Развертывание защиты от DDoS-атак
Алексей Лукацкий, бизнес-консультант [email protected] [email protected]
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§ Риски очевидны – распределенные атаки типа «отказ в обслуживании» (DDoS) привлекательны для злоумышленников; – DDoS-атаки ставят под угрозу бизнес операторов связи (ISP), поставщиков хостинга, предприятий; – каждый может пострадать; – сложность атак растет – и это только начало.
§ Защита от DDoS-атак – вопрос обеспечения непрерывности деятельности
Введение
https://twitter.com/olesovhcom/status/416667262146195456/photo/1
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Элементы, подверженные DDoS-атакам
§ Приложения – Атаки используют протоколы TCP/HTTP для перегрузки вычислительных ресурсов
§ Хосты/серверы – Попытка перегрузки ресурсов с использованием атак на протоколы—критически важные серверы не ответят на обычный запрос
§ Пропускная способность – Атаки направлены на заполнение пропускной способности IP-сети передачи данных, чтобы ограничить или заблокировать передачу легитимного трафика
§ Инфраструктура – Атаки нацелены на критически важные ресурсы сети, включая маршрутизаторы,
DNS/DHCP-серверы и другие устройства, обеспечивающие связность сети § Побочный ущерб
– Атаки, которые воздействуют на устройства, не являвшиеся целью первоначальной атаки, например, переполнение вычислительных ресурсов устройств, оказавшихся на пути распространения DDoS-атаки
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Интернет
§ DDoS-атаки бывают различных видов: – Атаки на прикладном уровне
§ Обнаруживаются и обрабатываются МСЭ и СОВ, либо на уровне сервера – Атаки с заполнением полосы пропускания (в том числе атаки на протоколы)
§ НЕ могут быть нейтрализованы в ЦОД или на серверной ферме (слишком поздно) § Подлежат нейтрализации на магистральной или граничной областях
– Атаки на сетевые устройства с контролем состояния (МСЭ, балансировщики и т.д.)
Введение
СОВ МСЭ
Статический фильтр (DPI)
Веб-сервер Веб-кэш
Сервер БД
Граничный марш-р
Транзитный и пиринговый трафик
Магистральный марш-р Марш-р
ЦОДа
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Введение: атаки
§ Различные типы DDoS-атак – Атаки непрямого воздействия (DrDoS): атаки, усиленные поддельными адресами отправителя § DNS § NTP § CharGen § SNMP
– Атаки на 3–4 уровни § TCP SYN § UDP Frag § ICMP-флудинг
– Атаки на 7 уровень § HTTP-атака (GET/POST) § SIP § SSL § ...
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Требования по защите от DDoS-атак
§ Корректное и автоматическое выявление и классификация DDoS-атаки § Гарантии пропускания легитимных потоков трафика § Способность противостоять тяжелым атакам, характеризующимся большой нагрузкой как в Mbit/s так и в PPS
§ Возможности масштабирования по производительности § Поддержка бесперебойной работы важнейших бизнес-приложений
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Типичный алгоритм нейтрализации DDoS-атак
1. Определение «нормального» поведения в сети – Определение параметров поведения трафика, приложений, узлов – Определение объектов защиты – Определение параметров «нормального» поведения для объектов защиты
2. Обнаружение DDoS-атак – Анализ данных телеметрии и (или) иных шаблонов, отличающихся от
«нормального» поведения 3. Перенаправление потенциального DDoS-трафика на устройства отражения (очистки)
4. «Очистка» трафика – 2-4 этапы могут быть объединены в рамках одного устройства – Не забудьте вернуть очищенный трафик к месту назначения
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Типичные механизмы нейтрализации DDoS-атак
§ Сетевое оборудование – корпоративное или операторское – Access control lists (ACLs) – BGP Remotely Triggered BackHole (RTBH)
§ Коммерческие специализированные решения (например, Arbor TMS) § Системы мониторинга и обнаружения аномальной активности (NBAD)
– На базе телеметрических данных (NetFlow, DNS, Syslog, SNMP и т.п.) § Системы обнаружения и предотвращения вторжений (IPS) § Использование баз репутации (черных списков)
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Варианты реализации
DDoS
Сетевое оборудование с
функциями отражения DDoS
Специализированные устройства для борьбы с DDoS
Защитные устройства с функциями защиты
от DDoS
Сервисы от оператора связи или
специализированного провайдера услуг
• Лаборатория Касперского
• BIFIT • QRator • Group-IB • Akamai
• Arbor • Radware • МФИ-Софт
• Cisco ISR • Cisco ASR • Cisco GSR • Cisco CRS
• Cisco ASA 5500-X • Cisco CTD • Cisco SCE • Cisco Sourcefire NGIPS
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Access-Control Lists (ACLs)
§ Обычно применяются на периметре сети заказчика § Обеспечивают гибкую фильтрацию по специфичным портам и протоколам § Могут столкнуться со сложностью в крупных сетях
– Какое количество ACL поддерживается пограничным маршрутизатором? – Как автоматизировать создание и отмену ACL «на лету»?
