начальник отдела перспективных разработок Максим Ващенко Неразрушающее подключение защиты от DDOS-атак ВОКРУГ ЦОД – 2012 Новосибирск
Что такое DDoS-атака DDOS-атаки не очень часты, но очень разрушительны Требуют мощного решения, при этом развиваются Лучший способ защиты - не постоянная фильтрация i Современные решения для борьбы с DDoS-атаками Цель – вывести ресурс из строя. Простой, потеря репутации. 10 mpps против сервера 400kpps Флуд, имитация хорошего пользователя
Оправданность применения неразрушающего контроля Неразрушающий ответвитель – устройство, подключаемое к каналам связи (Ethernet, E1, Optic), традиционно позволяющее подключать устройства мониторинга (канала, данных, сорм и тп). Позволяют подключать устройства мониторинга позже, при необходимости, без какого-либо влияния на канал, находящийся в работе. DDOS-атака, когда она имеет место, как правило направлена на один конкретный ресурс. Если на большой сети использовать оборудование, защищающее от DDOS-атак, которое можно было бы оперативно, либо автоматически переключать на нужный сегмент, это позволило бы сэкономить на таких устройствах. Одно устройство для подавления атак большой мощности, вместо значительного количества подобных ему, установленных на всех основных каналах. Современные решения для борьбы с DDoS-атаками
Способы подключения защиты от DDOS-атак Операторские решения Андрей IN A gg.ii.rr.ll Перенаправление трафика за счет изменения DNS- записи В разрыв канала Антивирус на компьютере, проксирование через внешний сервер Современные решения для борьбы с DDoS-атаками
- не только мониторинг оборудования, загрузки каналов (бесплатные mrtg или cacti) Что мониторить? – например, по snmp - исправность оборудования (маршрутизатор, коммутатор) – температуру, память, процессор, порты (bps, pps, ошибки), жизнеспособность серверов по отклику на Ping. Мониторинг происходящего на сети дата-центра - Полезно иметь детальную статистику по трафику - по каждому из протоколов (3 уровня) IPv4, IPv6, ICMP, …; (4) TCP, UDP, SCTP, …; (7) DNS, HTTP, SIP, RTP, …; персонально по каждому из клиентов если ДЦ – AS, то статистика по соседям, в том числе, и обнаружение транзитного трафика; может быть и захват трафика чужой автономной системой (wiki 6 случаев. Ex: youtube) доступ для клиентов к подробной персональной статистике
Мониторинг атак на сети Атаки на клиентов Атаки на оборудование, каналы, системы мониторинга Входящие, исходящие Информация о маршрутизации Несоответствие физического источника трафика его характеристикам (поддельный, несанкционированный транзит) Принадлежность известным скомпрометированным ресурсам Трафик, соответствующий сигнатурам атак (фиксированные, эвристика, пороги и др) False positive, false negative Серые адреса Анализ ответов от ресурсов
1) проверка того, что IP-адрес реальный (не spoofed) и на компьютере реальный TCP/IP стек (не пакетная флудилка) 2) IP-адрес не принадлежит известной сети ботов (с учетом пулов динамических IP-адресов и адресов NAT/Proxies) 3) проверка что используется реальный браузер (понимает javascript, содержит адекватную браузер- инфо и соответствующие ей баги, понимает http- redirect, понимает куки, и т.п.) 4) проверка того, что работает живой человек (не скачивалка, не поисковый краулер), например способен выиграть в крестики-нолики. 5) проверка того, что человек ведет себя социально. поведение адекватно используемому ресурсу. Популярные типы DDOS-атак Концепция защиты, основанная на доверии IP-адресу (очистка web-трафика) Подавление атак - методы, ресурсы
Клиентский контроль Статистика и анализ обращений к серверу. Атака – кто, как, сила, успешность, контроль ошибок. Управление клиентом
Современные решения для борьбы с DDoS-атаками Комплекс защиты от сетевых атак «Периметр» для дата-центров Подключение без изменения топологии сети. Динамический захват трафика. Мониторинг сетевого трафика в нескольких VLAN. Обнаружение и подавление атак и аномалий трафика. Возможность анализа "сырого" трафика Анализ, очистка трафика 1..10Гбит/14.8 Мpps на 1 модуль Подавление атак на уровне приложений (HTTP, DNS, SIP и др.) Развернутая статистика позволяет эффективно управлять сетевыми ресурсами и видеть узкие места Личный кабинет с индивидуальным набором опций для каждого клиента провайдера
Защита интернет-провайдера Защита дата-центра И другие решения … ООО «МФИ Софт» , Нижний Новгород,ул. Нартова, 6/6 (831)
ООО «МФИ Софт» , Нижний Новгород, ул. Нартова, 6/6 (831) ВОКРУГ ЦОД – 2012 Новосибирск