Анализ и фильтрация Интернет-трафика РТКомм 2012 1 Введение Ведете электронный бизнес? Принимаете платежи через сайт? Вы – хостинг-провайдер? Ваш сайт носит политический характер? На сайте размещена дорогостоящая реклама? Информация для размышления: Стоимость атаки DDoS с 10 000 зараженных компьютеров начинается с 50 долл. в сутки. Такая “недорогая” атака может заблокировать среднестатистический веб-сервер. 2 2 Что такое DDoS? DDoS атака (Distributed Denial Of Service – Распределенный отказ в обслуживании) – это атака на вычислительную систему с одновременно большого числа зараженных компьютеров, называемых зомби и организующих botnet'ы (зомби сети), целью которой является добиться недоступности оборудования жертвы для легитимных пользователей. История: • первые DDoS-атаки - середина 1990-х гг • первый серьезный прецедент - 1999 г.: почти одновременно парализованы серверы Amazon, Yahoo!, CNN, eBay • по данным Arbor Networks - до 3% всего мирового интернеттрафика приходится на DDoS-атаки, в периоды пиковой активности - до 6%. •Электронная почта - 1,5% трафика сети Интернет. 3 Схема DDoS UK Broadband Провайдер BB B JP Corp. Клиент Центр управления B Атака Ботов Зона Интернет B BM B B US Corp B B Controller Botnet master B Connects инициирует команду атаковать US Broadband 4 Статистика DDoS По данным седьмого ежегодного отчёта Arbor Networks впервые в истории в 2010 году была зафиксирована DDoS-атака мощностью потока 100 Гбит/сек 5 5 Как работает защита Arbor Peakflow Точка Пиринга POP Клиент Y Маршрутизатор Ядра Arbor Peakflow Маршрутизатор Ядра Точка Пиринга Сеть РТКОММ POP Клиент X Центр очистки Peakflow TMS «Очищенный» трафик передаётся в сеть клиента 6 Что и как мы защищаем Что мы анализируем и защищаем: Входящий Интернет-трафик на веб-сайт, почтовый сервер, DNS-сервер, подсеть, всю сеть клиента, в офис клиента (канал до него). Где мы анализируем и защищаем: В Москве, ресурсы клиента, подключенные к сети Интернет с использованием услуг РТКОММ. Объект анализа и защиты – сервер (-ы), оборудование Клиента. Имеет до 15-ти IP-адресов или диапазонов IP-адресов. К каждому объекту применяются соответствующие только ему правила и Параметры анализа и защиты. Параметры анализа трафика, поступающего на Объект описываются в Спецификации услуги. Как мы защищаем: Статическая фильтрация или интеллектуальная (с помощью Arbor TMS, МФИ Софт «Периметр») очистка трафика клиента, поступающего на Объект. 7 Как работает услуга Анализ Аудит (опционально) Выдаются Нормальные параметры прохождения трафика Согласовывается Спецификация с граничными значениями “нормальных” параметров Статический (misuse) Динамический (profiled) PPS BPS On-Line отчетность Организуется доступ к личному кабинету и его настройка (в зависимости от ТП) Закрытие ТТ Анализ статистики Согласование с клиентом и закрытие ТТ Снятие фильтра Прием, анализ, реализация заявки клиента Анализ оптимальности Анализ выполнимости Интеллектуальная чистка трафика (Arbor TMS) с помощью ВЕРОЯТНОСТНЫХ методов Оповещение о предупреждениях (15 мин) Какого типа атака Степень опасности (оповещаем о красных) 8 Личный кабинет Анализ и суммарный отчёт о трафике Статистика предупреждений об аномальных событиях по уровню критичности 9 9 Личный кабинет (оповещения) 10 10 Фильтрация трафика 11 11 Опыт Услуга существует с 2008 года. Более 1.5 лет проводилась опытная эксплуатация услуги Подготовлен высоко квалифицированный персонал Налажены параллельные контакты с операторами связи Множество успешно отражённых атак 12 12 Клиенты Банки из ТОП 50 Операторы связи Органы государственной власти Социально значимые проекты Хостинг компании СМИ 13 13 Спасибо за внимание! 14