Как работает защита от DDOS

защита от DDOS

О DDoS-атаках слышно не часто, какой-либо резонанс получают лишь громкие инциденты. Из-за этого может сложиться впечатление, что DDoS – это нечастое явление. Однако это далеко не так.

Как свидетельствуют данные, собранные, в 2015 году DDoS-атакам подверглась каждая шестая компания. При этом большинство организации, несущих реальные убытки от таких атак, предпочитает решать свои проблемы молча, не привлекая внимания правоохранительных органов и СМИ. В результате это бездействие лишь развязывает руки злоумышленникам, которые ввиду своей безнаказанности продолжают активно использовать DDoS в своих преступных целях.

Подобные атаки стали реальной угрозой как крупному, так и малому бизнесу, а также государственным объектам информационной инфраструктуры. Помимо этого, в зоне риска находятся СМИ, особенно интернет-издания, страницы политических и общественных организаций, популярных персон. DDoS-атаки фактически превратились в кибер оружие, и стоимость его применения со временем снижается. Технические средства организации атак сегодня достаточно легкодоступны. Например, ими пользуются даже школьники, которые в прошлом году пытались сделать неработоспособным образовательный портал Республики Татарстан для того, чтобы скрыть от родителей свои оценки.

Принимая во внимание простоту организации DDoS-атак и повсеместное распространение этой угрозы, организациям следует позаботиться о надлежащей защите. Причем от решения, призванного противодействовать DDoS-атакам, требуется мгновенная реакция при старте атаки, информирование ответственных сотрудников компании, возможность реакции на новые средства, примененные в атаке. Основным результатом отражения атаки должно быть непрерывное продолжение функционирования веб- ресурса для пользователи?, составляющих его целевую аудиторию.

Подобное решение уже давно предлагает ANTIDDOS.BIZ.

Основная суть работы сервиса ANTIDDOS.BIZ заключается в том, что в обычных условиях весь входящий интернет-трафик, поступающий в периметр защищаемой информационной системы, идет напрямую, без использования защитного решения. Но при этом отражается на специальный сенсор, представляющий собой отдельный сервер, физический или виртуальный, с помощью которого идет оценка входящего трафика. Сенсор устанавливается как можно ближе к защищаемым ресурсам для повышения точности анализа проходящего трафика. В случае обнаружения атаки трафик перенаправляется таким образом, что, прежде чем попасть в защищаемый периметр, проходит через центр фильтрации и приходит в информационную систему уже очищенным. Фильтруемый трафик при этом подвергается дополнительной проверке на ложные срабатывания. После отражения атаки и ее завершения трафик снова начинает поступать напрямую в информационную систему клиента.

Схема функционирования нашей защиты от DDOS.

защита от DDOS

Сенсор ANTIDDOS.BIZ подключается к входящему трафику посредством SPAN-порта. SPAN-порты, по сути, занимаются дублированием трафика для его дальнейшего анализа. Трафик, проходящий через ANTIDDOS сенсор, анализируется в центре очистки автоматически, а также контролируется дежурным аналитиком.

Перенаправление трафика в центр очистки при использовании ANTIDDOS.BIZ может осуществляться двумя методами: либо через протокол динамической маршрутизации BGP (Border Gateway Protocol), либо путем изменения DNS-записи. Вариант BGP возможен, если защищаемые ресурсы находятся в провайдеро-независимой сети IP-адресов. DNS-вариант возможен, если защищаемые ресурсы находятся внутри доменной зоны, находящейся под внутренним управлением компании, а значение параметра TTL (англ. Time to Live, «время жизни») для DNS-записей составляет 5 минут. Необходимо иметь в виду, что BGP-перенаправление в случае начала DDoS-атаки срабатывает быстрее, поэтому является более предпочтительным.

При использовании любого из этих механизмов для передачи трафика в центр очистки и после этого на площадку защищаемого объекта задействуются виртуальные GRE-туннели. Они обеспечивают передачу входящего трафика через центр очистки таким образом, чтобы для внешних клиентов (пользователей) защищаемой информационной системы это было незаметно, т.е. по всем признакам так, как это происходило бы при подключении напрямую.

Если говорить о каждом из механизмов подробнее, то при перенаправлении трафика посредством BGP в режиме мониторинга весь трафик направляется напрямую в защищаемый периметр. Маршрутизаторы ANTIDDOS.BIZ и маршрутизаторы защищаемого объекта постоянно обмениваются информацией о статусе соединения. При этом виртуальные GRE-туннели постоянно находятся в активном состоянии, готовые в любой момент принять перенаправленный трафик. Во время атаки, когда сенсор находит в трафике аномалию, можно перенаправить трафик на центр очистки, при этом сенсор продолжает работать и отслеживать текущую ситуацию. После окончания атаки трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.

При перенаправлении трафика посредством DNS ANTIDDOS.BIZ выделяет для защищаемого объекта специальный пул IP-адресов который используется во время атаки. Во время ее возникновения компания имеет возможность изменить IP-адреса своих защищаемых ресурсов в DNS-записи. При этом защищаемые ресурсы начинают использовать наши IP-адреса. Поскольку злоумышленники могут атаковать непосредственно IP-адреса защищаемых ресурсов, то на время атаки интернет-провайдер компании блокирует весь трафик, идущий на эти адреса, за исключением связи с инфраструктурой сервиса antiddos.biz. После окончания атаки объект восстанавливает исходную DNS-запись, и трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.

Подчеркнем, что для работы нашей защиты, нет необходимости включать на постоянной основе в цепочку прохождения трафика дополнительные элементы (аппаратно-программные комплексы, программные агенты и пр.), необходимо лишь дублировать трафик на наш сенсор, который работает в стороне от основноий инфраструктуры предприятия-клиента. Таким образом, при отсутствии атак, в режиме мониторинга, защищаемые ресурсы работают ровно по такой же схеме, что и без использования защиты.

Участие же в мониторинге трафика специалистов antiddos позволяет проявлять индивидуальный подход к каждой компании. В частности, дежурные аналитики при необходимости оповещают технических специалистов защищаемых ресурсов о начале DDoS-атаки, а также в случае необходимости разрабатывают индивидуальные сигнатуры для фильтрации трафика.

В целом организация сервиса ANTIDDOS.BIZ позволяет ему постоянно развиваться в соответствии с тем, как изменяются параметры DDoS-атак, проявлять индивидуальный подход к каждому ресурсу, не мешать нормальной работе защищаемых объектов и практически бесшовно отражать DDoS-атаки всех известных на сегодняшний день типов.

Рейтинг материала
[Голосов: 0 Рейтинг: 0]
28 декабря 2015, 10:17

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *