1 / 11

начальник отдела перспективных разработок

Неразрушающее подключение защиты от DDOS-атак. Максим Ващенко. начальник отдела перспективных разработок. ВОКРУГ ЦОД – 2012 Новосибирск 17 . 10 .2012. DDOS- атаки не очень часты, но очень разрушительны Требуют мощного решения, при этом развиваются

nadine-morse
Download Presentation

начальник отдела перспективных разработок

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Неразрушающее подключение защиты от DDOS-атак Максим Ващенко начальник отдела перспективных разработок ВОКРУГ ЦОД – 2012 Новосибирск17.10.2012

  2. DDOS-атаки не очень часты, но очень разрушительны • Требуют мощного решения, при этом развиваются • Лучший способ защиты - не постоянная фильтрация Что такое DDoS-атака • Цель – вывести ресурс из строя. Простой, потеря репутации. • 10 mpps против сервера 400kpps • Флуд, имитация хорошего пользователя i Современные решения для борьбы с DDoS-атаками

  3. Оправданность применения неразрушающего контроля • Неразрушающий ответвитель – устройство, подключаемое к каналам связи (Ethernet, E1, Optic), традиционно позволяющее подключать устройства мониторинга (канала, данных, сорм и тп). • Позволяют подключать устройства мониторинга позже, при необходимости, без какого-либо влияния на канал, находящийся в работе. • DDOS-атака, когда она имеет место, как правило направлена на один конкретный ресурс. • Если на большой сети использовать оборудование, защищающее от DDOS-атак, которое можно было бы оперативно, либо автоматически переключать на нужный сегмент, это позволило бы сэкономить на таких устройствах. • Одно устройство для подавления атак большой мощности, вместо значительного количества подобных ему, установленных на всех основных каналах. Современные решения для борьбы с DDoS-атаками

  4. Способы подключения защиты от DDOS-атак Андрей www.ANDREY.mfi IN A gg.ii.rr.ll Перенаправление трафика за счет изменения DNS-записи В разрыв канала Антивирус на компьютере, проксирование через внешний сервер Современные решения для борьбы с DDoS-атаками Операторские решения

  5. Мониторинг происходящего на сети дата-центра - • - не только мониторинг оборудования, загрузки каналов • (бесплатные mrtg или cacti) • Что мониторить? – например, по snmp - исправность оборудования (маршрутизатор, коммутатор) – температуру, память, процессор, порты (bps, pps, ошибки), жизнеспособность серверов по отклику на Ping. • Полезно иметь детальную статистику по трафику - • по каждому из протоколов • (3уровня)IPv4, IPv6, ICMP, …; • (4)TCP, UDP, SCTP, …; • (7) DNS, HTTP, SIP, RTP, …; • персонально по каждому из клиентов • если ДЦ – AS, то статистика по соседям, в том числе, и обнаружение транзитного трафика; может быть и захват трафика чужой автономной системой (wiki 6 случаев. Ex: 24.02.2008 youtube) • доступ для клиентов к подробной персональной статистике

  6. Мониторинг атак на сети • Атаки на клиентов • Атаки на оборудование, каналы, системы мониторинга • Входящие, исходящие • Информация о маршрутизации • Несоответствие физического источника трафика его характеристикам (поддельный, несанкционированный транзит) • Принадлежность известным скомпрометированным ресурсам • Трафик, соответствующий сигнатурам атак (фиксированные, эвристика, пороги и др) • False positive, false negative • Серые адреса • Анализ ответов от ресурсов

  7. Подавление атак - методы, ресурсы Популярные типы DDOS-атак Концепция защиты, основанная на доверии IP-адресу (очистка web-трафика) • 1) проверка того, что IP-адрес реальный (не spoofed) и на компьютере реальный TCP/IP стек (не пакетная флудилка) • 2) IP-адрес не принадлежит известной сети ботов (с учетом пулов динамических IP-адресов и адресов NAT/Proxies) • 3) проверка что используется реальный браузер (понимает javascript, содержит адекватную браузер-инфо и соответствующие ей баги, понимает http-redirect, понимает куки, и т.п.) • 4) проверка того, что работает живой человек (не скачивалка, не поисковый краулер), например способен выиграть в крестики-нолики. • 5) проверка того, что человек ведет себя “социально”. поведение адекватно используемому ресурсу.

  8. Клиентский контроль • Статистика и анализ обращений к серверу. • Атака – кто, как, сила, успешность, контроль ошибок. • Управление клиентом

  9. Комплекс защиты от сетевых атак «Периметр» для дата-центров • Подключение без изменения топологии сети. Динамический захват трафика. • Мониторинг сетевого трафика в нескольких VLAN. • Обнаружение и подавление атак и аномалий трафика. • Возможность анализа "сырого" трафика • Анализ, очистка трафика 1..10Гбит/14.8 Мpps на 1 модуль • Подавление атак на уровне приложений (HTTP, DNS, SIP и др.) • Развернутая статистика позволяет эффективно управлять сетевыми ресурсами и видеть узкие места • Личный кабинет с индивидуальным набором опций для каждого клиента провайдера Современные решения для борьбы с DDoS-атаками

  10. Защита интернет-провайдера И другие решения … Защита дата-центра ООО «МФИ Софт» 603104, Нижний Новгород,ул. Нартова, 6/6 (831) 220 32 16 ib.sales@mfisoft.ru www.mfisoft.ru

  11. Вопросы ?! ООО «МФИ Софт» 603104, Нижний Новгород, ул. Нартова, 6/6 (831) 220 32 16 ib.sales@mfisoft.ru www.mfisoft.ru ВОКРУГ ЦОД – 2012 Новосибирск17.10.2012

More Related