Спецпроекты

Защита от DDoS: советуют профессионалы

Телеком Безопасность Контент ИТ в торговле
DDoS-атака – один из самых недорогих и надежных способов давления на конкурентов. Прибыль этого криминального бизнеса достаточно велика, а попытки противостоять давлению кибер-преступников стандартными методами редко бывают успешными. Стоит ли смириться с потоком флуда и ждать окончания атаки, наблюдая за потерями? Существуют ли эффективные системы защиты?

Для того чтобы Cisco Guard знал, какой трафик считается нормальным для того или иного ресурса, модуль Cisco Detector, находясь в режиме обучения, периодически сообщает базовый профиль трафика на Cisco Guard.

При получении информации об обнаруженной DDoS-атаке, оператор или подсистема обнаружения DDoS-атак переводит Cisco Guard в режим противодействия. При этом весь трафик, предназначенный для защищаемого ресурса, направляется на Cisco Guard.

На этапе противодействия атаке Cisco Guard анализирует трафик и обнаруженные аномалии и создает непрерывно изменяющийся набор фильтров, которые подаются на компаратор. Последний направляет трафик на модуль аутентификации. После отбора трафика, который он не может идентифицировать, Cisco Guard направляет поток на ограничитель скорости, где происходит отсев трафика, превышающего определенную скорость. После этих процедур легитимный трафик доставляется в пункт назначения.

Компаратор (аналоговых сигналов) — электронная схема, принимающая на свои входы два аналоговых сигнала и выдающая логический "0" или "1", в зависимости от того, какой из сигналов больше.

После того, как трафик возвращается в пределы расчетной нормы, Cisco Guard деактивируется и маршрут движения трафика по сети возвращается к оптимальному. Такая схема позволяет наиболее эффективно использовать ресурсы Cisco Guard. Обычно подсистема противодействия атакам, содержащая один или более модулей Cisco Guard, располагается в стратегических точках системы, например рядом с пограничными или центральными маршрутизаторами сети оператора. Это делается для уменьшения ущерба, наносимого DDoS-атакой сети самого оператора, а также для наиболее эффективного использования ресурсов данной подсистемы. Однако, для наиболее важных или крупных клиентов и ресурсов сети оператора, узел подсистемы противодействия DDoS-атакам может располагаться радом с маршрутизатором, к которому подключается защищаемый ресурс.

В качестве систем обнаружения DDoS-атак можно использовать не только Cisco Anomaly Detector, но и другие системы. Наиболее частым случаем является использование системы анализа Netflow, получаемого с маршрутизаторов сети. Такая система непрерывно моделирует структуру трафика, проходящего по сети, и также рассчитывает нормальный профиль трафика. При обнаружении серьезных отклонений от расчетного профиля, система также уведомляет оператора, и, при необходимости, активирует Cisco Guard.

Как развернуть эффективное решение?

Традиционные решения по устранению атак, например, системы предотвращения вторжений (IPS), эффективно защищают отдельные сервера и подсети. Однако они не защищают соединение с другими операторами связи, которое может быть перенасыщено трафиком атаки или даже полностью выйти из строя под нагрузкой, которую создает атака DDoS. В этой ситуации весь или почти весь благонадежный трафик блокируется, даже, несмотря на то, что сервисы технически доступны. Например, широкомасштабная распределенная атака может "затопить" вышестоящие каналы, за которые данный провайдер, предоставляющий местные решения на границе сети, уже не отвечает.

О компании

"Энвижн Груп" – системный интегратор, занимающийся созданием специализированных решений для телекоммуникационных компаний и операторов связи, включая решения по безопасности сетей. Среди заказчиков компании – ведущие отечественные операторы мобильной и фиксированной связи, Интернет-провайдеры и сервис-провайдеры: Казахтелеком, Комстар-Директ, Уралсвязьинформ, Ростелеком, Волгателеком, Северо-Западный Телеком, МТС, Центральный Телеграф и пр.

Именно поэтому для защиты от распределенных DoS-атак, нацеленных на ресурсы интернет, "Энвижн Груп" рекомендует использование комплексного решения, предназначенного для эффективной борьбы с ними. Примером такого комплексного глобального решения может служить совместное решение Cisco Clean Pipes, включающее системы обнаружения аномалий и подавления DDoS-атак компаний Cisco Systems и Narus. В отличие от существующих способов защиты от DDoS-атак решение Cisco Clean Pipes может точно отличать "вредоносный" трафик, направляемый на важный хост или приложение, от "легитимного".

Решение Cisco Clean Pipes обеспечивает оперативную реакцию на атаки DDoS. В процессе реализации проекта решение развертывается рядом с маршрутизаторами и коммутаторами и легко масштабируется, благодаря чему устраняютсялюбые точки возможного сбоя и не ухудшается быстродействие и надежность существующих сетевых компонентов.

В результате внедрения решения операторы и сервис-провайдеры получают ряд преимуществ: высокую доступность ресурсов и сервисов, бесперебойную работу сети, повышение защищенности каналов и т.д. Кроме того, повышается репутация провайдера услуг, что благоприятно сказывается на привлечении новых абонентов.

Марина Мякишева / CNews


Профиль месяца

Искусственный интеллект стал полумифическим понятием

Сергей Поляков

ИТ-директор Альфа-Банка

Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»