Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
dpi:dpi_options:opt_ddos:ddos_description [2025/09/23 10:02] – elena.krasnobryzh | dpi:dpi_options:opt_ddos:ddos_description [2025/09/26 07:46] (текущий) – [Общее описание] atereschenko |
---|
VAS Experts предлагает несколько вариантов защиты от DDOS атак: | VAS Experts предлагает несколько вариантов защиты от DDOS атак: |
- Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**). | - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**). |
- Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**) и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки требуется СКАТ версии BASE. | - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**) и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки трафика возможно использовать текущие СКАТ (доступно в версиях: BASE, BRAS с опцией mark и channels, COMPLETE), так же возможно поставить выделенный сервер СКАТ версии BASE для обработки части трафика. |
| |
=====Наиболее распространённые формы атак на операторов связи===== | =====Наиболее распространённые формы атак на операторов связи===== |
- Переполнение входных каналов | - Переполнение входных каналов |
* Amplification attacks (DNS, NTP, UDP flood и другие)\\ Защита: blackhole атакуемых адресов или применение flowspec на аплинк канале, другие способы защиты неэффективны. | * Amplification attacks (DNS, NTP, UDP flood и другие)\\ Защита: blackhole атакуемых адресов или применение flowspec на аплинк канале, другие способы защиты неэффективны. |
* BOTNET attacks – каждый бот создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора, подмена исходящего адреса не осуществляется (см. также п.2)\\ Осложнение: в качестве целевого IP для атаки часто фигурирует не один адрес, а до тысячи адресов\\ Защита: blackhole атакуемых адресов, flowspec на аплинк канале (для некоторых типов трафика), создание списка адресов botnet сети и их блокировка на СКАТ (для некоторых типов трафика) | * BotNet attacks — каждый бот создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора, подмена исходящего адреса не осуществляется (см. также п.2)\\ Осложнение: в качестве целевого IP для атаки часто фигурирует не один адрес, а до тысячи адресов\\ Защита: blackhole атакуемых адресов, flowspec на аплинк канале (для некоторых типов трафика), создание списка адресов BotNet сети и их блокировка на СКАТ (для некоторых типов трафика) |
- Атака высоким PPS: | - Атака высоким PPS: |
* Flood, SYN flood, обычно с подменой source IP\\ Защита: перенаправление трафика на СКАТ для фильтрации или blackhole атакуемых адресов | * Flood, SYN flood, обычно с подменой source IP\\ Защита: перенаправление трафика на СКАТ для фильтрации или blackhole атакуемых адресов |
====Принцип работы==== | ====Принцип работы==== |
- Глубокий анализ трафика (DPI) и выгрузка статистики | - Глубокий анализ трафика (DPI) и выгрузка статистики |
* Весь трафик проходит через DPI (SSG), работающий in-line или на зеркале трафика. | * Весь трафик проходит через DPI (СКАТ), работающий in-line или на зеркале трафика. |
* В систему QoE отправляется Full NetFlow в формате IPFIX для детального анализа. | * В систему QoE отправляется Full NetFlow в формате IPFIX для детального анализа. |
- Анализ статистики и формирование эталона | - Анализ статистики и формирование эталона |
- Защита средствами BGP через blackhole и flowspec | - Защита средствами BGP через blackhole и flowspec |
* В случаях, когда емкость каналов оператора исчерпана, контейнер Attacks может быть передан специальному скрипту, который автоматически добавляет IP абонентов в blackhole, что обеспечивает максимальный уровень защиты инфраструктуры оператора. Входящий трафик на данных абонентов отбрасывается на Uplink канале. | * В случаях, когда емкость каналов оператора исчерпана, контейнер Attacks может быть передан специальному скрипту, который автоматически добавляет IP абонентов в blackhole, что обеспечивает максимальный уровень защиты инфраструктуры оператора. Входящий трафик на данных абонентов отбрасывается на Uplink канале. |
* Для того чтобы абоненты, на заблокированных публичных IP адресах, продолжили получать доступ в интернет необходимо временно подменить их IP адрес - включить услугу CG-NAT на СКАТ (использовать ранее на анонсированный публичный пул адресов). Тем самым нет необходимости менять IP адрес на устройстве абонента в момент атаки, доступ в интернет абонент временно будет получать на другом публичном IP адресе, а при завершении атаки возвращается исходный IP адрес - отключить услугу CG-NAT на СКАТ. | * Для того чтобы абоненты, на заблокированных публичных IP-адресах, продолжили получать доступ в интернет необходимо временно подменить их IP-адрес — включить услугу CG-NAT на СКАТ (использовать ранее на анонсированный публичный пул адресов). Тем самым нет необходимости менять IP-адрес на устройстве абонента в момент атаки, доступ в интернет абонент временно будет получать на другом публичном IP-адресе, а при завершении атаки возвращается исходный IP-адрес — отключить услугу CG-NAT на СКАТ. |
| |
====Преимущества FastMitigator==== | ====Преимущества FastMitigator==== |