases. What this means is that in general that the bigger/louder/volumunious a DDoS attack is, the sooner any detector will pick it up.
Conventional flow tools create their minute-by-minte (or even 5-minute-by-5-minute) buckets as the flow comes in, loosing granularity instantly. FlowTraq does this differently: flow is stored, and at the time of graph/view creation the buckets are filled dynamically at the required granularity, giving FlowTraq a detection speed advantage.

SAMPLING ERROR

Sampling is technique used to reduce the load on the analysis engine, because analysis engines typically don’t scale well. When sampling 1:50,000 flows, the error in the DDoS analysis becomes much bigger. Meaning: you cannot simply trigger an alert when you cross a threshold, because there’s a potentially huge mathematical error in a high sampling rate. The bigger the sampling rate, the bigger the deviation needs to be to confidently say there is a DDoS happening. FlowTraq was designed to scale in clusters to handle large volumes traffic while reducing the need to sample data. This means the answers are more accurate, and FlowTraq alerts faster with higher confidence.
FlowTraq reduces or eliminates the need for sampling. More accuracy in your data, means more speed in your DDoS detection.
Finally, not all DDoS attacks are equally easy to pick up. SynFlood and reflection style attacks are more straightforward, since both are very volumetric and loud in their nature. SlowLoris and RUDY style DDoS attacks are much harder to see fast, as the traffic volumes may never exceed normal levels on the packet level. Instead, FlowTraq detects these attacks by tracking the number of concurrent sessions, which do go up substantially.

Fuente:
https://www.flowtraq.com/fast-ddos-mitigation-netflow/

Comentarios

Entradas más populares de este blog

MISP - Malware Information Sharing Platform

Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?
MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware. El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC. El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.
¿Cómo funciona?
Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:
- Una eficiente base de datos de Indicadores de Compr…

Reporte de Gartner de 2018: Cuadrante Mágico para la Infraestructura de Acceso LAN Alámbrica e Inalámbrica

El enorme volumen y variedad de usuarios e IoT conectados significa que es tiempo de reexaminar como construye, asegura y administra la infraestructura de su red. Para asegurar que sus usuarios obtengan experiencias agradables mientras se mantienen los datos seguros, se necesita de una red de siguiente generación que elimine la complejidad de las operaciones de TI - ¿pero a quién puede recurrir?

Gartner, ha liberado su cuadrante mágico al respecto. Donde se destaca la presencia de Aruba (HPE) como lider por 13 años consecutivos.

Estrategia Nacional de Ciberseguridad de la República Argentina

La Estrategia Nacional de Ciberseguridad, establecida por el Poder Ejecutivo Nacional con el consenso del conjunto de la sociedad en forma multidisciplinaria y multisectorial, sienta los principios básicos y desarrolla los objetivos fundamentales que permiten fijar las previsiones nacionales en materia de protección del Ciberespacio.

Su finalidad es brindar un contexto seguro para su aprovechamiento por parte de las personas y organizaciones públicas y privadas, desarrollando de forma coherente y estructurada, acciones de prevención, detección, respuesta y recuperación frente a las ciberamenazas, juntamente con el desarrollo de un marco normativo acorde.

En virtud de lo establecido por el Decreto N° 577 publicado el 28 de julio de 2017, se ha encomendado al Comité de Ciberseguridad, creado por esa misma norma, la elaboración de la Estrategia Nacional de Ciberseguridad.

Las Tecnologías de la Información y las Comunicaciones han incrementado notablemente la eficiencia de las estructura…