Распечатать

СIO - Противодействие DDoS-атакам: задача решена

Дмитрий Огородников: "Рассматриваемые специализированные решения, в частности Cisco Clean Pipes, действительно обеспечивают защиту клиента от большинства существующих типов DDoS атак."

19 марта 2009

Дмитрий Огородников, директор департамента информационной безопасности NVision Group, резюмирует: «Рассматриваемые специализированные решения, в частности Cisco Clean Pipes, действительно обеспечивают защиту клиента от большинства существующих типов DDoS атак. Но следует понимать что, защита от DDoS атак только на уровне ЦОД не всегда приводит к желаемым результатам. Злоумышленник может провести атаку на каналы связи ЦОД с внешним миром, используя стандартные типы атак, например, UDP и ICMP flood. В этом случае никакие устройства расположенные непосредственно в ЦОД не смогут оказать адекватную защиту и атакующий добьется своего результата нарушив доступность предоставляемых центром обработки данных сервисов».
 
Для защиты от атак на канал связи, по мнению эксперта, необходимо устанавливать систему защиты уже не на уровне ЦОД, а на уровне оператора связи, предоставляющего услуги подключения. В случае «Оператора связи» наиболее обоснованными являются решения защиты от DDoS основанные на анализе NetFlow статистики, получаемой с маршрутизаторов сети оператора. Работая с NetFlow статистикой, а не с непосредственным трафиком системы имеют возможность обрабатывать большие объемы трафика. Такие решения непрерывно моделируют структуру трафика, проходящего по сети, и также рассчитывают его нормальный профиль трафика. При обнаружении серьезных отклонений от расчетного профиля, система также уведомляет оператора, и, при необходимости, активирует Cisco Guard. Очистка трафика происходит в сети оператора, после чего клиенту пересылается очищенный трафик.
 
Дмитрий Огородников продолжает: «Оператор имеет гораздо более толстые каналы связи и в состоянии очистить DDoS атак на порядок превышающую скорость подключения клиента. Клиент же в свою очередь имеет четкое представление о тех сервисах, которые нужно защищать и имеет возможность провести более тонкую настройку системы защиты от DDoS. Совместная работа клиента и его оператора по защите от DDoS атак позволяет достигнуть более значительного результата, используя преимущества обоих методов установки».
 
Что касается практики, то многие операторы связи планируют или уже внедрили подобные решения для защиты своей собственной инфраструктуры и предоставления дополнительных сервисов по защите от DDoS атак своим клиентам. В результате внедрения операторы и сервис-провайдеры получают ряд преимуществ: высокую доступность ресурсов и сервисов, бесперебойную работу сети, повышение защищенности каналов и т.д. Кроме того, повышается репутация провайдера услуг, что благоприятно сказывается на привлечении новых клиентов.
 
«Если рассматривать в качестве примера решения Cisco Clean Pipes, -рассказывает Павел Антонов, - то в этом решения реализовано три уровня проверок трафика. Первый – самый «мягкий» и предназначен для фильтрации спуфинга. Фильтры построже выявляют «зомби». И самый строгий фильтр – это блокирование трафика с атакующих IP адресов».
 
Что представляют собой подобные решения с точки зрения сетевого оборудования? Первая компонента это детектор, предназначенный для обнаружения аномалий. Это пассивный элемент, через который трафик не проходит. Его основная задача: на первом этапе - обучение, потом выявление аномалий. В ЦОДах детекторы ставят ближе к серверам ЦОДа. Вторая компонента решения предназначена для фильтрации сетевого трафика (в Clean Pipes – это Cisco Guard). Захват трафика осуществляется при помощи маршрутизации.
 
В случае обнаружения детектором аномалии (не обязательно связанной с атакой, например, резкий всплеск трафика на сайт был вызван интересной новостью). Что бы связать факт аномалии с DDoS необходимо вмешаться в трафик и начать его анализировать. Для этого детектор передает команду фильтру на контроль определенной зоны в сети и весь трафик зоны идет через него. Основной функционал понятен из названия - разбор трафика на вредоносную и легитимную составляющие
 
Ключевым моментом здесь является то, что фильтр (Guard), будучи активной компонентом, не является инфраструктурным сетевым элементом. Трафик постоянно через него не проходит. А, значит, сам он не может быть подвержен атаке. На фильтр попадает только тот трафик, который содержит атаку. Все остальное проходит мимо. Это, кстати, уменьшает и процент ложных срабатываний. Экономятся средства и на производительности фильтра. В случае операторов крупных операторов связи Guard рекомендуется размещать на уровне магистрали, у более мелких ОС и в случае ЦОДов как можно ближе к внешним каналам. Как отмечалось, детектор ставят как можно ближе к защищаемым устройствам. Это и удобно, и там легче понять «нормальную» структуру трафика этих устройств.
 
C полной версией статьи можно ознакомиться: http://www.cio-world.ru/products/business-solutions/411180/