DDoS АТАКИ - ВЪТРЕШЕН ПОГЛЕД - Персонализирани Ddos атаки

Същността на DDoS атака

  • Атаки на приложения. При тези DDoS атаки атакуващите използват очакваното поведение на протоколи като TCP и HTTP. Те поемат изчислителните ресурси, като им пречат да обработват транзакции и заявки. Пример за атаки от този тип върху приложения: това са атаки с полуотворени HTTP връзки и с грешни HTTP връзки.

Използване на ACL за сигурност

Мнозина вярват, че рутерите, които използват списъци за контрол на достъпа (ACL) за филтриране на „нежелания“ трафик, осигуряват защита срещу DDoS атаки. Всъщност ACL могат да предпазват от прости и добре познати DDoS атаки, като ICMP атаки.

  • Атаки на приложния слой. Докато ACL могат да блокират атаки от страна на клиента, като дефектни HTTP връзки и полуотворени HTTP връзки (ако приемем, че е възможно да се определи източникът на атаката и конкретни неподправени източници), администраторът ще трябва да конфигурира стотици и в в някои случаи хиляди списъци. ACL за всяка потенциална DDoS цел.

Използване на защитни стени за защита

Защитните стени играят изключително важна роля в системата за сигурност на всяка компания, но те не са създадени специално като инструмент за предотвратяване на DDoS атаки. Всъщност защитните стени имат редица присъщи свойства, които им пречат да осигурят пълна защита срещу най-модерните DDoS атаки.

На първо място, става въпрос за местоположение. Защитните стени са твърде далеч от носителя по пътя на данните и това не осигурява достатъчна защита за линията на комуникационния канал, който свързва превозвача и крайния рутер на корпоративната система, което прави тези компоненти уязвими за DDoS атаки. Всъщност, тъй като защитните стени са изградени по линеен начин, те често са обект на атакуващи, които се опитват да нарушат ресурсите за обработка на данни, за да причинят провал.

Използване на система за откриване на проникване (IDS) за защита

Докато IDS системите отлично откриват атаки на ниво приложение, те също имат слабост: те не могат да открият DDoS атака, която използва правилните пакети, а днес повечето атаки използват правилните пакети. Докато IDS предоставят специфични механизми, базирани на аномалии, за откриване на тези атаки, те изискват обширна ръчна настройка и не идентифицират специфични потоци от трафик на атаки.

Друг потенциален проблем при използването на IDS системи като платформа за защита срещу DDoS атаки е, че те само откриват атака, но не предприемат никакви действия за отстраняването й. В решения, базирани на IDS, могат да се препоръчат филтри за рутери и защитни стени, но, както бе споменато по-горе, това не осигурява ефективно елиминиране на съвременните DDoS атаки.

Като цяло IDS е най-добрият инструмент за откриване на атаки на ниво подпис, базирани на подписи. Тъй като сложните DDoS атаки се откриват чрез аномално поведение на 3-то и 4-то ниво, съвременната IDS технология не е подходяща за откриване и елиминиране на DDoS атаки.

Описание на компонентите, включени в решението за защита DDoS

Cisco Traffic Anomaly Detector е устройство за наблюдение, което открива признаци, които показват наличието на DDoS атаки. Cisco Traffic Anomaly Detector обработва целия входящ трафик в защитения сегмент. Детекторът е свързан към SPAN порта на рутер (превключвател) или с помощта на сплитер. Това позволява непрекъснат анализ на целия входящ трафик. Този анализ включва сравняване на текущото поведение на трафика с базовите прагове за идентифициране на ненормално поведение на трафика. Ако се открие ненормално поведение и изглежда като възможна атака, детекторът изпраща сигнал до Cisco Guard да започне да анализира и елиминира атаката.

Cisco Guard е скрубер за трафик, който има способността да идентифицира и блокира злонамерен трафик. Cisco Guard се основава на архитектурата на уникален патентован процес на мултивифициране (MVP), който използва усъвършенствани ресурси за откриване на аномалии за динамично прилагане на интегрирани техники за идентификация на източника и анти-подправяне, съчетано с високоефективно филтриране за идентифициране и блокиране на специфични потоци от трафик на атака, като същевременно по този начин, осигурете преминаването на надеждни транзакции. В комбинация с интуитивен графичен интерфейс и мощна многопластова система за наблюдение и отчитане, която осигурява пълен преглед на всички действия, придружаващи атака, Cisco Guard осигурява най-пълната защита срещу DDoS атаки.

Cisco DDoS Multidevice Manager е незадължителен софтуер, който предоставя изчерпателен и консолидиран изглед на вашата инфраструктура за смекчаване на DDoS. Позволява ви да извършвате анализ в реално време въз основа на събрани статистически данни, да активирате функциите за откриване на аномалии и смекчаване на атаките, да обработвате всички събития от всички устройства и да записвате в един дневник.

