1 Анализ и фильтрация Интернет-трафика РТКомм 2012. - презентация

1 1 Анализ и фильтрация Интернет-трафика РТКомм 2012

2 2 2 Введение Ведете электронный бизнес? Принимаете платежи через сайт? Вы – хостинг-провайдер? Ваш сайт носит политический характер? На сайте размещена дорогостоящая реклама? Информация для размышления: Стоимость атаки DDoS с зараженных компьютеров начинается с 50 долл. в сутки. Такая недорогая атака может заблокировать среднестатистический веб-сервер.

3 3 Что такое DDoS? DDoS атака (Distributed Denial Of Service – Распределенный отказ в обслуживании) – это атака на вычислительную систему с одновременно большого числа зараженных компьютеров, называемых зомби и организующих botnet'ы (зомби сети), целью которой является добиться недоступности оборудования жертвы для легитимных пользователей. История: первые DDoS-атаки - середина 1990-х гг первый серьезный прецедент г.: почти одновременно парализованы серверы Amazon, Yahoo!, CNN, eBay по данным Arbor Networks - до 3% всего мирового интернет- трафика приходится на DDoS-атаки, в периоды пиковой активности - до 6%. Электронная почта - 1,5% трафика сети Интернет.

4 4 Схема DDoS Зона Интернет B UK Broadband US Corp US Broadband B JP Corp. Провайдер B B B B B B B B Controller Connects Botnet master инициирует команду атаковать BM Центр управления Атака Ботов Клиент

5 5 5 Статистика DDoS По данным седьмого ежегодного отчёта Arbor Networks впервые в истории в 2010 году была зафиксирована DDoS-атака мощностью потока 100 Гбит/сек

6 6 Как работает защита Клиент Y Точка Пиринга Маршрутизатор Ядра POP Центр очистки Peakflow TMS Arbor Peakflow POP Точка Пиринга Маршрутизатор Ядра «Очищенный» трафик передаётся в сеть клиента Сеть РТКОММ Клиент X

7 7 Что и как мы защищаем Что мы анализируем и защищаем: Входящий Интернет-трафик на веб-сайт, почтовый сервер, DNS-сервер, подсеть, всю сеть клиента, в офис клиента (канал до него). Где мы анализируем и защищаем: В Москве, ресурсы клиента, подключенные к сети Интернет с использованием услуг РТКОММ. Объект анализа и защиты – сервер (-ы), оборудование Клиента. Имеет до 15-ти IP-адресов или диапазонов IP-адресов. К каждому объекту применяются соответствующие только ему правила и Параметры анализа и защиты. Параметры анализа трафика, поступающего на Объект описываются в Спецификации услуги. Как мы защищаем: Статическая фильтрация или интеллектуальная (с помощью Arbor TMS, МФИ Софт «Периметр») очистка трафика клиента, поступающего на Объект.

8 8 Как работает услуга Анализ Статический (misuse) Динамический (profiled) PPS BPS On-Line отчетность Организуется доступ к личному кабинету и его настройка (в зависимости от ТП) Оповещение о предупреждениях (15 мин) Какого типа атака Степень опасности (оповещаем о красных) Прием, анализ, реализация заявки клиента Анализ оптимальности Анализ выполнимости Интеллектуальная чистка трафика (Arbor TMS) с помощью ВЕРОЯТНОСТНЫХ методов Закрытие ТТ Анализ статистики Согласование с клиентом и закрытие ТТ Снятие фильтра Аудит (опционально) Выдаются Нормальные параметры прохождения трафика Согласовывается Спецификация с граничными значениями нормальных параметров

9 9 Личный кабинет 9 Анализ и суммарный отчёт о трафике Статистика предупреждений об аномальных событиях по уровню критичности

10 10 Личный кабинет (оповещения) 10

11 11 Фильтрация трафика 11

12 12 Опыт Услуга существует с 2008 года. Более 1.5 лет проводилась опытная эксплуатация услуги Подготовлен высоко квалифицированный персонал Налажены параллельные контакты с операторами связи Множество успешно отражённых атак 12

13 13 Клиенты Банки из ТОП 50 Операторы связи Органы государственной власти Социально значимые проекты Хостинг компании СМИ

14 14 Спасибо за внимание!