17 June 2010

Локальное и удаленное предотвращение атак класса DDoS: особенности, преимущества, недостатки, мониторинг

Оверсан-Меркурий corporate blog
Угроза отказа в обслуживании (Denial of Service, DoS) является особой категорией сетевых атак, чьей целью является недоступность того или иного веб-сервиса для легитимных пользователей. Атака реализуется за счет создания массы обращений на сервер-жертву (victim). Такие атаки легко распознаются, и сам инициатор атаки обнаруживается и блокируется достаточно просто. Поэтому сейчас в такие игрушки никто не играет, а новое поколение атак носит распределенный характер (Distributed Denial of Service). Инициатор атаки использует зараженные системы, расположенные по всему миру, чтобы одновременно скрыть свое местонахождение и сделать атаку более мощной и результативной. Тому, как происходит борьба с атаками, а также новому способу удаленной борьбы с DDoS и посвящен этот пост.

image



Работа систем Anti-DDoS, параметры оценки эффективности защиты



Защита от распределенных DDoS атак основывается на многофакторном анализе трафика, поступающего на каждый защищаемый сервер. Во время нормальной работы система защиты может самообучаться или настраиваться, а после обнаружения атаки либо автоматически, либо по требованию, активно противодействует нелегитимному трафику. Эффективность защиты от DDoS-атак обычно описывается тремя основными параметрами:
  • Мощность атаки (обычно в Мбит/с), которую способна выдержать система
  • Точность действий системы при обнаружении и отражении атаки
  • Вероятность и количество ложных срабатываний (False Positive)


В зависимости от сочетания этих параметров и формируются цена и качество услуг по защите от DDoS атак.

Наш принцип защиты



Мы используем следующий принцип защиты от DDoS-атак. Защищаемой единицей является ip-сегмент, размещаемый в произвольной зоне безопасности. Зона безопасности представляет собой объединение IP-сегментов, для которых в автоматическом или ручном режиме устанавливаются пороги для разных типов трафика (thresholds). Если трафик, поступающий на
защищаемый сервер, значительно превышает порог, то, в зависимости от уровня превышения, применяется действие, способное как ограничить скорость атакующего Интернет-узла, так и полностью его блокировать. Зоны, находящиеся в режиме самообучения, способны автоматически подстраивать пороги трафика в режиме реального времени, чтобы избежать ложных срабатываний, способных привести к деградации некоторых сервисов.

Структура системы Anti-DDoS достаточно проста. Она состоит из модулей, отвечающих за определение аномалий (Traffic Anomaly Detector) и модулей, отвечающих за предотвращение аномалий (Traffic Anomaly Guard). Детекторы (ADM) располагаются как можно ближе к серверам и следят за поступающим на серверы трафиком. Когда детектор замечает аномалию, он сообщает об этом
модулю защиты (AGM). Модуль защиты активирует зону и направляет весь трафик зоны на себя, выполняя ряд сложных вычислений, распознавая и удаляя из сети вредоносный трафик.

Сервер получает уже очищенный от DDoS трафик и продолжает нормально функционировать, а когда атака завершается, модуль защиты исключает себя из пути трафика и сообщает об этом на детектор.

Общая схема защиты от DDoS выглядит так:

image

Мы работаем с DDoS-атаками несколькими способами и предоставляем их в качестве услуг собственным клиентам.

Выделенная зона защиты



Для пользователя выделяется особая зона защиты, автоматически выявляющая пороги и подстраивающаяся под трафик, а
также максимально точно реагирующая на появление аномального трафика. Это позволяет избежать множества ложных срабатываний в системе Anti-DDoS, характерных для фиксированных параметров защищаемой зоны. Таким образом защита осуществляется в круглосуточном режиме и не требует от пользователя каких-либо действий, связанных с активацией.

Защита сегмента



Подразумевает размещение подсети пользователя в одной из пяти защищаемых зон, каждая из которых настроена на определенное количество и структуру трафика. Серверы получают круглосуточную защиту от атак и могут быть по заявке перемещены
между защищаемыми зонами, если структура трафика этих серверов изменилась. Защита также предоставляется в круглосуточном режиме, а по запросу можно включать или отключать защиту серверов, для которых происходят False Positive (ложные срабатывания), либо совместно с инженерам службы управления сетью (NOC) адаптировать защиту серверов в ручном режиме.

Защита по требованию



Наиболее простой способ, когда по заявке атакуемого пользователя для отсечения атаки задействуется вся доступная мощность системы предотвращения атак.

Удаленная защита от DDoS, особенности, преимущества и недостатки



Недавно мы опробовали и запустили в тестовую эксплуатацию удаленную защиту от DDoS-атак. Для того, чтобы атака
была отражена, пользователь направляет трафик, предназначенный для защищаемого ресурса, на оборудование защиты от DDoS, расположенное в нашем дата-центре. Для этого в DNS-зоне ресурса прописывается новый IP-адрес, и после того, как новые DNS-данные распространятся по соответствующим узлам, весь трафик на ресурс будет сначала направляться на мощную аппаратную систему противодействия атаке.

Атака гасится двумя методами. В базовом режиме все сессии пользователя очищаются от DDoS и транслируются на коммутаторы дата-центра, а затем поступают на оборудование клиента в сети Интернет.

Преимущество этого метода состоит в том, что пользователю не требуется специального оборудования или изменения
существующей структуры сервиса, и он может использовать защиту как по требованию, так и на постоянной основе.
Недостаток метода заключается в том, что клиентский ресурс лишается полноценной статистики посещения сайта (поскольку все подключения к данному ресурсу будут выглядеть, как установленные с единственного адреса) на всевремя защиты.

Второй метод более сложный, мы называем его «туннельным». После того, как трафик клиента очистился от DDoS, он
поступает на VPN-оборудование дата-центра, откуда по IPSec-туннелю передается на сервер пользователя, расположенный в любой части сети Интернет.

Преимуществом здесь выступает тот факт, что пользователь может вести полноценную статистику посещаемости своего сайта. А недостатком является необходимость наличия специального оборудования для терминации IPSec-туннеля.

При использовании удаленной защиты от DDoS-атак необходимо учитывать, что общим недостатком работы с таким сервисом в режиме «по требованию» является долгое время реакции сервиса DNS на изменение записей в зоне.

Схемы организации удаленной защиты от DDoS



image

image

Мониторинг DDoS-атак



За счет круглосуточного мониторинга всех систем, пользователь может постоянно иметь представление о ситуации, и напрямую оценивать эффективность вложений в системы защиты. Каждая атака, отражаемая системой защиты, визуализируется и может
наблюдаться в режиме реального времени. Ниже, на графике, можно увидеть, как активация защиты восстановила нормальный уровень легитимного трафика (зеленый график) и отфильтровала трафик DDoS-атаки (красный график):

image

После атаки пользователь может запросить в службе NOC краткий или полный отчет об атаке, позволяющий оценить, насколько эффективно работа системы Anti-DDoS позволяет сохранить ресурсы.

Надеемся, данная информация окажется полезной и актуальной в сегодняшних условиях.
Tags: ddos ddos-атака anti-ddos cisco IPS
Hubs: Оверсан-Меркурий corporate blog
+34
27.5k 48
Comments 113
Ads
Top of the day