Защитить удаленку (и не только) с помощью Netflow

DDoS-атаке может подвергнуться любой ресурс. Чаще всего атаки носят целенаправленный характер — злоумышленники могут пытаться положить сайт с какой-то информацией (разного рода СМИ и сайты с ТВ-трансляции сталкивались с подобным, и не раз). Предприятия торговли и банки тоже страдают от этого, для них простой систем довольно критичен, люди привыкли заходить в приложение банка или интернет-магазина и в пару кликов переводить деньги или покупать товары. Поэтому здесь и очевидные финансовые потери, и снижение лояльности клиента сразу.

Если бы каждый DDoS выглядел так. Но нетЕсли бы каждый DDoS выглядел так. Но нет

Если даже у вас средний бизнес, а не магазин с тысячами товаров, DDoS все равно штука не очень приятная, которую хорошо бы предотвращать. Да и, кроме DDoS, общий уровень информационной безопасности стоит поддерживать. Особенно сейчас, когда многие компании перешли на удаленку, и часть сотрудников работает не только с корпоративных ноутбуков, но и с личных.

Мы в Билайн.Бизнес начинаем предоставлять услугу под названием «Защита от DDoS атак NetFlow». В этом посте мы расскажем, что это и как работает.

Мы решили сделать защиту не только качественной, но и доступной. В 2018 году (помните, было время, когда на футболе были зрители?) решение, обеспечивающее нашу защиту от DDoS на время чемпионата мира по футболу, было построено на платформе анализа сети и выявления аномалий компании Genie Networks. Сегодня де-факто почти вся Азия использует Genie.

Сейчас же мы предоставляем это решение для остальных. 

Как понятно из названия, мы собираем по протоколу NetFlow данные о трафике клиентов на сетевом уровне. Базово архитектура NetFLow описывается вот такой схемой (Википедия).

d4d560dadc3fe458d3045b0d0953ea28

Если коротко, то услуга работает вот так:

  1. Клиент подключается к нам, система собирает и подробно анализировать данные о его трафике по протоколу NetFlow.

  2. У NetFlow есть анализатор (вот та прекрасная иконка ПК на картинке выше). На основе его анализа генерируется сообщение нашему Центру Очистки — зафиксирована атака. Сразу после этого маршрутизатору приходит команда о переключении клиентского трафика на Центр Очистки (у нас собственный центр на Radware, это мировой лидер в области обеспечения информационной безопасности). Не позднее чем через 18 секунд после этого начинается отражение атаки.

  3. Просто отразить атаку — мало. Поэтому после этого мы формируем для конкретного клиента политику трафика, всё это тоже на основании данных из Центра Очистки.

  4. Бывает, что на предыдущем этапе по каким-то причинам не получается определить профиль трафика в автоматическом режиме. В таком случае наши технологические партнеры в области информационной безопасности («ЭКОН Технологии») настраивают этот профиль вручную, и в случае необходимости переключают трафик клиента на наш Центр Очистки тоже вручную.

  5. После прохождения Центра Очистки на ресурсы клиента направляется правильный трафик, уже без элементов DDoS.

Допустим, на ресурсы клиента начинают DDoS-атаку. Если её значение составляет примерно 80–95% от пропускной возможности сети клиента, то да, с защитой справится и установленное нами оборудование. Но если злобные дудосеры решают поднапрячься и забивают почти всю клиентскую полосу, более 80–95%, то здесь в автоматическом режиме мы переводим трафик клиента на наш Центр Очистки.

А теперь подробнее.

Что внутри

Систему защиты мы строили на оборудовании Genie Networks, у них отличная статистика как в плане ложных срабатываний, так и пропущенных угроз: и там, и там не более 1%. Да и, как мы писали чуть выше, такая связка отлично показала себя во время ЧМ по футболу 2018. Использование Genie Network в качестве анализатора трафика, а Radware — для работы самого центра очистки позволяет сделать решение ощутимо доступнее по цене, при этом не потеряв в защите.

Собственный же Центр Очистки Билайн работает на двух DefensePro.

За распространение more-specific маршрутов клиентских сетей у нас отвечает Cisco 3750 — между ней и Route-Reflector настроена BGP-сессия, в которую Cisco и отдаёт more-specific префиксы. Эти префиксы являются основанием, на основе которых клиентский трафик перенаправляется в Центр Очистки, а потом — на ASR9010, где от Cisco 3750 запрещается принимать more-specific. Затем ASR9010 помещает очищенный клиентский трафик в MPLS и отправляет его на DDoS-PE, где терминируется клиент.

В чем поможет «Защита от DDoS-атак NetFlow»

Как минимум, справиться со следующим списком неприятностей:

  • Memcached Attack

  • Sentinel Amplification Attack

  • RIPV1 Amplification Attack

  • Microsoft SQL Resolution Service Amplification

  • Portmapper Amplification

  • Steam Amplification

  • Quake Network Protocol

  • QOTD Amplification

  • NetBIOS Amplification

  • TFTP Amplification

  • SNMP Amplification

  • Chargen Amplification

  • HTTP Flooding

  • XMAS- DDoS

  • SSDP Amplification Attack

  • NTP Amplification

  • TCP FIN Flooding

  • TCP SYN-RST Flooding

  • TCP SYN-FIN Flooding

  • Garbage Mail

  • Trojan.Heloag

  • DNS Amplification

  • TCP Port Scan

  • Host TCP Traffic

  • IPv4 Dark IP

Можно настроить и быстрый алертинг — ответственный специалист сразу же получит уведомление о начавшейся DDoS-атаке с помощью emal, СМС или телефонного звонка.

Анализ уровня атаки происходит за полминуты: специфика работы Radware в том, что оборудование обновляет статистику раз в 15 секунд, поэтому, чтобы точно детектировать превышение полосы канала, нужно два таких срабатывания.

Кроме основного способа подключения, есть и другие: ведь один клиент может поставить оборудование у себя, а другой по ряду причин — нет.

Как можно подключить

Существует 4 варианта подключения этой услуги, в зависимости от того, какие функции вам нужны:

 1. Клиент приобретает или арендует у нас оборудование очистки трафика. При выборе этого варианта проводится только сама очистка трафика, без отражения DDoS-атак. Формирование необходимых политик безопасности и контроль обучения осуществляют наши специалисты.

 2. То же самое, что и в первом варианте, но добавочно — с защитой от DDoS, в случае атаки трафик клиента будет переключен на наш центр очистки трафика.

 3. Очистка трафика производится с помощью оборудования, которое уже есть у клиента. Если вдруг DDoS, то переключаем трафик на наш центр очистки. Важно: в этом случае формирование политик безопасности и контроль обучения — задача и зона ответственности клиента.

 4. Детектирование атак с помощью анализа Netflow. Здесь трафик не проходит 24×7 через оборудование очистки, он переключается только на основе анализа Netflow. При переключении трафика на центр очистки детектируются и отражаются атаки на всех уровнях модели OSI, включая атаки на уровне приложения. Исключение пока составляют атаки внутри протоколов IPSEC, SSSL/TLS и подобное.

Где подключить

Мы предоставляем это решение не только текущим клиентам, у которых уже подключен интернет от Билайн, но и тем, кто предпочитает пользоваться услугами другого оператора связи.

Почитать подробнее и подключиться можно на странице продукта.

© Habrahabr.ru