Что такое DDoS-атака

реклама
Неразрушающее
подключение
защиты от
DDOS-атак
Максим Ващенко
начальник отдела
перспективных разработок
ВОКРУГ ЦОД – 2012
Новосибирск 17.10.2012
Что такое DDoS-атака
• Цель – вывести ресурс из строя. Простой, потеря
репутации.
• 10 mpps против сервера 400kpps
• Флуд, имитация хорошего пользователя
i
• DDOS-атаки не очень часты, но очень разрушительны
• Требуют мощного решения, при этом развиваются
• Лучший способ защиты - не постоянная фильтрация
Современные решения
для борьбы с
DDoS-атаками
Оправданность применения
контроля
неразрушающего
• Неразрушающий ответвитель – устройство,
подключаемое к каналам связи (Ethernet, E1,
Optic), традиционно позволяющее подключать
устройства мониторинга (канала, данных, сорм и
тп).
• Позволяют подключать устройства мониторинга
позже, при необходимости, без какого-либо
влияния на канал, находящийся в работе.
• DDOS-атака, когда она имеет место, как правило
направлена на один конкретный ресурс.
• Если на большой сети использовать
оборудование, защищающее от DDOS-атак,
которое можно было бы оперативно, либо
автоматически переключать на нужный сегмент,
это позволило бы сэкономить на таких
устройствах.
• Одно устройство для подавления атак большой Современные решения
для борьбы с
мощности, вместо значительного количества
DDoS-атаками
подобных ему, установленных на всех основных
каналах.
Способы подключения
защиты от DDOS-атак
Андрей
www.ANDREY.mfi IN A gg.ii.rr.ll
Перенаправление трафика
за счет изменения DNSзаписи
В разрыв канала
Антивирус на компьютере,
проксирование через внешний сервер
Операторские
решения
Современные решения
для борьбы с
DDoS-атаками
Мониторинг происходящего
на сети дата-центра Коммутатор
Маршрутизатор
- не только мониторинг оборудования, загрузки каналов
Внешние
каналы
(бесплатные mrtg или cacti)
Что мониторить? – например, по snmp - исправность оборудования
(маршрутизатор, коммутатор) – температуру, память, процессор, порты
(bps, pps, ошибки), жизнеспособность серверов по отклику на Ping.
Полезно иметь детальную статистику по трафику -
• по каждому из протоколов
(3 уровня) IPv4, IPv6, ICMP, …;
Сервера клиентов
(4) TCP, UDP, SCTP, …;
(7) DNS, HTTP, SIP, RTP, …;
• персонально по каждому из клиентов
• если ДЦ – AS, то статистика по соседям, в том числе, и обнаружение
транзитного трафика; может быть и захват трафика чужой автономной системой
(wiki 6 случаев. Ex: 24.02.2008 youtube)
• доступ для клиентов к подробной персональной статистике
Мониторинг атак на сети
Коммутатор
Маршрутизатор
• Атаки на клиентов
Внешние
каналы
• Атаки на оборудование, каналы, системы мониторинга
• Входящие, исходящие
• Информация о маршрутизации
• Несоответствие физического источника трафика его характеристикам
(поддельный, несанкционированный транзит)
Сервера клиентов
• Принадлежность известным скомпрометированным ресурсам
• Трафик, соответствующий сигнатурам атак (фиксированные, эвристика, пороги
и др)
• False positive, false negative
• Серые адреса
• Анализ ответов от ресурсов
Подавление атак
- методы, ресурсы
Популярные типы DDOS-атак
Концепция защиты,
основанная на доверии IP-адресу
(очистка web-трафика)
1) проверка того, что IP-адрес реальный (не spoofed)
и на компьютере реальный TCP/IP стек (не пакетная
флудилка)
2) IP-адрес не принадлежит известной сети ботов (с
учетом пулов динамических IP-адресов и адресов
NAT/Proxies)
3) проверка что используется реальный браузер
(понимает javascript, содержит адекватную браузеринфо и соответствующие ей баги, понимает httpredirect, понимает куки, и т.п.)
4) проверка того, что работает живой человек (не
скачивалка, не поисковый краулер), например
способен выиграть в крестики-нолики.
5) проверка того, что человек ведет себя
“социально”. поведение адекватно используемому
ресурсу.
Клиентский контроль
• Статистика и анализ
обращений к серверу.
• Атака – кто, как, сила,
успешность, контроль ошибок.
• Управление клиентом
Комплекс защиты от сетевых атак
«Периметр» для дата-центров
• Подключение без изменения топологии сети. Динамический захват
трафика.
• Мониторинг сетевого трафика в нескольких VLAN.
• Обнаружение и подавление атак и аномалий трафика.
• Возможность анализа "сырого" трафика
• Анализ, очистка трафика 1..10Гбит/14.8 Мpps на 1 модуль
• Подавление атак на уровне приложений (HTTP, DNS, SIP и др.)
• Развернутая статистика позволяет эффективно управлять сетевыми
ресурсами и видеть узкие места
• Личный кабинет с индивидуальным набором опций для каждого
клиента провайдера
Современные решения
для борьбы с
DDoS-атаками
Защита интернет-провайдера
И другие решения …
Защита дата-центра
ООО «МФИ Софт»
603104, Нижний Новгород,ул.
Нартова, 6/6
(831) 220 32 16
[email protected]
www.mfisoft.ru
ООО «МФИ Софт»
603104, Нижний Новгород,
ул. Нартова, 6/6
(831) 220 32 16
[email protected]
www.mfisoft.ru
ВОКРУГ ЦОД – 2012
Новосибирск 17.10.2012
Скачать