§ Обычно применяется против эпидемий вредоносных программ (например, SQL/Slammer)
“внешний” “внешний” ядро периметр заказчика
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
ACL: Основные положения
§ ACL широко применяются в качестве первичного средства сдерживания
§ Предпосылки: идентификация и классификация—необходимо знать, что именно отфильтровывается
§ Применяйте как можно более подробные ACL § ACL подходит для статических атак и не столь эффективны для быстро изменяющихся профилей нападения
§ Изучите ограничения производительности ACL до того, как вы подвергнетесь атаке
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Можно ли ограничиться ACL?
§ Сильные стороны ACL: – Детализация фильтрации пакетов (порты, протоколы, диапазоны, фрагменты и т.п.)
– Относительно статичная фильтрация окружения – Четкие правила фильтрации
§ Недостатки ACL выясняются при рассмотрении: – Динамических конфигураций атак (разные источники атак, разные начальные точки атак и т.д.)
– Частые изменения – Быстрое одновременное развертывание на нескольких устройствах
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Network Foundation Protection
Защита инфраструктуры
Control Plane
Data Plane
• Эшелонированная защиты для протоколов маршрутизации • Технологии: Receive ACLs, control plane policing, routing protection
• Обнаружение аномалий и реагирование в реальном времени • Технологии: NetFlow, IP source tracker, ACLs, uRPF, RTBH, QoS tools
• Защита и защищенное управление Cisco IOS • Технологии: CPU and memory thresholding, dual export syslog,
encrypted access, SNMPv3, security audit
Management Plane
“outside” “outside” telnet snmp
Core
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Интернет Пользователи Фильтр CAR уровня 3
Отражение атаки с помощью CAR
§ Ограничения по скорости входящего и исходящего трафика L3 - ограничения скорости входящего трафика
§ Фильтры защиты используют ограничения скорости входящего трафика для сброса пакетов перед тем, как они будут направлены через сеть
§ Обобщенные и детальные ограничения – Порт, адрес MAC, IP адрес, приложение, приоритет, QOS_ID
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Удаленно включаемый CAR как средство отражения атаки
§ CAR или DCAR (distributed CAR) является эффективным средством отражения атак DoS
§ Единственной проблемой является быстрое обновление множества маршрутизаторов на входе в сеть — особенно при изменении характера атаки в ответ на ваши контрмеры – Существует возможность динамических обновлений CAR при использовании
BGP; это задействует сетевой протокол для включения ограничений скорости по источнику или точке назначения
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Однонаправленная проверка передачи по обратному маршруту (uRPF)
§ Unicast Reverse Path Forwarding § Проверяется источник входящих IP пакетов для того, чтобы быть уверенным в том, что маршрут обратно к источнику является “действующим”
§ Позволяет «отсечь» подмену адресов как из внешних сетей, так и во внутренних сетях
§ 95% всех DoS-атак использует подмену адресов
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Сброс в «черную дыру»
Сброс в «черную дыру» § Удаленный запуск «черной дыры» (RTBH)
– через BGP объявляется фиктивный маршрут; – трафик перенаправляется на интерфейс Null0 или на аналитические устройства;
– фильтрация по адресу отправителя или получателя;
– в перспективе более четкая детализация благодаря FlowSpec
§ Сбрасывается весь трафик (и легитимный, и нежелательный) § Сопутствующий ущерб ограничивается, но достигается главная цель злоумышленников
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Системы обнаружения вторжений
§ Системы обнаружения и предотвращения вторжений (IDS/IPS) обладают ограниченной функциональностью по нейтрализации DDoS-атак – Только при условии наличия сигнатуры – Только при условии DDoS-атак, не направленных на «забивание» полосы пропускания (volumetric attack)
§ Отдельные системы предотвращения вторжения могут обнаруживать и аномалии в сетевом трафике – Позволяет обнаруживать и блокировать базовые DDoS-атаки
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Системы обнаружения вторжений
§ Ряд DDoS-атак имеют вполне конкретные признаки и могут быть описаны шаблонами (сигнатурами), позволяющими блокировать их с помощью IPS, МСЭ, CTD и т.д.
