189.54K
Категория: ИнтернетИнтернет

DDoS Protection

1.

DDoS Protection
DDOS - DISTRIBUTED DENIAL OF SERVICE

2.

Способы защиты от DDoS в сети GlobalNet
Blackhole community — специальная «метка» в рамках протокола BGP, которая добавляется клиентом к атакуемому префиксу, чтобы роутеры GlobalNet
отбрасывали весь трафик, направленный к клиенту.
BGP FlowSpec — расширение к протоколу BGP, которое позволяет клиенту, при условии дополнительных настроек на BGP сессии, отправлять специальный
тип сообщений BGP с указанием для роутера GlobalNet отбрасывать трафик и/или уменьшать полосу пропускания для конкретного префикса и tcp/udp
порта. В данном случае клиент должен сам инициировать отправку правил на роутеры GlobalNet.
Arbor FlowSpec — функционал тот же, что и у BGP FlowSpec, однако ПО Arbor самостоятельно детектирует атаки на клиентов и создает правила FlowSpec
Arbor TMS — ПО Арбор самостоятельно детектирует атаки на клиентов и, в случае обнаружения, «заворачивает» трафик на атакуемые префиксы в систему
очистки, на которой, согласно клиентскому профилю, нелегитимный трафик отбрасывается, а легитимный возвращается клиенту. Для организации
сервиса необходима доп. BGP сессия с клиентом.

3.

Особенности Blackhole community
Полностью блокируется весь трафик на префикс клиента с Blackhole
community
Бесплатная услуга для клиентов
Нет необходимости в дополнительных настройках
Клиент самостоятельно инициирует отправку префиксов с blackhole
community в случае атаки

4.

Особенности BGP/Arbor FlowSpec
Блокируется трафик на определенные tcp/udp порты клиентского префикса,
затрагиваются не все сервисы клиента при блокировке (Пример: в случае
атаки на веб-сервер, клиент может создать правило, которое заставит роутер
GlobalNet отбрасывать трафик только на TCP:80/443, mail сервер и ftp будут
работать)
Есть возможность использовать rate limit вместо полной блокировки
Для организации сервиса нужно произвести доп. конфигурацию BGP-сессии
Для варианта с Arbor Flowspec доп. конфигурация BGP-сессии не нужна,
однако необходима конфигурация на ПО Arbor.
В классическом варианте клиент сам инициирует отправку правил на роутер
GlobalNet для отражения атаки, в варианте с Arbor-ом происходит
автоматический мониторинг и создание правил согласно профайлу клиента.

5.

Особенности Arbor TMS
В случае атаки трафик клиента не отбрасывается, а «заворачивается» на
оборудование TMS, которое отбрасывает нелегитимный трафик, а полезный трафик
возвращает клиенту согласно преднастроенному профилю.
В случае атаки может вырастать задержка до клиента в том случае, если он
подключен не к тому же самому роутеру, где установлено оборудование TMS.
Атака детектируется средствами Arbor, клиенту ничего не нужно делать для
предотвращения атаки
Необходимо преднастроить дополнительную BGP-сессию с клиентом для
возвращения легитимного трафика и внести конфигурацию на ПО Arbor.

6.

Пример схемы Arbor TMS
Итак, по пунктам:
1. Клиент поднимает с нами две BGP сессии: первую в Global VRF,
вторую в vrf offRamp.
Через первую трафик маршрутизируется в обычных условиях, через
вторую клиент будет получать очищенный трафик в случае атаки.
2. Начинается DDoS атака на префиксы клиента.
3. Arbor SightLine детектирует атаку и создает alert, на основании
которого создается правило “смягчения“ трафика. На ASR анонсируется
атакуемый /32 префикс с некст-хопом TMS
4. Через специально созданный BE (в данном случае с VSM500 нет
никаких физических кабелей/проводов, все происходит внутри шасси
ASR9006) вредоносный трафик отдается на TMS и там очищается
согласно преднастроенному профайлу
5. Через тот же самый BE очищенный трафик возвращается на ASR но
уже в vrf offRamp. В этом vrf нам известны все клиентские префиксы,
так как он нам их заранее проанонсировал. В рамках этого vrf к клиенту
возвращается очищенный трафик.
English     Русский Правила