189.54K
Category: internetinternet
Similar presentations:
Услуги по защите от DDoS
Услуги по защите от DDoS
Сетевые атаки и защита информации в компьютерных сетях
Сетевые атаки и защита информации в компьютерных сетях
BGP. Основные термины
BGP. Основные термины
Программное средство обнаружения и противодействия импульсно-волновым DDoS-атакам (Pulse Wave)
Программное средство обнаружения и противодействия импульсно-волновым DDoS-атакам (Pulse Wave)
Атаки отказа в обслуживании (DoS). Перехват и перенаправление трафика
Атаки отказа в обслуживании (DoS). Перехват и перенаправление трафика
Практика внедрения BGP Flowspec в сети оператора связи
Практика внедрения BGP Flowspec в сети оператора связи
Компьютерные атаки
Компьютерные атаки
VPN. Туннели в маршрутизируемых сетях
VPN. Туннели в маршрутизируемых сетях
BGP. Самый мощный протокол маршрутизации
BGP. Самый мощный протокол маршрутизации
Уязвимости популярных операционных систем
Уязвимости популярных операционных систем

DDoS Protection

1.

DDoS Protection
DDOS - DISTRIBUTED DENIAL OF SERVICE

2.

Способы защиты от DDoS в сети GlobalNet
Blackhole community — специальная «метка» в рамках протокола BGP, которая добавляется клиентом к атакуемому префиксу, чтобы роутеры GlobalNet
отбрасывали весь трафик, направленный к клиенту.
BGP FlowSpec — расширение к протоколу BGP, которое позволяет клиенту, при условии дополнительных настроек на BGP сессии, отправлять специальный
тип сообщений BGP с указанием для роутера GlobalNet отбрасывать трафик и/или уменьшать полосу пропускания для конкретного префикса и tcp/udp
порта. В данном случае клиент должен сам инициировать отправку правил на роутеры GlobalNet.
Arbor FlowSpec — функционал тот же, что и у BGP FlowSpec, однако ПО Arbor самостоятельно детектирует атаки на клиентов и создает правила FlowSpec
Arbor TMS — ПО Арбор самостоятельно детектирует атаки на клиентов и, в случае обнаружения, «заворачивает» трафик на атакуемые префиксы в систему
очистки, на которой, согласно клиентскому профилю, нелегитимный трафик отбрасывается, а легитимный возвращается клиенту. Для организации
сервиса необходима доп. BGP сессия с клиентом.

3.

Особенности Blackhole community
Полностью блокируется весь трафик на префикс клиента с Blackhole
community
Бесплатная услуга для клиентов
Нет необходимости в дополнительных настройках
Клиент самостоятельно инициирует отправку префиксов с blackhole
community в случае атаки

4.

Особенности BGP/Arbor FlowSpec
Блокируется трафик на определенные tcp/udp порты клиентского префикса,
затрагиваются не все сервисы клиента при блокировке (Пример: в случае
атаки на веб-сервер, клиент может создать правило, которое заставит роутер
GlobalNet отбрасывать трафик только на TCP:80/443, mail сервер и ftp будут
работать)
Есть возможность использовать rate limit вместо полной блокировки
Для организации сервиса нужно произвести доп. конфигурацию BGP-сессии
Для варианта с Arbor Flowspec доп. конфигурация BGP-сессии не нужна,
однако необходима конфигурация на ПО Arbor.
В классическом варианте клиент сам инициирует отправку правил на роутер
GlobalNet для отражения атаки, в варианте с Arbor-ом происходит
автоматический мониторинг и создание правил согласно профайлу клиента.

5.

Особенности Arbor TMS
В случае атаки трафик клиента не отбрасывается, а «заворачивается» на
оборудование TMS, которое отбрасывает нелегитимный трафик, а полезный трафик
возвращает клиенту согласно преднастроенному профилю.
В случае атаки может вырастать задержка до клиента в том случае, если он
подключен не к тому же самому роутеру, где установлено оборудование TMS.
Атака детектируется средствами Arbor, клиенту ничего не нужно делать для
предотвращения атаки
Необходимо преднастроить дополнительную BGP-сессию с клиентом для
возвращения легитимного трафика и внести конфигурацию на ПО Arbor.

6.

Пример схемы Arbor TMS
Итак, по пунктам:
1. Клиент поднимает с нами две BGP сессии: первую в Global VRF,
вторую в vrf offRamp.
Через первую трафик маршрутизируется в обычных условиях, через
вторую клиент будет получать очищенный трафик в случае атаки.
2. Начинается DDoS атака на префиксы клиента.
3. Arbor SightLine детектирует атаку и создает alert, на основании
которого создается правило “смягчения“ трафика. На ASR анонсируется
атакуемый /32 префикс с некст-хопом TMS
4. Через специально созданный BE (в данном случае с VSM500 нет
никаких физических кабелей/проводов, все происходит внутри шасси
ASR9006) вредоносный трафик отдается на TMS и там очищается
согласно преднастроенному профайлу
5. Через тот же самый BE очищенный трафик возвращается на ASR но
уже в vrf offRamp. В этом vrf нам известны все клиентские префиксы,
так как он нам их заранее проанонсировал. В рамках этого vrf к клиенту
возвращается очищенный трафик.
English     Русский Rules