| Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия |
| dpi:dpi_options:opt_ddos:ddos_description [2026/02/16 11:32] – atereschenko | dpi:dpi_options:opt_ddos:ddos_description [2026/02/19 10:33] (текущий) – elena.krasnobryzh |
|---|
| ====== Описание инструментов и архитектуры ====== | ====== Описание инструментов и архитектуры ====== |
| {{indexmenu_n>1}} | {{indexmenu_n>1}} |
| **VAS Experts предлагает решение для борьбы с DDOS атаками на операторов связи и их инфраструктуру, которые приводят к тому, что оператор связи не может обслуживать своих абонентов. Как следствие массовый отток абонентов, финансовый и репутационные потери.** | **VAS Experts предлагает решение для борьбы с DDoS атаками на операторов связи и их инфраструктуру, которые приводят к тому, что оператор связи не может обслуживать своих абонентов. Как следствие массовый отток абонентов, финансовый и репутационные потери.** |
| |
| VAS Experts предлагает несколько вариантов защиты от DDOS атак: | VAS Experts предлагает несколько вариантов защиты от DDoS атак: |
| - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**). | - Использование только СКАТ с функцией автозащиты от SYN Flood, UDP Flood и HTTP Flood. Требуется СКАТ с опцией Автозащита от DDoS атак (опция **ddos**). **[[dpi:dpi_options:opt_ddos:ssg_ddos|Подробнее о настройке защиты от DDoS-атак средствами СКАТ DPI]]** |
| - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**) и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки трафика возможно использовать текущие СКАТ (доступно в версиях: BASE, BRAS с опцией mark и channels, COMPLETE), так же возможно поставить выделенный сервер СКАТ версии BASE для обработки части трафика. | - Использование связки СКАТ и QoE для детектирования любых типов DDoS атак с возможностью полной блокировки входящего трафика (**blackhole**) и очистки на СКАТ. Требуется СКАТ с опцией Сбор и выгрузка статистики по протоколам и направлениям в формате IPFIX (опция **ipfix**) и QoE с опцией Обнаружение и очистка трафика (**blackhole and flowspec**) от BotNet и DDoS-атак (опция **antiddos**). Для очистки трафика возможно использовать текущие СКАТ (доступно в версиях: BASE, BRAS с опцией mark и channels, COMPLETE), так же возможно поставить выделенный сервер СКАТ версии BASE для обработки части трафика. **[[dpi:dpi_options:opt_ddos:qoe_ddos|Подробнее о настройке детектора DDoS и BotNet на базе QoE]]** |
| | |
| | <note tip> |
| | Лицензирование опции AntiDDoS в рамках СКАТ и QoE описано [[dpi:licensing|здесь]].\\ \\ |
| | Требования: |
| | * QoE и GUI последней версии. Лицензия QoE — любая, AntiDDoS приобретается отдельной опцией |
| | * СКАТ лицензии BASE / COMPLETE / BRAS с доп.опциями [[dpi:dpi_options:opt_priority|mark]] и [[dpi:dpi_options:opt_shaping|channels]] |
| | * QoE устанавливается на отдельный сервер или ВМ, **НЕ на сервер СКАТ** |
| | * На 1гб/с пикового входящего трафика требуется 8,4 ГБ для хранения статистики |
| | </note> |
| |
| =====Наиболее распространённые формы атак на операторов связи===== | =====Наиболее распространённые формы атак на операторов связи===== |
| * BotNet attacks — каждый бот создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора, подмена исходящего адреса не осуществляется (см. также п.2)\\ Осложнение: в качестве целевого IP для атаки часто фигурирует не один адрес, а до тысячи адресов\\ Защита: blackhole атакуемых адресов, flowspec на аплинк канале (для некоторых типов трафика), создание списка адресов BotNet сети и их блокировка на СКАТ (для некоторых типов трафика) | * BotNet attacks — каждый бот создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора, подмена исходящего адреса не осуществляется (см. также п.2)\\ Осложнение: в качестве целевого IP для атаки часто фигурирует не один адрес, а до тысячи адресов\\ Защита: blackhole атакуемых адресов, flowspec на аплинк канале (для некоторых типов трафика), создание списка адресов BotNet сети и их блокировка на СКАТ (для некоторых типов трафика) |
| - Атака высоким PPS: | - Атака высоким PPS: |
| * Flood, SYN flood, обычно с подменой source IP\\ Защита: перенаправление трафика на СКАТ для фильтрации или blackhole атакуемых адресов | * Flood, SYN flood, обычно с подменой source IP\\ Защита: Использовать механизмы защиты от подмены source IP: [[dpi:bras_bng:bras_l2_options:bras_l2_vlan_ipsg|]] и [[dpi:bras_bng:bras_l2_options:filtering|]]. Включить перенаправление трафика на СКАТ для фильтрации или включить blackhole атакуемых адресов |
| - Взлом элементов сети оператора: определяется по наличию SSH и прочих сессий со служебных адресов оператора, которые предварительно конфигурируются и адреса не входят в белый список\\ Защита: детектирование таких сессий и их блокировка по внешнему адресу | - Взлом элементов сети оператора: определяется по наличию SSH и прочих сессий со служебных адресов оператора, которые предварительно конфигурируются и адреса не входят в белый список\\ Защита: детектирование таких сессий и их блокировка по внешнему адресу |
| |
| |
| {{ :dpi:dpi_options:opt_ddos:antiddos-2.png?nolink&900 |}} | {{ :dpi:dpi_options:opt_ddos:antiddos-2.png?nolink&900 |}} |
| | |
| | <note tip>[[dpi:qoe_analytics:cases:network_health:flood|Сценарии применения решения]]</note> |
