Описание защиты от DDOS во Франции

Принцип защиты от DDoS (Что такое защита от DDoS?)

Механизм DDoS атаки

 

Вероятность подвергнуться DDoS атаке очень большая благодаря многочисленным попыткам возникновения таких событий по всему миру.

DDoS атака нацелена на то, чтобы сделать сервер, сервис или даже целую инфраструктуру недоступной с помощью переполнения полосы пропускания сервера или монополизации его ресурсов, вплоть до полного отказа в обслуживании.

В процессе DDoS атаки из огромного количества источников в интернете (бот-сеть) отправляется множество одновременных запросов. Интенсивность такого "перекрестного огня" прямо пропорционально влияет на сервис, делая его нестабильным, а что еще хуже - недоступным.

Что предлагается для защиты ваших сервисов

 

Для защиты ваших серверов и сервисов от атаки, предлагается решение защиты, основанное на технологии VAC - исключительного набора техник для:

  • Анализа всех пакетов данных на большой скорости в режиме реального времени
  • Перенаправления всего входящего в ваш сервер трафика
  • Митигации, то есть изоляции всех нелегитимных IP пакетов, одновременно с этим позволяя проходить легитимному трафику

Цели и типы атак

Существует три способа сделать ваш сайт, сервер или инфраструктуру недоступной:

  1. Пропускная способность: данный тип атаки нацелен на переполнение сетевой пропускной способности сервера, что делает его недоступным.
  2. Ресурсы: данный тип атаки нацелен на истощение системных ресурсов сервера, что приводит к тому, что он прекращает отвечать на легитимные запросы.
  3. Использование программных уязвимостей: также именуемый "эксплойтом", данный тип атаки нацелен на конкретную уязвимость в программном обеспечении сервера для вывода его из строя или получения над ним контроля.
Наименование атаки Уровень модели OSI Тип атаки Объяснение принципа атаки

Флуд ICMP эхо-запросами

L3

Ресурсная

Другое название Ping флуд - массовая рассылка пакетов данных, подразумевающая ответ от жертвы, который имеет аналогичное содержание, как и оригинальный пакет данных

Атака фрагментированными IP пакетами

L3

Ресурсная

Отправка IP пакетов в ожидании приема других пакетов, которые никогда не будут отправлены. Данный тип атаки направлен на переполнение памяти жертвы

SMURF

L3

Пропускная способность

ICMP broadcast атака, узурпирующая адрес источника для перенаправления множественных ответов жертве

IGMP флуд

L3

Ресурсная

Массовая рассылка IGMP пакетов (протокол групповой рассылки)

Пинг “смерти”

L3

Эксплойт

Отправка ICMP пакетов, которая использует уязвимости в определенной операционной системе

TCP SYN флуд

L4

Ресурсная

Массовая рассылка запросов на TCP соединение

Подмена TCP соединения с помощью SYN флуда

L4

Ресурсная

Массовая рассылка запросов на TCP соединение для узурпации адресов источника

TCP SYN ACK Обратный флуд

L4

Пропускная способность

Массовая рассылка запросов на TCP соединение к большому количеству хостов, узурпируя адреса источника жертвы. Пропускная способность жертвы будет уменьшаться прямо пропорционально росту ответов на запросы

TCP ACK флуд

L4

Ресурсная

Массовая рассылка отчетов о доставке TCP сегментов

TCP атака фрагментации

L4

Ресурсная

Отправка TCP сегментов, которые предполагают связь с другими, не существующими, сегментами. Данный тип атаки переполняет память жертвы

UDP флуд

L4

Пропускная способность

Массовая рассылка UDP пакетов (без предварительно установленного соединения)

Флуд UDP фрагментами

L4

Ресурсная

Отправка UDP дейтаграмм, которые ожидают ответа и никогда не смогут его дождаться. Это переполняет память жертвы

Распределенная атака DNS Amplification

L7

Пропускная способность

Массовая рассылка DNS запросов к большому количеству легитимных серверов, узурпируя адреса источника жертвы. Если ответ ожидается дольше, чем того предполагает запрос, то значит, что присутствует Amplification атака

