Общее описание [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile
in

Настройки

  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда
  • Показать страницу
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • Ссылки сюда

    • Различия

    Показаны различия между двумя версиями страницы.

    Ссылка на это сравнение

    Предыдущая версия справа и слеваПредыдущая версия
    Следующая версия    		Предыдущая версия
    dpi:dpi_options:opt_ddos:ddos_description [2025/09/23 10:04] elena.krasnobryzhdpi:dpi_options:opt_ddos:ddos_description [2025/09/26 07:46] (текущий) – [Общее описание] atereschenko
    Строка 5: Строка 5:
     VAS Experts предлагает несколько вариантов защиты от DDOS атак: VAS Experts предлагает несколько вариантов защиты от DDOS атак:
       - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**).   - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**).
    -  - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**)  и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки требуется СКАТ версии BASE.+  - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**)  и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки трафика возможно использовать текущие СКАТ (доступно в версиях: BASE, BRAS с опцией mark и channels, COMPLETE), так же возможно поставить выделенный сервер СКАТ версии BASE для обработки части трафика.
      
     =====Наиболее распространённые формы атак на операторов связи===== =====Наиболее распространённые формы атак на операторов связи=====
    Строка 22: Строка 22:
     ====Принцип работы==== ====Принцип работы====
       - Глубокий анализ трафика (DPI) и выгрузка статистики   - Глубокий анализ трафика (DPI) и выгрузка статистики
    -    * Весь трафик проходит через DPI (SSG), работающий in-line или на зеркале трафика.+    * Весь трафик проходит через DPI (СКАТ), работающий in-line или на зеркале трафика.
         * В систему QoE отправляется Full NetFlow в формате IPFIX для детального анализа.     * В систему QoE отправляется Full NetFlow в формате IPFIX для детального анализа.
       - Анализ статистики и формирование эталона   - Анализ статистики и формирование эталона
    Строка 40: Строка 40:
       - Защита средствами BGP через blackhole и flowspec   - Защита средствами BGP через blackhole и flowspec
         * В случаях, когда емкость каналов оператора исчерпана, контейнер Attacks может быть передан специальному скрипту, который автоматически добавляет IP абонентов в blackhole, что обеспечивает максимальный уровень защиты инфраструктуры оператора. Входящий трафик на данных абонентов отбрасывается на Uplink канале.      * В случаях, когда емкость каналов оператора исчерпана, контейнер Attacks может быть передан специальному скрипту, который автоматически добавляет IP абонентов в blackhole, что обеспечивает максимальный уровень защиты инфраструктуры оператора. Входящий трафик на данных абонентов отбрасывается на Uplink канале. 
    -    * Для того чтобы абоненты, на заблокированных публичных IP-адресах, продолжили получать доступ в интернет необходимо временно подменить их IP-адрес —  включить услугу CG-NAT на СКАТ (использовать ранее на анонсированный публичный пул адресов). Тем самым нет необходимости менять IP-адрес на устройстве абонента в момент атаки, доступ в интернет абонент временно будет получать на другом публичном IP-адресе, а при завершении атаки возвращается исходный IP-адрес отключить услугу CG-NAT на СКАТ.+    * Для того чтобы абоненты, на заблокированных публичных IP-адресах, продолжили получать доступ в интернет необходимо временно подменить их IP-адрес —  включить услугу CG-NAT на СКАТ (использовать ранее на анонсированный публичный пул адресов). Тем самым нет необходимости менять IP-адрес на устройстве абонента в момент атаки, доступ в интернет абонент временно будет получать на другом публичном IP-адресе, а при завершении атаки возвращается исходный IP-адрес — отключить услугу CG-NAT на СКАТ.
      
     ====Преимущества FastMitigator==== ====Преимущества FastMitigator====