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Платформа FirePOWER для обнаружения вторжений
§ Гибкая интеграция в программное обеспечение – NGIPS,NGFW, AMP – Все вышеперечисленные
(просто выбрать соответствующий размер)
§ Гибкая интеграция в аппаратное обеспечение – Масштабируемость: 50 Мбит/с ->60 Гбит/с – Стекирование для масштабирования, кластеризация для отказоустойчивости
§ Экономичность – Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
До 60 Гбит/с (система предотвращения вторжений)
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Производительность и масштабируемость
системы
предотвращения
вторжений
Центр обработки данных
Комплекс зданий Филиал
Малый или домашний офис
Интернет-периметр
FirePOWER 7100 500 Мбит/с – 1 Гбит/с
FirePOWER 7120/7125/8120
1 - 2 Гбит/с
FirePOWER 8100/8200
2 - 10 Гбит/с
FirePOWER серии 8200 и 8300
10 – 60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series 50 – 250 Мбит/с
+ Сенсоры и консоль управления в виде ВМ
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Cisco ASA с функциями FirePOWER
► Межсетевое экранирование Cisco® ASA в сочетании с системой предотвращения вторжений Sourcefire® нового поколения
► Усиленная защита от вредоносного кода Advanced Malware Protection (AMP)
► Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и контроля приложений (AVC) и фильтрации URL-адресов
Особенности
► Непревзойденная, многоуровневая защита от угроз
► Беспрецедентная прозрачность сетевой активности
► Комплексная защита от угроз на всем протяжении атаки
► Снижение стоимости и сложности систем
Преимущества
«С помощью многоуровневой защиты организации смогут расширить возможности для мониторинга, внедрить динамические механизмы безопасности и обеспечить усиленную защиту в течение всего жизненного цикла атаки»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Варианты исполнения Cisco ASA with FirePOWER
FirePOWER Services for 5585-X (модуль)
FirePOWER Services for 5500-X (ПО)
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
«Черные списки» или использование репутации узла
§ Что это? – Сигналы тревоги и правила блокирования:
§ Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи
§ Источники вредоносного ПО, фишинга и спама – Возможно создание пользовательских списков – Загрузка списков от Sourcefire или иных источников
§ Как это может помочь? – Блокировать каналы вредоносных коммуникаций
– Непрерывно отслеживать любые несанкционированные и новые изменения
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Контроль беспроводных DDoS-атак с помощью Cisco wIPS / MSE
§ Само мобильное устройство не может сказать, что оно «чужое» – Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
§ Особую сложность представляет контроль 3G/4G доступа, но и он может быть решен
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Обнаружение аномалий
§ Что такое обнаружение? – Построение базового профиля является важнейшим мероприятием для поиска осуществляемой атаки
– Аномалия – событие или условие в сети, характеризуемое статистическим отклонением от базового профиля
– Аномалия может быть вызвана не только DDoS-атакой § Когда выявлена аномалия
– Следующим шагом является уведомление устройств(а), ответственного за разбор трафика на вредоносную и легитимную составляющие
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Обнаружение DDoS-атак по аномалии в трафике
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
A
B
C
C B
A
C A
B
Не везде есть IPS, но везде есть NetFlow
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Сеть как сенсор
§ NetFlow можно взять из всех критичных и важных точек
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Cisco Cyber Threat Defense (CTD) Обзор
StealthWatch FlowCollector*
StealthWatch Management
Console*
Управление StealthWatch
FlowReplicator (
Другие анализаторы
Cisco ISE
StealthWatch FlowSensor*
Netflow enabled device
Не-Netlow устройство
NetFlow NetFlow
Net
Flow
* Виртуальный или физический
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Netflow как инструмент анализа аномалий
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Детали подключений Netflow
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Обнаружение угроз на базе поведения сети
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS (партнерство с Radware для коррекции)
