Napad, tokom kojih korisnici ne mogu pristupiti bilo kojim drugim resursima, nazivaju se napad DDOS-om ili "neuspjeh u održavanju". Glavna karakteristika takvih hakerskih napada je istovremena zahtjeva velikog broja računara širom svijeta, a oni su usmjereni uglavnom na poslužitelje dobro zaštićenih kompanija ili vladinih organizacija, manje često - na jedinstvenim negovornim resursima.

Računar koji je zaražen postaje sličnost "zombija" i hakera koji koriste nekoliko stotina, a potom desetine hiljada takvih "zombija", uzrokuju kvar resursa (odbijanje za održavanje).

Razlozi za napad DDO-a mogu biti puno. Pokušajmo odrediti najpopularnije, a istovremeno će odgovoriti na pitanja: "DDOS napad - šta je, kako zaštititi sebe, kakve su njegove posljedice i koja sredstva izvedena?"

Takmičenje

Internet je odavno bio izvor poslovnih ideja, implementacija velikih projekata i drugih načina za zaradu vrlo velikog novca, tako da se napad DDO-a može izvršiti po narudžbi. To je, ako organizacija želi da ga ukloni u slučaju konkurenta, onda je samo kontaktirati Khakuru (ili u grupu takvih) jednostavnim zadatkom - da parališu rad neželjene kompanije putem internetskih resursa (DDOS napad na server ili web mjesto).

Ovisno o specifičnim svrhama i zadacima, ovaj napad je uspostavljen za određeni period i korištenje odgovarajuće snage.

Prevara

Često se napad DDOS na web mjestu organiziran na inicijativu hakera kako bi blokirali sustav i pristupite ličnim ili drugim važnim izvorima. Nakon što su napadači paralizirani sustavom, oni mogu zahtijevati neki iznos novca za vraćanje performansi napadnih resursa.

Mnogi internetski poduzetnici pristaju na proširene uvjete, opravdavajući svoje postupke dowstara u radu i primanjem kolosalnih gubitaka - lakše je platiti manji iznos kao prevarant čovjeka nego da izgubi značajan profit za svaki dan zastoja.

Zabava

Mnogi su korisnici samo radi radoznalosti ili zabave zainteresirani za: "DDOS napad - šta je to i kako to učiniti?" Stoga često postoje slučajevi kada početni uljezi za zabavu i uzorke organizuju takve napade na slučajne resurse.

Zajedno s razlozima, DDOS napadi imaju svoje znakove klasifikacije.