DNS флуд

L7

Ресурсная

Атака на DNS сервер с помощью массовой рассылки запросов

HTTP(S) GET/POST флуд

L7

Ресурсная

Атака на WEB сервер с помощью массовой рассылки запросов

DDoS DNS

L7

Ресурсная

Атака на DNS сервер с помощью массовой рассылки запросов с огромного количества хостов, находящихся под контролем атакующего

Порядок действий при DDoS атаке

4 фазы при возникновении атаки:

1) Сервер находится в рабочем состоянии - атаки нет

Сервисы, основанные на интернет-технологиях, продолжают функционировать без проблем. Трафик проходит через магистральную сеть в датацентр. В конечной фазе трафик будет обработан сервером, который отправляет ответы обратно в интернет.

 

2) Начало DDoS атаки

Атака запускается через интернет из магистральной сети. Предположим, что резервная емкость пропускной способности магистральной сети в начале атаки не создает видимых затруднений в потоке трафика. Когда атака достигнет сервера, который начнет обрабатывать начало атаки, включится анализ трафика и сработает сигнал, что началась атака. Таким образом, запустится митигация.

 

3) Митигация атаки

Через 15 - 120 секунд после начала атаки активируется митигация. Входящий по отношению к серверу трафик перенаправляется в сторону 3-х VAC, которые расположены в 3-х датацентрах, со средней скоростью митигации 480 Гбит/с (3 x 160 Гбит/с). Атака блокируется практически мгновенно. Легитимный трафик проходит через VAC, чтобы в конце концов достичь сервера. Сервер отвечает уже напрямую, минуя VAC. Данный процесс называется автоматической митигацией.

 

4) Окончание атаки

Генерация атаки является довольно дорогостоящим делом, тем более если она окажется неэффективной. После определенного промежутка времени атака заканчивается. Режим авто-митигации включается и поддерживается на протяжении 26 часов после окончания атаки. Это означает, что если в течении нескольких минут, часов или в пределах суток начнется атака, то она будет заблокирована. По окончании 26 часов авто-митигация отключается, но все еще остается в режиме ожидания новой атаки.

 

Анти-DDoS для игр 

Игровая и спортивная индустрия чаще всего подвергаются DDoS атакам. Решения безопасности, реализуемые локальным провайдером, зачастую не могут помочь справиться с интенсивностью и частотой атаки. Это наиболее характерно для UDP флуд атак, которые используют уязвимость в UDP протоколе, на базе которого работает большинство игровых и голосовых серверов.
Вот почему пришлось разработать план действий по защите от DDoS атак, адаптированный специально под игровые сервера.

Список совместимости для игр и приложений

Half-life, Team Fortress Classic, Counter-Strike 1.6, Counter-Strike: Source, Half-life Deathmatch Classic, Half-life 2, Half-life 2: Deathmatch, Day of Defeat, Day of Defeat : Source, Left 4 Dead, Left 4 Dead 2, Team Fortress 2, Counter-Strike : Global Offensive, Garry's Mod, Grand Theft Auto, San Andreas Multiplayer SA:MP, Multi Theft Auto San Andreas MTA:SA, TrackMania (+ TCP protocol), TrackMania 2 (+ TCP protocol), ShootMania Storm (+ TCP протокол), Minecraft pocket edition, Minecraft ARK : Survival Evolved, RUST, Teamspeak, Mumble.

Специализированная защита от DDoS для вашей игры!

Для того, чтобы предоставить максимально возможную защиту против атак, инженеры проанализировали работу большинства наиболее известных игровых платформ (Counter Strike, TeamFortress, Minecraft) и модулей обмена сообщениями (TeamSpeak and Mumble). В лабораторных условиях, а также изучая данные реальных пользовательских тестов, они изучили уязвимости приложений и задокументировали различные стратегии против атак. Данный обратный инжиниринг позволил им выработать стратегию незамедлительного реагирования для любого типа игр: для каждого из них был разработан свой профиль или группа с набором заранее определенных правил, с помощью которых пользователь сможет мгновенно заблокировать не легитимный трафик в обе стороны по UDP портам.