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Крупным планом
Обнаружение разных типов атак, включая DDoS
Детальная статистика о всех атаках, обнаруженных в сети
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Визуализация по разным срезам
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
DPI как средство борьбы с DDoS-атаками
§ «Глубокий» анализ пакетов (DPI) – Устройство следит за всем трафиком без переадресации
– Анализ обычно является двусторонним
– Пропускная способность должна составлять несколько Гбит/с
– Сигнатурный анализ, Статистический анализ, Выявление аномалий
– Высокая гибкость: выявление аномалий возможно для любых протоколов
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Абонент
Приложение
Блокировать
Перенаправить Установить QoS
Пометить
Процесс контроля поведения
Анализ и контроль IP-трафика § …Классификация приложений § …Связь с состоянием и политикой для каждого абонента § …Выбор действия на основе сетевых условий — время дня, превышение лимита, другие параллельные активности
§ …Привести в исполнение
Условие сети
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Политики Анализ и отчеты
Решение Cisco Service Control Engine (SCE)
§ Аккуратная идентификация и профилирование трафика приложений и абонентов
§ Полный анализ на уровнях 4-7 – кто использует сеть и как?
§ Реагирование путем QoS, redirect, mark или drop для отдельных абонентов, приложений, времени суток…
§ Контроль пиринговых приложений, таких как Skype или Kazaa
Видимость – критический элемент безопасности – вы не можете контролировать то, чего не видите…
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Учет практически любых требований политики безопасности
Политики Cisco Service Control Engine
§ Контроль приложений – По сессиям или полосе пропускания
§ Контроль по времени – Пиковые загрузки и нерабочее время
§ Контекстный контроль – Приоритезация трафика важных приложений
§ Контроль абонентов – Квоты и лимиты для каждого абонента
§ Контроль получателя – Политики для собственного, пирингового и транзитного трафика
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Cisco SCE: расположение в сети
Абонент
Интернет
BRAS DSLAM
Cisco SCE
6500/7600
Сервер политик
SCE встраивается в канал и проверяет весь трафик
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Cisco SCE: Обнаружение
§ Спам-боты – выявление на основе анализа SMTP
– Чрезмерно большое число SMTP-соединений с одного адреса
§ DDoS-атака – выявление по аномалиям трафика
– Аномальное число соединений от одного внутреннего адреса один внешний адрес
– Аномальное число соединений от нескольких внутренних адресов один внешний адрес
§ Сканирование/Распространение – выявление по аномалиям трафика
– Аномальное число соединений от одного хоста на один или несколько других хостов:
– Несколько портов, один адресат
– Один порт, несколько адресатов
§ Заражение червями – выявление по сигнатурам
– Динамическая загрузка сигнатур в SCE посредством редактора сигнатур
– Сигнатуры создаются вручную – компания Cisco в настоящий момент НЕ предоставляет сигнатуры для SCE
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Обнаружение аномалий средствами SCE
§ Трафик хоста классифицируется как аномальный, – если скорость установления соединений превышает порог или – скорость установления подозрительных (односторонних) соединений превышает порог И доля подозрительных соединений превышает порог
§ Настройка отдельных порогов выполняется на следующих уровнях:
Тип аномалии: сканирование, DoS, DDoS
Интерфейс (абонент / сеть)
Список хостов
Протокол IP (контроль групп портов или отдельных портов)
Список портов
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
«Какова общая картина подозрительной активности в сети?»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
«Какие порты могут являться целями для вредоносного трафика?»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
«Сколько абонентов выполняют вредоносные действия в сети?»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
«Как определить первую десятку нарушителей?»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Использование внешних центров очистки
Использование центров очистки • Перенаправление на устройства очистки трафика;
• разделение легитимного и вредоносного трафика;
• сервисы «мишени» продолжают работать; • сопутствующий ущерб отсутствует.