1. Širina pojasa. Danas je gotovo svaka računarsko mjesto opremljena ili lokalna mrežaIli jednostavno povezani na Internet. Stoga, često postoje slučajevi mrežne poplave - veliki broj zahtjeva s pogrešno formiranim i besmislenim sustavom na određene resurse ili opremu kako bi se naknadno odbijalo ili neuspjeh. hard diskovi, memorija itd.).
2. Iscrpljujući sistem. Takav DDOS napad na SAMP poslužitelj vrši se za snimanje fizička memorija, Vrijeme prerađivača i drugi sistemski resursi, zbog nedostatka napada koji napadnuti objekt jednostavno nije moguće u potpunosti raditi.
3. Hlađenje. Beskonačni test podataka i drugi ciklusi koji djeluju "u krugu" prisiljavaju predmet da potroši puno resursa, čime se pamti na punu iscrpljenost.
4. Lažni napadi. Takva je organizacija usmjerena na lažni odgovor sustava zaštite, što na kraju dovodi do blokiranja određenih resursa.
5. Http protokol. Hakeri šalju nasilne HTTP pakete sa posebnom enkripcijom, resurs, naravno, ne vidi da je na njemu organizovan DDOS napad, program za poslužitelj, obavljajući svoj rad, na taj način uzimanje propusne širine žrtve, koja vodi ponovo, na neuspjeh usluga.
6. Smourf napad. Ovo je jedna od najopasnijih vrsta. Haker preko kanala emitovanja šalje žrtvu lažni ICMP paket, gdje se adresa žrtve zamjenjuje napadača, a svi čvorovi počinju slati odgovor na zahtjev za ping. Ovaj DDOS napad je program usmjeren na upotrebu velike mreže, tj. Zahtjev tretiran sa 100 računara bit će 100 puta ojačani.
7. UDP-Flood. Ova vrsta napada je nešto slično prethodnom, ali umjesto ICMP paketa, uljezi koriste UDP pakete. Suština ove metode je zamijeniti IP adresu žrtve na hakersku adresu i u potpunosti preuzme propusnost koja će također dovesti do kvara sistema.
8. Syn-Flood.. Napadači pokušavaju istovremeno pokrenuti veliki broj TCP veza putem syn kanala s pogrešnim ili nisu dozvoljeni obrnuta adresa. Nakon nekoliko takvih pokušaja većine operativni sistemi U redu, problem je postavljen i tek nakon Enona broja pokušaja zatvaranja. Syn Channect Stream je prilično velik, a uskoro, nakon raznih takvih pokušaja, srž žrtve odbija otvoriti bilo koju novu vezu blokiranjem rada cijele mreže.
9. "Teški paketi". Ova vrsta daje odgovor na pitanje: "Šta je DDOS-Attack server?" Hakeri šalju pakete korisničkom poslužitelju, ali zasićenost propusne širine ne dolazi, akcija je usmjerena samo za vrijeme prerađivača. Kao rezultat toga, takvi paketi vode do neuspjeha u sistemu, a zauzvrat, na svoje resurse.
10. Datoteke dnevnika. Ako sustav navoda i rotacije imaju golu torbu, napadači mogu slati velike u količini paketa, zauzimajući sav slobodni prostor na krutim biranjem poslužitelja.
11. Programski kod. Hakeri sa opsežnim iskustvom mogu u potpunosti istražiti strukturu servera žrtve i pokrenuti posebne algoritme (DDOS napad - Program). Takvi su napadi uglavnom usmjereni na dobro zaštićene komercijalne projekte preduzeća i organizacija različitih sfera i regija. Napadači pronalaze šipke u programskom kodu i pokreću nevažeće upute ili druge izvanredne algoritme koji vode na hitno zaustavljanje sistema ili usluge.

DDOS napad: šta je to i kako zaštititi

Metode zaštite od DDOS-napada Mnogo je. I svi se mogu podijeliti u četiri dijela: pasivni, aktivni, reakcionarni i preventivni. Ono što ćemo više razgovarati.

Upozorenje

Ovdje morate spriječiti izravno sami razloge koji bi mogli izazvati napad DDOS-a. Ova vrsta može se pripisati nekoj osobnoj neprijateljstvu, pravnim neslaganjima, konkurenciji i drugim faktorima koji provociraju "povećanu" pažnju vama, vašem poslu itd.

Ako na vrijeme odgovori na ove faktore i donose odgovarajuće zaključke, mogu se izbjeći mnogo neugodnih situacija. Ova metoda se može pripisati problemima nego na tehničku stranu problema.

Mjere odgovora

Ako napadaju na vašim resursima, potrebno je pronaći izvor svojih problema - kupca ili umjetnika, koristeći i pravne i tehničke poluge izloženosti. Neke firme pružaju usluge za pronalaženje uljeza na tehnički način. Na osnovu kvalifikacija stručnjaka koji se bave ovim pitanjem, ne samo haker koji ne vrši napad DDOS-a, već i samog direktno.

Zaštita softvera

Neki proizvođači hardvera i softvera zajedno sa svojim proizvodima mogu ponuditi prilično efikasna rješenja, a napad DDOS na web mjestu će se zaustaviti hranjenjem. Odvojeni mali poslužitelj koji ima za cilj suprotstavljanje malim i srednjim DDO-ovim napadima može biti tehnički branitelj.

Ova odluka je savršena za mala i srednja preduzeća. Za veće kompanije, preduzeća i vladine agencije, postoje kompletni kompleksi hardvera za borbu protiv DDOS napada, koji, zajedno sa visokom cenom, imaju odlične zaštitne karakteristike.

Filtracija

Zaključavanje i temeljno filtriranje dolaznog prometa omogućit će ne samo da bi se smanjila vjerojatnost napada. U nekim slučajevima, napad DDOS na poslužitelju može se u potpunosti isključiti.