Двухфакторная митигация: фильтрация на входе и выходе

Для каждого типа атаки были разработан определенный тип сетевого поведения, который интегрируется в различные сервера и уже интегрирован в оборудование Tilera. Огромным нововведением является фильтр, который анализирует входящий и исходящий трафик, чтобы отличить легитимные запросы наилучшим образом. Он может превосходно отличать реальные подключения пользователей к хостам от вредных атак. Поэтому анти-DDoS для игр играет роль своего рода базы данных и фильтрует TCP/IP и UDP пакеты.

Детали инфраструктуры анти-DDoS для игр

Митигация DDoS атак, направленных на игры

Маршрутизатор, расположенный ближе всего к хосту, анализирует пакеты данных. Данный маршрутизатор обрабатывает каждую игру особенным образом. Например, маршрутизатор выступает в роли базы данных для бесполезных сетевых запросов.

Решение по защите от DDoS

Анализ трафика и обнаружение атаки

Обнаружение атаки

Для обнаружения атаки используется протокол Netflow, отправляя данные от маршрутизаторов к Arbor Peakflow. Каждый из маршрутизаторов отправляет в общей сумме 1/2000 часть от всего проходящего через него трафика. Arbor Peakflow анализирует данные, сравнивая их с сигнатурами атак. Если сравнение дает позитивный результат, то в течении нескольких секунд активируется митигация.

Анализ по сигнатурам основан на срабатывании порогов по скорости трафика: "пакетов в секунду" (pps, Kpps, Mpps, Gpps) или "бит в секунду" (bps, Kbps, Mbps, Gbps) для каждого типа пакетов:

  • DNS
  • ICMP
  • IP Fragment
  • NULL IP
  • Private IP
  • TCP NULL
  • TCP RST
  • TCP SYN
  • UDP
  • Total Traffic

Определенные условия заставляют сработать определенный порог чувствительности, даже несмотря на то, что анализируется только 1/2000 часть всего трафика. Активация митигации может занять от 15 до 120 секунд.

Перенаправление трафика при DDoS атаках

Огромная сетевая ёмкость

Принцип DDoS атаки - это вывод сервиса из строя. Зачастую сеть провайдера не способна обработать чрезмерную загрузку.

Сеть ёмкостью 3 Тбит/с может перенаправить огромное количество трафика во время атаки, что неизмеримо лучше по сравнению с другими доступными сервисами.

Перенаправление трафика по разным путям: реальное преимущество

Когда атака принимает глобальный масштаб, сервисы митигации, дублированные в 3-х датацентрах на 2-х континентах (Боарнуа, Рубе и Страсбург), одновременно активируются для того, чтобы принять на себя весь поток трафика. Общая скорость митигации составляет 480 Гбит/с (3 x 160 Гбит/с).

Остальных пользователей и их сервисы данная атака не затрагивает.

Обычная ситуация: перенаправление трафика не активно.

 

Атака обнаружена: активировано перенаправление трафика по разным путям. При этом включается анализ и митигация трафика с помощью 3-х VAC.

Митигация DDoS атаки

Заблокируйте атаку, но позвольте проходить легитимному трафику

Митигация - термин, обозначающий набор специально разработанных средств и мер, которые необходимо принимать при атаке для снижения ее негативных эффектов. Митигация заключается в фильтрации нелегитимного трафика и перенаправления его в сторону VAC, одновременно с этим позволяя проходить легитимным пакетам данных.

VAC состоит из нескольких устройств, каждое из которых выполняет определенный набор функций для блокировки одного или нескольких типов атак (DDoS, флуд и т.д.). В зависимости от типа атаки на каждом из VAC устройств может выполняться одна или несколько стратегий защиты

Компоненты VAC

Функции, выполняемые Pre-Firewall:

  • Фрагментация UDP
  • Анализ размера пакетов
  • Авторизация по протоколам TCP, UDP, ICMP, GRE
  • Блокировка всех других протоколов

Функции, выполняемые Tilera:

  • Поврежденные заголовки IP
  • Некорректная контрольная сумма IP
  • Некорректная контрольная сумма UDP
  • Ограничения по ICMP
  • Поврежденные UDP дейтаграммы
  • DNS amp

Функции, выполняемые Firewall Network:

  • Авторизация/блокировка IP или подсетей
  • Авторизация/блокировка протоколов:
    • IP (все протоколы)
    • TCP
    • UDP
    • ICMP
    • GRE
  • Авторизация/блокировка порта или диапазона портов TCP/UDP
  • Авторизация/блокировка SYN/TCP
  • Авторизация/блокировка всех пакетов за исключением SYN/TCP

Функции, выполняемые Arbor:

  • Поврежденные заголовки IP
  • Незаконченные фрагменты
  • Некорректная контрольная сумма IP
  • Дублированные фрагменты
  • Слишком длинные фрагменты
  • Слишком длинные пакеты IP/TCP/UDP/ICMP
  • Некорректная контрольная сумма TCP/UDP
  • Недействительные TCP флаги
  • Недействительное порядковое число
  • Обнаружение зомби (ботов)
  • TCP SYN аутентификация
  • DNS аутентификация
  • Вредоносные DNS запросы
  • Ограничения DNS


Технология VAC

Сеть, способная принять на себя все атаки

Благодаря емкости свыше 3 Тбит/с, установленной в соответствии с нашей текущей клиентской нагрузкой, сеть способна выдержать, перенаправить и митигировать огромное количество атак. В процессе митигации, которая выполняется 3-мя датацентрами (Боарнуа, Рубе и Страсбург), атака перенаправляется по разным путям. Таким образом, SLA наших клиентов не нарушается и остается в безопасности, не создавая простоев.

 

Точки присутствия и их сетевая емкость

Европа


Точка присутствия  —   Пропускная способность

  • Paris — 470 Gbps
  • Bordeaux — 20 Gbps
  • Lyon — 30 Gbps
  • London — 260 Gbps
  • Amsterdam — 220 Gbps
  • Brussels — 40 Gbps
  • Frankfurt — 350 Gbps
  • Prague — 10 Gbps
  • Warsaw — 140 Gbps
  • Vienna — 12 Gbps
  • Zurich — 12 Gbps
  • Milan — 50 Gbps
  • Madrid — 80 Gbps

США/Канада

Точка присутствия   —   Пропускная способность

  • Montreal — 20 Gbps
  • Toronto — 30 Gbps
  • Newark — 30 Gbps
  • New York City — 50 Gbps
  • Ashburn — 40 Gbps
  • Chicago — 80 Gbps
  • Atlanta — 20 Gbps
  • Miami — 70 Gbps
  • Dallas — 50 Gbps
  • Los Angeles — 40 Gbps
  • San Jose — 60 Gbps
  • Palo Alto — 80 Gbps
  • Seattle — 10 Gbps

Прямой транзит и пиры

Европа

  • RBX — 280 Gbps
  • SBG — 120 Gbps
  • GRA — 80 Gbps

США/Канада

  • BHS — 120 Gbps
 

Информация о Pre-Firewal

Pre-Firewal выполнен на базе Cisco Nexus 7009, который имеет 144 10G портов или общую ёмкость 1,44 Тбит/с. N7 является превосходным решением по виртуализации маршрутизаторов, которое предлагает намного большее качество изоляции, чем просто "VRF".

Техническая спецификация

Модель — Cisco Nexus 7009

Супервизор — 2xsup2e

Процессор — Xeon

Количество ядер — 2x4 cores

Тактовая частота — 2.13 GHz

RAM — 32 GB

Фабрика — 550 Gbps на слот 5 x N7K-C7009-FAB-2

Сервисные карты — 2 x N7K-M224XP-23L, 2 x N7K-F248XP-25E

Емкость — 1440 Gbps

F2e Производительность — 720 Mpps L2/L3

M2 Производительность — 120 Mpps L2/L3

Количество VDC — 8 виртуальных маршрутизаторов

Количество в VAC — 1

Общая численность в промышленных масштабах — 3

Общая емкость pre-firewall — 480 Gbps/480 Mbps

Cisco Nexus 7009

 

Информация о Firewall Network от Cisco

Решения Cisco

Являясь лидером в сетевых технологиях, Cisco предлагает все более интеллектуальные решения с быстрым реагированием, что снижает возможные риски и отвечает требованиям безопасности для датацентров - в особенности тех, которые наиболее в этом нуждаются.