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§ Централизованная модель: для защиты от атаки используется выделенная часть сети – центр очистки трафика.
Модели защиты от DDoS-атак: централизованная, распределенная или гибридная
Источники транзитного трафика
Источники пирингового трафика
Магистраль
Центр очистки трафика
«Мишень»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Модели защиты от DDoS-атак: централизованная, распределенная или гибридная
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Централизованная модель: трафик к «мишени» перенаправляется и проходит через центр очистки.
Центр очистки трафика
«Мишень»
Примечание: асимметричный трафик и I2O-трафик не проходит через центр очистки
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Модели защиты от DDoS-атак: централизованная, распределенная или гибридная
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Распределенная модель: мы устанавливаем центры очистки трафика на периметре магистральной сети.
«Мишень»
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Модели защиты от DDoS-атак: централизованная, распределенная или гибридная
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Гибридная модель: центры очистки трафика на периметре магистральной сети для основной работы и внутри сети для обработки дополнительной нагрузки.
«Мишень»
Центр очистки трафика
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Модели защиты от DDoS-атак: централизованная или распределенная — плюсы и минусы
Централизованная Распределенная Cтоимость владения потенциально ниже Совместно используемые ресурсы
Возможно потребуется больше карт или устройств
Весь «грязный» трафик передается на очистку в сеть,
что может переполнить нашу сетевую инфраструктуру
Убирает «грязный» трафик на периметре сети.
Эксплуатационные расходы ниже.
Нужен продуманный механизм туннелирования или виртуальной
маршрутизации-коммутации (VRF) для передачи «чистого» трафика
Возможны более простые модели развертывания
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§ Нейтрализация DDoS-атаки – это процесс, выполняемый в несколько этапов в разных точках сети и с использованием различных продуктов.
Процесс защиты от DDoS-атак
– Обнаружение: идентификация аномального поведения в сети и уведомление оператора.
– Отвод (offRamp): перенаправление трафика для «мишени» на устройство очистки трафика.
– Нейтрализация: устройство очистки трафика разделяет легитимный и вредоносный трафик с блокировкой последнего.
– Возврат (onRamp): возврат легитимного трафика в сеть и обеспечение его доставки получателю.
Отвод (offRamp)
Марш-р
Возврат (onRamp)
Марш-р
Нейтрализация
Модуль CGSE Отдельное устройство
Обнаружение
Марш-р
Коллектор
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Коллектор
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Отвести трафик можно несколькими способами, но цель всегда одна — трафик перенаправляется к устройству очистки. Пример:
Центр очистки трафика
«Мишень»
Процесс защиты от DDoS-атак Отвод
BGP
BGP
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Процесс защиты от DDoS-атак Обнаружение
Коллектор
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Все граничные маршрутизаторы отправляют данные Netflow к платформе коллектора (CP). § Возможно, граничные маршрутизаторы, маршрутизаторы ЦОД или даже все остальные маршрутизаторы будут делать то же самое.
«Мишень» Данные NetFlow
Данные NetFlow
Данные NetFlow Обнаружена
атака
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Коллектор
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Опираясь на инструкции от СР, система управления угрозами (TMS) анализирует пакеты и сбрасывает вредоносный трафик
§ Обратная связь с CP осуществляется в режиме реального времени
Центр очистки трафика
«Мишень»
Процесс защиты от DDoS-атак Нейтрализация
HTTPS
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Коллектор
Источники транзитного трафика
Источники пирингового трафика
Магистраль
§ Возврат реализуется на базе механизмов (GRE, VRF, ...) транспортировки хороших пакетов к месту назначения, несмотря на работу механизма отвода на маршрутах. Пример:
Центр очистки трафика
«Мишень»
Процесс защиты от DDoS-атак Возврат
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Решение Arbor Peakflow SP Портфель решений § Arbor Networks предлагает ряд продуктов для обнаружения и нейтрализации DDoS-атак. Как минимум, два из них обязательны для работы с решением:
§ Платформа коллектора (CP)
§ Собирает данные Flow; – обнаруживает аномальное поведение в сети и генерирует предупреждения; – может влиять на маршрутизацию, объявляя в сети маршруты BGP; – поддерживает расширение BGP FlowSpec; – осуществляет удаленную настройку и мониторинг TMS.
