Неразрушающее подключение защиты от DDOS-атак Максим Ващенко начальник отдела перспективных разработок ВОКРУГ ЦОД – 2012 Новосибирск 17.10.2012 Что такое DDoS-атака • Цель – вывести ресурс из строя. Простой, потеря репутации. • 10 mpps против сервера 400kpps • Флуд, имитация хорошего пользователя i • DDOS-атаки не очень часты, но очень разрушительны • Требуют мощного решения, при этом развиваются • Лучший способ защиты - не постоянная фильтрация Современные решения для борьбы с DDoS-атаками Оправданность применения контроля неразрушающего • Неразрушающий ответвитель – устройство, подключаемое к каналам связи (Ethernet, E1, Optic), традиционно позволяющее подключать устройства мониторинга (канала, данных, сорм и тп). • Позволяют подключать устройства мониторинга позже, при необходимости, без какого-либо влияния на канал, находящийся в работе. • DDOS-атака, когда она имеет место, как правило направлена на один конкретный ресурс. • Если на большой сети использовать оборудование, защищающее от DDOS-атак, которое можно было бы оперативно, либо автоматически переключать на нужный сегмент, это позволило бы сэкономить на таких устройствах. • Одно устройство для подавления атак большой Современные решения для борьбы с мощности, вместо значительного количества DDoS-атаками подобных ему, установленных на всех основных каналах. Способы подключения защиты от DDOS-атак Андрей www.ANDREY.mfi IN A gg.ii.rr.ll Перенаправление трафика за счет изменения DNSзаписи В разрыв канала Антивирус на компьютере, проксирование через внешний сервер Операторские решения Современные решения для борьбы с DDoS-атаками Мониторинг происходящего на сети дата-центра Коммутатор Маршрутизатор - не только мониторинг оборудования, загрузки каналов Внешние каналы (бесплатные mrtg или cacti) Что мониторить? – например, по snmp - исправность оборудования (маршрутизатор, коммутатор) – температуру, память, процессор, порты (bps, pps, ошибки), жизнеспособность серверов по отклику на Ping. Полезно иметь детальную статистику по трафику - • по каждому из протоколов (3 уровня) IPv4, IPv6, ICMP, …; Сервера клиентов (4) TCP, UDP, SCTP, …; (7) DNS, HTTP, SIP, RTP, …; • персонально по каждому из клиентов • если ДЦ – AS, то статистика по соседям, в том числе, и обнаружение транзитного трафика; может быть и захват трафика чужой автономной системой (wiki 6 случаев. Ex: 24.02.2008 youtube) • доступ для клиентов к подробной персональной статистике Мониторинг атак на сети Коммутатор Маршрутизатор • Атаки на клиентов Внешние каналы • Атаки на оборудование, каналы, системы мониторинга • Входящие, исходящие • Информация о маршрутизации • Несоответствие физического источника трафика его характеристикам (поддельный, несанкционированный транзит) Сервера клиентов • Принадлежность известным скомпрометированным ресурсам • Трафик, соответствующий сигнатурам атак (фиксированные, эвристика, пороги и др) • False positive, false negative • Серые адреса • Анализ ответов от ресурсов Подавление атак - методы, ресурсы Популярные типы DDOS-атак Концепция защиты, основанная на доверии IP-адресу (очистка web-трафика) 1) проверка того, что IP-адрес реальный (не spoofed) и на компьютере реальный TCP/IP стек (не пакетная флудилка) 2) IP-адрес не принадлежит известной сети ботов (с учетом пулов динамических IP-адресов и адресов NAT/Proxies) 3) проверка что используется реальный браузер (понимает javascript, содержит адекватную браузеринфо и соответствующие ей баги, понимает httpredirect, понимает куки, и т.п.) 4) проверка того, что работает живой человек (не скачивалка, не поисковый краулер), например способен выиграть в крестики-нолики. 5) проверка того, что человек ведет себя “социально”. поведение адекватно используемому ресурсу. Клиентский контроль • Статистика и анализ обращений к серверу. • Атака – кто, как, сила, успешность, контроль ошибок. • Управление клиентом Комплекс защиты от сетевых атак «Периметр» для дата-центров • Подключение без изменения топологии сети. Динамический захват трафика. • Мониторинг сетевого трафика в нескольких VLAN. • Обнаружение и подавление атак и аномалий трафика. • Возможность анализа "сырого" трафика • Анализ, очистка трафика 1..10Гбит/14.8 Мpps на 1 модуль • Подавление атак на уровне приложений (HTTP, DNS, SIP и др.) • Развернутая статистика позволяет эффективно управлять сетевыми ресурсами и видеть узкие места • Личный кабинет с индивидуальным набором опций для каждого клиента провайдера Современные решения для борьбы с DDoS-атаками Защита интернет-провайдера И другие решения … Защита дата-центра ООО «МФИ Софт» 603104, Нижний Новгород,ул. Нартова, 6/6 (831) 220 32 16 ib.sales@mfisoft.ru www.mfisoft.ru ООО «МФИ Софт» 603104, Нижний Новгород, ул. Нартова, 6/6 (831) 220 32 16 ib.sales@mfisoft.ru www.mfisoft.ru ВОКРУГ ЦОД – 2012 Новосибирск 17.10.2012