Možete odabrati dva glavna načina za filtriranje prometa - vatrozida i punu usmjeravanje na popisima.

Filtriranje pomoću lista (ACL) omogućava vam da smanjite sekundarne protokole bez ometanja rada TCP-a i bez smanjenja brzine pristupa zaštićenom resursu. Međutim, ako hakeri koriste botnete ili visokofrekventni zahtjeviT. ova metoda Bit će neefikasno.

Mnogo je bolje zaštititi od napada DDOS-a, ali njihov je jedini minus da su namijenjeni samo privatnim i neprofitnim mrežama.

Ogledalo

Suština ove metode je preusmjeravanje cjelokupnog dolaznog prometa napadača natrag. To možete učiniti, imati moćne servere i kompetentne stručnjake u prisustvu koji neće samo preusmjeriti promet, već će se moći suočiti s opremom napadača.

Metoda ne odgovara ako postoje pogreške u sistemskim uslugama, programskim kodovima i drugim mrežnim aplikacijama.

Potražite ranjivosti

Ova vrsta zaštite ima za cilj ispravljanje eksploata, greške u rješavanju problema u web aplikacijama i sistemima, kao i ostale usluge odgovorne za mrežni promet. Metoda je beskorisna od napada poplava koji su usmjereni na podatke o ranjivosti.

Moderni resursi

100% zaštita garantira ovu metodu ne može. Ali omogućava vam efikasnije obavljanje drugih događaja (ili složenih) kako biste spriječili napade DDO-a.

Distribucija sistema i resursa

Dupliranje resursa i distribucije sistema omogućit će korisnicima da rade sa vašim podacima, čak i ako u ovom trenutku napad DDOS-a vrši na vašem poslužitelju. Za distribuciju možete koristiti razne poslužitelj ili mrežnu opremu, a preporučuje se i dijeljenje usluga fizički drugačije u različitim duplikatima (daturnim centrima).

Takva odbrambena metoda je najefikasnija danas, pod uvjetom da je stvoren tačan arhitektonski dizajn.

Utaja

Glavna karakteristika ove metode je izlaz i odvajanje napadanog objekta (ime domene ili IP adrese), tj. Svi radni resursi na istom mjestu moraju se podijeliti i postaviti na mrežnu adrese treće strane, ili čak na teritoriji još jedna država. To će vam omogućiti da preživite bilo koji napad i zadržite unutrašnju IT strukturu.

Usluge zaštite od ddos-napada

Nakon što je sve rekao o takvom napadu, poput napada DDOS-a (šta je to i kako se nositi s tim), konačno možemo dati jedan dobar savjet. Mnoge velike organizacije nude svoje usluge za sprečavanje i sprečavanje takvih napada. Uglavnom takve kompanije koriste čitav niz mjera i različitih mehanizama koji vam omogućuju zaštitu vašeg poslovanja iz većine DDOS napada. Stručnjaci i poznavači obavljaju tamo, dakle, ako vam je resurs skupi, opcija je optimalna (iako) žalba jednoj od takvih kompanija.

Kako izvesti DDOS napad vlastitim rukama

Svjestan je, znači naoružani - pravi princip. Ali zapamtite da je namjerna organizacija DDOS napada isključivo ili grupa osoba - krivično djelo, stoga se ovaj materijal predviđen isključivo za upoznavanje.

Američki IT prijetnji radnici razvili su program za testiranje stabilnosti opterećenja servera i mogućnost DDOS-napada napadača sa naknadnim eliminacijom ovog napada.

Naravno, "vrući" umovi pretvorili su ovo oružje protiv samih programera i protiv onoga što su se borili. Naziv koda proizvoda - Loic. Ovaj program je u slobodnom pristupu i u principu nije zabranjen zakonom.

Sučelje i funkcionalnost programa je sasvim jednostavna, može iskoristiti sve zainteresirane za DDOS napad.

Kako sve učiniti sami? U potezima sučelja dovoljno je unijeti IP žrtve, a zatim postavite TCP i UDP streams i broj zahtjeva. Voila - Nakon pritiska na kratkog gumba, napad je počeo!

Svi ozbiljni resursi prirodno neće patiti od ovog softvera, ali mali može doživjeti neke probleme.

