DDoS

Анализ и фильтрация
Интернет-трафика
РТКомм
2012
1
Введение
Ведете электронный бизнес?
Принимаете платежи через сайт?
Вы – хостинг-провайдер?
Ваш сайт носит политический характер?
На сайте размещена дорогостоящая реклама?
Информация для размышления:
Стоимость атаки DDoS с 10 000 зараженных
компьютеров начинается с 50 долл. в сутки. Такая
“недорогая” атака может заблокировать
среднестатистический веб-сервер.
2
2
Что такое DDoS?
DDoS атака (Distributed Denial Of Service – Распределенный отказ в
обслуживании) – это атака на вычислительную систему с одновременно
большого числа зараженных компьютеров, называемых зомби и
организующих botnet'ы (зомби сети), целью которой является добиться
недоступности оборудования жертвы для легитимных пользователей.
История:
• первые DDoS-атаки - середина 1990-х гг
• первый серьезный прецедент - 1999 г.: почти одновременно
парализованы серверы Amazon, Yahoo!, CNN, eBay
• по данным Arbor Networks - до 3% всего мирового интернеттрафика приходится на DDoS-атаки, в периоды пиковой
активности - до 6%.
•Электронная почта - 1,5% трафика сети Интернет.
3
Схема DDoS
UK Broadband
Провайдер
BB
B
JP Corp.
Клиент
Центр
управления
B
Атака Ботов
Зона Интернет
B
BM
B
B
US Corp
B
B
Controller
Botnet
master
B
Connects
инициирует
команду
атаковать
US Broadband
4
Статистика DDoS
По данным седьмого ежегодного отчёта Arbor Networks впервые в
истории в 2010 году была зафиксирована DDoS-атака мощностью
потока 100 Гбит/сек
5
5
Как работает защита
Arbor Peakflow
Точка
Пиринга
POP
Клиент Y
Маршрутизатор
Ядра
Arbor Peakflow
Маршрутизатор
Ядра
Точка
Пиринга
Сеть
РТКОММ
POP
Клиент X
Центр очистки Peakflow TMS
«Очищенный»
трафик передаётся в
сеть клиента
6
Что и как мы защищаем
Что мы анализируем и защищаем:
Входящий Интернет-трафик на веб-сайт, почтовый сервер, DNS-сервер,
подсеть, всю сеть клиента, в офис клиента (канал до него).
Где мы анализируем и защищаем:
В Москве, ресурсы клиента, подключенные к сети Интернет с
использованием услуг РТКОММ.
Объект анализа и защиты – сервер (-ы), оборудование Клиента. Имеет
до 15-ти IP-адресов или диапазонов IP-адресов. К каждому объекту
применяются соответствующие только ему правила и Параметры
анализа и защиты. Параметры анализа трафика, поступающего на
Объект описываются в Спецификации услуги.
Как мы защищаем:
Статическая фильтрация или интеллектуальная (с помощью Arbor TMS,
МФИ Софт «Периметр») очистка трафика клиента, поступающего на
Объект.
7
Как работает услуга
Анализ
Аудит (опционально)
Выдаются Нормальные
параметры прохождения
трафика
Согласовывается
Спецификация с граничными
значениями “нормальных”
параметров
Статический (misuse)
Динамический (profiled)
PPS
BPS
On-Line
отчетность
Организуется доступ к
личному кабинету и его
настройка (в зависимости
от ТП)
Закрытие ТТ
Анализ статистики
Согласование с клиентом и
закрытие ТТ
Снятие фильтра
Прием, анализ,
реализация заявки
клиента
Анализ оптимальности
Анализ выполнимости
Интеллектуальная чистка
трафика (Arbor TMS) с помощью
ВЕРОЯТНОСТНЫХ методов
Оповещение о
предупреждениях (15 мин)
Какого типа атака
Степень опасности
(оповещаем о красных)
8
Личный кабинет
Анализ и суммарный
отчёт о трафике
Статистика
предупреждений об
аномальных событиях
по уровню критичности
9
9
Личный кабинет (оповещения)
10
10
Фильтрация трафика
11
11
Опыт
 Услуга существует с 2008 года.
 Более 1.5 лет проводилась опытная эксплуатация
услуги
 Подготовлен высоко квалифицированный
персонал
 Налажены параллельные контакты с операторами
связи
 Множество успешно отражённых атак
12
12
Клиенты
Банки из ТОП 50
Операторы связи
Органы государственной власти
Социально значимые проекты
Хостинг компании
СМИ
13
13
Спасибо за внимание!
14