Техническая спецификация

Модель — Cisco ASR 9001

Ёмкость — 120 Gbps/120 Mpps

Количество ACL — 15 M строчек

Количество в VAC — 1

Общая численность в промышленных масштабах — 3

Общая емкость митигации — 360 Gbps/360 Mpps

cisco ASR 9001

Cisco ASR 9001

 

Информация о решениях Tilera

Tilera является мировым лидером в создании многоядерных процессоров. Их компьютерная мощь помогает сетевым интеллектуальным сервисам анализировать и обрабатывать потоки данных в датацентрах.

Техническая спецификация

Модель — TILEmpowerGX 36

Архитектура — iMesh Interconnect - RISC

Количество ядер — 36 Cores

Частота одного ядра — 1.2 GHz

Количество кеша на ядро — L1 : 32 kB L2 : 256 kB

RAM — 32 GB DDR3 ECC

Жесткие диски — 1x 160 GB SSD

Сетевые карты — 4x 10 G SFP+, 2 x 1 G SFP

Количество в VAC — 2

Общая численность в промышленных масштабах — 6

Общая ёмкость митигации — 240 Gbps/240 Mpps

Система — Linux Redhat (stripped)

Многоядерная обработка — MDE (Multicore Development Environment)

Классификация пакетов — mPIPE (multicore Programmable Intelligent Packet Engine)

Шифрование — MiCA (Multicore iMesh Co-processing Accelerator)

TILEmpowerGX 36

TILEmpowerGX 36

 

TILEmpowerGX 36

 

Информация о Arbor

Решения Arbor

Решения Arbor предлагают полную защиту и централизованное управление сетью на всем промежуточном оборудовании. Они предоставляют единую точку мониторинга и управления, практическую информацию о происшедших событиях и проверенную безопасность, гарантируя обнаружение и нейтрализацию всех сетевых атак. С помощью Arbor доступность сети всегда гарантирована.

Техническая спецификация Peakflow

Модель — Arbor PeakFlow

Предназначение — Анализ по протоколу Netflow и обнаружение атак

Количество — 5 (1 master + 4 slaves)

 

Техническая спецификация

Модель платформы — TMS400

Ёмкость — 40 Gbps

Емкость митигации — 30 Gbps/30Mpps

Предназначение — Митигация

Количество в VAC — 1

Общая численность в промышленных масштабах — 3

Общая емкость митигации — 90 Gbps

Arbor TMS 4000

 

Arbor TMS 4000

 

 

Информация

Ключевые моменты, которые рекомендуются для защиты от DDoS

Настройка сетевого фаервола — Убедитесь в том, что на вашем сервере открыты только авторизованные и необходимые порты; не забудьте указать в настройках каждый необходимый порт и сервис, чтобы предотвратить отказ сервиса вследствие некорректных настроек.

Конфигурация настроек вашего сервера — Скорректируйте настройки IP вашего сервера, выставив значения для TCP, UDP в Linux разделе /proc.

 

Часто задаваемые вопросы по митигации (Техническая помощь)

Во сколько мне обойдется защита?
Стандартная версия бесплатна для серверов.

Обязательна ли митигация?
Митигация применяется в рамках всей инфраструктуры и серверов, поскольку единственным способом защитить всех наших клиентов является защита каждого из них. По этой причине все наши сервера должны быть защищены.

Буду ли я защищен, если ничего не настраивал?
Если не будут определены специфические политики, то применится стандартный набор правил митигации для вашего сервера. Это делается автоматически и постепенно (постепенно применяя ограничения до полной изоляции результатов).

Выключится ли мой сервер при митигации?
Все политики были разработаны для того, чтобы защитить атакуемые порты и одновременно с этим оставить открытыми другие порты. 

Глоссарий

Анти-DDoS или защита от DDoS — Набор компьютерных техник, позволяющих защитить онлайн сервисы от DDoS атак

DDoS — Распределенная DoS атака: Принцип действия таков же, как и в случае с DoS, но производится из множества атакующих точек (бот-сеть)

DoS — Атака, направленная на отказ сервиса

Митигация — Действие, направленное на идентификацию, отбор и соответствующие фильтрацию, изоляцию и нейтрализацию эффектов от кибер-атаки.

SYN флуд — Кибер атака, которая проводится с помощью SYN запросов.