Post on 03-Jan-2016
description
начальник отдела перспективных разработок
Максим Ващенко
Неразрушающее подключение
защиты от DDOS-атак
ВОКРУГ ЦОД – 2012Новосибирск 17.10.2012
Что такое DDoS-атака
• DDOS-атаки не очень часты, но очень разрушительны
• Требуют мощного решения, при этом развиваются
• Лучший способ защиты - не постоянная фильтрация
i Современные решения для борьбы с
DDoS-атаками
• Цель – вывести ресурс из строя. Простой, потеря репутации.
• 10 mpps против сервера 400kpps
• Флуд, имитация хорошего пользователя
Оправданность применения неразрушающего контроля
• Неразрушающий ответвитель – устройство, подключаемое к каналам связи (Ethernet, E1, Optic), традиционно позволяющее подключать устройства мониторинга (канала, данных, сорм и тп).
• Позволяют подключать устройства мониторинга позже, при необходимости, без какого-либо влияния на канал, находящийся в работе.
• DDOS-атака, когда она имеет место, как правило направлена на один конкретный ресурс.
• Если на большой сети использовать оборудование, защищающее от DDOS-атак, которое можно было бы оперативно, либо автоматически переключать на нужный сегмент, это позволило бы сэкономить на таких устройствах.
• Одно устройство для подавления атак большой мощности, вместо значительного количества подобных ему, установленных на всех основных каналах.
Современные решения для борьбы с
DDoS-атаками
Способы подключения защиты от DDOS-атак
Операторские решения
Андрей
www.ANDREY.mfi IN A gg.ii.rr.ll
Перенаправление трафика за счет изменения DNS-записи
В разрыв канала
Антивирус на компьютере, проксирование через внешний сервер
Современные решения для борьбы с
DDoS-атаками
- не только мониторинг оборудования, загрузки каналов
(бесплатные mrtg или cacti)
Что мониторить? – например, по snmp - исправность оборудования (маршрутизатор, коммутатор) – температуру, память, процессор, порты (bps, pps, ошибки), жизнеспособность серверов по отклику на Ping.
Внешние каналы
Сервера клиентов
МаршрутизаторКоммутатор
Мониторинг происходящего на сети дата-центра -
Полезно иметь детальную статистику по трафику -
• по каждому из протоколов
(3 уровня) IPv4, IPv6, ICMP, …;
(4) TCP, UDP, SCTP, …;
(7) DNS, HTTP, SIP, RTP, …;
• персонально по каждому из клиентов
• если ДЦ – AS, то статистика по соседям, в том числе, и обнаружение транзитного трафика; может быть и захват трафика чужой автономной системой (wiki 6 случаев. Ex: 24.02.2008 youtube)
• доступ для клиентов к подробной персональной статистике
Мониторинг атак на сети
• Атаки на клиентов
• Атаки на оборудование, каналы, системы мониторинга
• Входящие, исходящие
Внешние каналы
Сервера клиентов
МаршрутизаторКоммутатор
• Информация о маршрутизации
• Несоответствие физического источника трафика его характеристикам (поддельный, несанкционированный транзит)
• Принадлежность известным скомпрометированным ресурсам
• Трафик, соответствующий сигнатурам атак (фиксированные, эвристика, пороги и др)
• False positive, false negative
• Серые адреса
• Анализ ответов от ресурсов
1) проверка того, что IP-адрес реальный (не spoofed) и на компьютере реальный TCP/IP стек (не пакетная флудилка)
2) IP-адрес не принадлежит известной сети ботов (с учетом пулов динамических IP-адресов и адресов NAT/Proxies)
3) проверка что используется реальный браузер (понимает javascript, содержит адекватную браузер-инфо и соответствующие ей баги, понимает http-redirect, понимает куки, и т.п.)
4) проверка того, что работает живой человек (не скачивалка, не поисковый краулер), например способен выиграть в крестики-нолики.
5) проверка того, что человек ведет себя “социально”. поведение адекватно используемому ресурсу.
Популярные типы DDOS-атак
Концепция защиты,основанная на доверии IP-адресу
(очистка web-трафика)
Подавление атак - методы, ресурсы
Клиентский контроль
• Статистика и анализ обращений к серверу.
• Атака – кто, как, сила, успешность, контроль ошибок.
• Управление клиентом
Современные решения для борьбы с
DDoS-атаками
Комплекс защиты от сетевых атак «Периметр» для дата-центров
• Подключение без изменения топологии сети. Динамический захват трафика.
• Мониторинг сетевого трафика в нескольких VLAN.
• Обнаружение и подавление атак и аномалий трафика.
• Возможность анализа "сырого" трафика
• Анализ, очистка трафика 1..10Гбит/14.8 Мpps на 1 модуль
• Подавление атак на уровне приложений (HTTP, DNS, SIP и др.)
• Развернутая статистика позволяет эффективно управлять сетевыми ресурсами и видеть узкие места
• Личный кабинет с индивидуальным набором опций для каждого клиента провайдера
Защита интернет-провайдера
Защита дата-центра
И другие решения …
ООО «МФИ Софт»
603104, Нижний Новгород,ул.
Нартова, 6/6
(831) 220 32 16
ib.sales@mfisoft.ru
www.mfisoft.ru
ООО «МФИ Софт»603104, Нижний Новгород,ул. Нартова, 6/6(831) 220 32 16ib.sales@mfisoft.ruwww.mfisoft.ru
ВОКРУГ ЦОД – 2012Новосибирск 17.10.2012