MVP архитектура Cisco Systems

Този процес се състои от пет модула или стъпки:

  • Филтриране - В този модул са включени статични и динамични филтри. Статични филтри, които блокират атакуващия трафик, без да пропускат целите му, могат да бъдат конфигурирани от потребителя. Cisco System доставя тези филтри предварително конфигурирани с параметри по подразбиране. Динамичните филтри се налагат от други модули въз основа на наблюдавано поведение и подробен анализ на трафика. В същото време се генерират актуализации в реално време, които повишават нивото на проверка, приложена към подозрителни потоци, или блокират източници и потоци, които според резултатите от проверката са признати за злонамерени.
  • Разпознаване на аномалии - този модул наблюдава целия трафик, който не е бил спрян от модулите за филтриране и активна проверка, и сравнява този трафик с основното поведение, записано за определен период от време. Отклоненията се наблюдават, за да се посочи източникът на злонамерени пакети. Основният принцип, на който се основава работата на този модул, е следният: моделите на поведение на трафика, идващ от източника, където се намира "атакуващият", се различават значително от поведението на надеждни източници при нормална работа. Този принцип се използва за идентифициране на източника и вида на атаката, както и за формулиране на препоръки за блокиране на трафика или извършване на по-подробен анализ на подозрителна информация.
  • Анализ на протокола - този модул обработва трафика, който е бил установен като подозрителен на етапа на разпознаване на аномалия. Предизвикателството е да се идентифицират специфични за приложение атаки, като дефектни атаки на HTTP връзка. След това се идентифицират всички транзакции в протокола, които имат аномалии в поведението, по-специално непълни транзакции или грешки.
  • Нормиране - Този модул съдържа други отговори. Той предотвратява потоците с поведенчески аномалии да запълват целта по време на по-подробно наблюдение. Този модул генерира трафик за всеки конкретен поток, прилагайки подходящи мерки към източници, които консумират прекомерно количество ресурси (например по отношение на честотна лента или брой връзки) за твърде дълго.

Типично решение за откриване и премахване на DDoS атаки в компания или хостинг център за данни

Възможните насоки за развитие на внедрената система могат да бъдат както следва: интегриране на решението със защитна стена, други средства за защита и последваща модернизация на решението.

Описание на работата на системата за защита от DDoS

По-долу е дадено последователно описание на етапите на системата за защита DDoS:

1-ви етап. "Преподаване" на контролни характеристики

В началото на своята работа компонентите на системата за защита DDoS трябва да изграждат контролни характеристики за нормалната структура на трафика в определена зона, въз основа на които би било възможно да се определят аномалиите на структурата на трафика по време на DDoS атака.

2-ри етап. Откриване

След завършване на учебния процес, Cisco Traffic Anomaly Detector се превключва в режим на наблюдение на трафика, преминаващ към мрежовата зона на компанията. Cisco Traffic Anomaly Detector непрекъснато следи трафика на огледален канал. Когато се открие ненормален трафик според политиките на детектора (т.е. трафик, който надвишава определени прагове), Cisco Traffic Anomaly Detector изпраща известие до администратора на защитата. Ако алармата е удостоверена, администраторът ръчно активира Cisco Guard и поставя атакуваната зона в режим на защита. Също така е възможно да конфигурирате Cisco Traffic Anomaly Detector за автоматично активиране на Cisco Guard веднага след откриване на атака.

3-ти етап. Маршрутизиране на трафика

4-ти етап. "Почистване"

Cisco Guard анализира аномалии на трафика, който влиза и пренасочва към зона - търси аномалии, които представляват нарушение на праговете на правилата от потока. Когато такова нарушение бъде открито, Cisco Guard анализира резултатите и създава набор от филтри, които непрекъснато се адаптират в зависимост от трафика и вида DDoS атака в зоната. Филтрите извършват обширна проверка на много нива, за да идентифицират и отделят лоши потоци от легитимни транзакции. След преминаване на процеса на почистване, почистеният трафик се връща в зоната и се насочва към първоначалната дестинация.

5-ти етап. Обратен трафик

Изчистеният трафик с Cisco Guard се връща в зоната. Налични са различни методи в зависимост от това на кой слой е изградена топологията на скелета (слой 2 или слой 3). Те гарантират, че върнатият трафик не се връща към Cisco Guard. Примерите за тези техники включват маршрутизиране въз основа на политики (PBR), виртуално маршрутизиране/превключване (VRF), схеми за капсулиране на GRE и базирани на MPLS VPN.

6-ти етап. Завършване на почистването на трафика

Заключение:

Технологията и архитектурата на Cisco System са иновативен подход с усъвършенствани механизми за анализ на трафика, който предотвратява DDoS атаките от нарушаване на бизнес процесите. В допълнение към простото филтриране, решението на Cisco осигурява пречистване на данни за премахване на злонамерен трафик и предаване на легитимни пакети, осигурявайки непрекъсната непрекъснатост на бизнеса и непрекъснатост на бизнеса.

За да поръчате Ddos атака, следвайте връзката: > .