Общее описание [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_options:opt_ddos:ddos_description [2024/09/26 15:29] – внешнее изменение 127.0.0.1dpi:dpi_options:opt_ddos:ddos_description [2025/09/26 07:46] (текущий) – [Общее описание] atereschenko
    Строка 1: Строка 1:
     ====== Общее описание ====== ====== Общее описание ======
     {{indexmenu_n>1}} {{indexmenu_n>1}}
    -DoS-атака (Denial of Service — отказ в обслуживании) и DDoS-атака (Distributed Denial of Service — распределённый отказ обслуживания) — это разновидности атак на компьютерные системы, целью которых является создание условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.+**VAS Experts предлагает решение для борьбы с DDOS атаками на операторов связи и их инфраструктуру, которые приводят к тому, что оператор связи не может обслуживать своих абонентов. Как следствие массовый отток абонентов, финансовый и репутационные потери.**
      
    -DoS атаки могут осуществляться злоумышленником с одного компьютерадля проведения DDoS атак необходимо участие множества компьютеров и обычно это компьютеры ничего не подозревающих пользователей, на которые злоумышленнику удалось установить программное обеспечение удаленного управления.+VAS Experts предлагает несколько вариантов защиты от DDOS атак: 
     +  - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**). 
     +  - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**)  и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки трафика возможно использовать текущие СКАТ (доступно в версиях: BASE, BRAS с опцией mark и channels, COMPLETE), так же возможно поставить выделенный сервер СКАТ версии BASE для обработки части трафика.
      
    -<note important>Данное замечание актуально для версии DPI до 4.0Чтобы использовать некоторые функции защиты требуется отдельный (от операторского) экземпляр платформы Также в текущей версии системы [пока] не предусмотрена индивидуальная настройка для разных защищаемых ресурсовпоэтому рекомендуемым способом ее коммерческой эксплуатации является сдача платформы в аренду владельцам защищаемого ресурса.</note>+=====Наиболее распространённые формы атак на операторов связи===== 
     +  - Переполнение входных каналов 
     +    * Amplification attacks (DNS, NTP, UDP flood и другие)\\ Защитаblackhole атакуемых адресов или применение flowspec на аплинк канале, другие способы защиты неэффективны. 
     +    * BotNet attacks — каждый бот создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора, подмена исходящего адреса не осуществляется (см. также п.2)\\ Осложнение: в качестве целевого IP для атаки часто фигурирует не один адрес, а до тысячи адресов\\ Защита: blackhole атакуемых адресов, flowspec на аплинк канале (для некоторых типов трафика), создание списка адресов BotNet сети и их блокировка на СКАТ (для некоторых типов трафика
     +  - Атака высоким PPS:  
     +    * Flood, SYN flood, обычно с подменой source IP\\ Защита: перенаправление трафика на СКАТ для фильтрации или blackhole атакуемых адресов 
     +  - Взлом элементов сети оператора: определяется по наличию SSH и прочих сессий со служебных адресов оператора, которые предварительно конфигурируются и адреса не входят в белый список\\ Защита: детектирование таких сессий и их блокировка по внешнему адресу 
      
     +=====Архитектура решения AntiDDoS на базе СКАТ и QoE=====
     +FastMitigator — интеллектуальная система защиты от сетевых атак. Это распределенный модуль анализа трафика, обеспечивающий обнаружение и блокировку широкого спектра киберугроз в режиме реального времени.
     +
     +{{ :dpi:dpi_options:opt_ddos:antiddos.png?nolink&900 |}}
     +
     +====Принцип работы====
     +  - Глубокий анализ трафика (DPI) и выгрузка статистики
     +    * Весь трафик проходит через DPI (СКАТ), работающий in-line или на зеркале трафика.
     +    * В систему QoE отправляется Full NetFlow в формате IPFIX для детального анализа.
     +  - Анализ статистики и формирование эталона
     +    * Анализатор обрабатывает Full NetFlow и создаёт "нормальный профиль" — эталон "здорового" трафика (без атак и ботнет-активности).
     +    * Профиль хранится в распределённых таблицах QoE для быстрого доступа.
     +  - Выявление аномалий
     +    * Детектор на основе нейросетей и алгоритмов машинного обучения обнаруживает отклонения, классифицирует угрозы и определяет их источники.
     +  - Очистка трафика по динамическим правилам
     +    * При обнаружении атаки в QoE формируется контейнер Attacks, содержащий:
     +      * IP-адреса атакующих хостов
     +      * Порты, используемые для атак
     +    * Контейнер передаётся на СКАТ DPI, где создаются специальные протоколы Attacks (или группы протоколов) для каждого типа угрозы. Рекомендуется использовать выделенный СКАТ в режиме in-line, который постоянно пропускает весь трафик или получает только часть трафика для очистки. 
     +    * На DPI заранее настраиваются профили защиты (например, через "18. Сессионный полисинг"), где для протоколов Attack применяются в случае если емкость каналом оператора не исчерпана:
     +      * Drop (полная блокировка)
     +      * Полисинг (ограничение пропускной способности)
     +    * Контейнер Attacks обновляется в реальном времени: если атака прекращается, IP хостов исключаются из списка.
     +  - Защита средствами BGP через blackhole и flowspec
     +    * В случаях, когда емкость каналов оператора исчерпана, контейнер Attacks может быть передан специальному скрипту, который автоматически добавляет IP абонентов в blackhole, что обеспечивает максимальный уровень защиты инфраструктуры оператора. Входящий трафик на данных абонентов отбрасывается на Uplink канале. 
     +    * Для того чтобы абоненты, на заблокированных публичных IP-адресах, продолжили получать доступ в интернет необходимо временно подменить их IP-адрес —  включить услугу CG-NAT на СКАТ (использовать ранее на анонсированный публичный пул адресов). Тем самым нет необходимости менять IP-адрес на устройстве абонента в момент атаки, доступ в интернет абонент временно будет получать на другом публичном IP-адресе, а при завершении атаки возвращается исходный IP-адрес — отключить услугу CG-NAT на СКАТ.
     +
     +====Преимущества FastMitigator====
     +  - Распределенная архитектура — высокая отказоустойчивость
     +  - Адаптивная защита — автоматическое обновление правил
     +  - Глубокая аналитика — нейросетевые алгоритмы + DPI
     +  - Гибкость — поддержка разных сценариев блокировки
     +
     +====Organic AntiDDoS System====
     +Развитие решения защиты от DDoS нацелено на очистку трафика еще до его попадания в сеть интернет. Установка комплексов СКАТ AntiDDoS у множества операторов связи позволит остановить трафик BotNet еще внутри сети оператора. Централизованное управление через VAS Cloud даст возможность реагировать на любые атаки молниеносно и оставить нетронутым даже транспортные каналы между операторами связи, IX и Дата центрами. В случае детектирования атаки на любой ресурс, где стоит СКАТ возможно передать параметры для очистки на оператора от которого исходит нелегитимный трафик. 
     +
     +{{ :dpi:dpi_options:opt_ddos:antiddos-2.png?nolink&900 |}}