§ Система управления угрозами (TMS) – Настраивается в CP, получает перенаправленный трафик и проводит многоуровневый анализ пакетов;
– отбрасывает вредоносные пакеты, передает легитимные; – предоставляет операторам данные мониторинга в режиме реального времени;
§ для дополнительной защиты доступны другие продукты: – FS, BI, PI
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Arbor TMS в модуле CGSE или устройстве защиты?
§ TMS – это продукт от Arbor, можно встраивать в разное оборудование.
– Сервисная плата CRS: модуль СGSE, установленный в маршрутизатор CRS
– Реализация на базе шасси или в виде отдельного устройства Arbor, сопряженного с другим устройством, работающим на 3-м уровне.
– Сервисная плата ASR: модуль, установленный в маршрутизатор ASR
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§ Поддерживается в – матрицах коммутации CRS-1 / CRS-3 / CRS-X; – одиночное или мультишасси на 4 / 8 / 16 слотов;
– до 12 плат в шасси на 16 слотов. § Многоцелевая сервисная плата:
– CGN; – Arbor TMS.
§ Реализован на дистрибутиве Linux Monte Vista, но настраивается через ОС IOS-XR.
§ Предоставляет высокопроизводительную платформу для сторонних приложений, таких как Peakflow SP TMS.
Сервисный модуль операторского класса (CGSE)
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Пример экрана: 2 модуля CGSE
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Пример экрана: резюме по отражению атак
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Пример экрана: отражение атак на модуле CGSE
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Пример экрана: отражение атак на модулях CGSE
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§ От DDoS-атак страдают все § Существуют различные технологии обнаружения и отражения DDoS-атак и способы их реализации
§ Не существует хороших и плохих технологий или моделей их развертывания, все зависит от топологии и вложений
§ До тех пор, пока мы не перейдем на действительно эффективные системы с искусственным интеллектом, защита от DDoS-атак будет задачей сетевых инженеров: – Понимание топологии и поведения сетевого трафика – Тонкая настройка NetFlow или иных критериев «нормальности» трафика (для SCE, NGIPS и т.д.)
– Высококвалифицированный персонал с командами быстрого реагирования – Эффективные процедуры передачи управления, реагирование на инциденты, управление заявками на устранение неисправностей
Заключение
© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
Enterprise or Cloud
Global DDoS Detection & Mitigation Centers
SP
SP
SP Applications, Services & Databases
Firewall IPS/IDS
SP Load
Balancer SSL/TLS
Termination Web App Firewall
Application Delivery Controller (ADC)
SP DDoS Detection &
Mitigation Center
App DDoS Detect & Mitigate
DDoS Analyzers and/or Telemetry Aggregators • Issue redirection and/or local scrubbing
instructions to networking infrastructure and DDoS mitigators
Redirect, Scrub
Redirect, Scrub
Peering DDoS Mitigation • DDoS mitigation close to source • Simple (L4-based) scrubbing
done by routers/switches
Несколько уровней защиты от DDoS
DDoS Traffic Redirection • Redirect DDoS suspect traffic to
scrubbers (SP or DDoS mitigation provider)
• Highly Delay Senstive traffic may not be redirected
Global DDoS Mitigation • Receives redirected traffic for scrubbing • Global pool of scrubbing resources with elastic scrubbing
capacity • Scubs traffic to DDoS target; some residual DDoS traffic
makes it through (app-specific)
Redirect, Scrub
Provider Edge Scrubbing • Local scrubbing of highly
delay sensitive traffic
App Specific Scrubbing • Local scrubbing of
application specific traffic • Includes scrubbing of
encrypted traffic
Top Related