Laboratorija QRATOR-a, specijalizirani za suzbijanje DDOS napada i pristupanjem internetskim resursima, zabilježila je činjenicu brzih DDOS napada na najveće web resurse koristeći tehnike pojačanja MEMCACHE (softver koji implementira uslugu keširanja podataka u ram memorija Na osnovu hash tabele).

Od 23. februara do 27., 2018. val memcache valjao je širom Europe pojačanih DDOS napada. Tehnika takvog napada je slušanje UDP prometnih napadača podložne instalaciji zadanih memcache parametara, odnosno UDP poplava se zapravo koristi - slanje skupa lažnih UDP paketa po jedinici vremena iz širokog spektra IP-a Adrese.

Memcache Sigurnosni problemi poznati su barem od 2014. godine, međutim, ova ranjivost se posebno jarko očituje: u noći 25. do 26. februara, stručnjaci za QRATOR Labs promatrali su niz memcache pojačanih DDOS napada na internetu, uključujući napade na Rusija najveći mrežni resursi.

U 2017. godini, grupa istraživača iz kineskog Okee tima govorila je o mogućnosti organiziranja takvih napada, ukazujući na njihovu potencijalno destruktivnu moć.

U posljednjih nekoliko dana mnogi su izvori potvrdili činjenicu napada pojačanim odgovorima iz Memcache resursa, sa napadima odgovora iz DNS-a i NTP-a. Izvori ovih spoofrednih napada bili su glavni ovh dobavljač i veliki broj manjih internetskih pružatelja usluga i hoš.

Jedan od kupaca kompanije QRATOR Labs - sistem plaćanja Qiwi potvrđuje činjenicu uspješnog neutraliziranog napada napadnog prometa traka od 480 Gbps-a na svojim resursima iz kompromitovanih pojačala Memcache.

"Moderne tehnike za implementaciju napada DDO-a ne stoji mirno. Sve više, popravljamo pojavu novih "Broysa" u infrastrukturi Interneta, koji napadači uspješno koriste za implementaciju napada. Napadi pomoću Memcachea, od kojih je brzina dostigla nekoliko stotina GB / s, - Komentari na generalni direktor i osnivač QRATOR Labs Alexander Lyamin. - Ranjivi Memcache resursi na Internetu ogroman iznos, a jako preporučujemo tehničke stručnjake da naprave ispravnu konfiguraciju memcachea, a ne zaboravljajući u zadane instalacije. To će pomoći u izbjegavanju cjelokupnog uDP prometa poslanog na server i smanji vjerojatnost DDOS-napadima. "

O qrator laboratorijama

Labs QRATOR - broj jedan u DDOS suzbijanja u Rusiji (prema IDC Rusiji Anti-DDOS tržište Anti-DDOS-a 2016-2020 Prognoza i 2015 analiza). Kompanija je osnovana u 2009. godini i pruža usluge da se u kompleksu WAF (Web Application Firewall tehnologiju organizirala je na napadima DDOS-a u kompleksu s WAF (Web Application Firewall). Za efikasno suzbijanje napada DDOS-a, laboratoriji QRATOR-a koristi vlastiti globalni podaci o globalnom nadzoru QRATOR.RADAR-a. Mreža filtriranja QRATOR-a izgrađena je na čvorovima koji se nalaze u SAD-u, Rusiji, EU i Aziji, zajedno sa vlastitim algoritmima filtriranja, konkurentna je prednost kompanije.

Ova organizacija, pored registracije imena domena u zoni. Takođe pružaju glavnu vezu turskim univerzitetima. Dostignuće anonimnog optužnice turske vodstvo u podršci ISIL-u preuzeli su odgovornost.

Prvi znakovi DDO-a očitovani su ujutro 14. decembra, podne, pet servera NIC.TR predali su se pod navlakom prometa smeća sa kapacitetom do 40 gb / s. Problem je također utjecao na središte zrelog, pružajući alternativnu niku.tr infrastrukturu. Predstavnici zrela primijetili su da je napad modificiran na takav način da zaobiđe zrelu zaštitu.

Veliki DDOS napadi postaju najviše na efikasan način Očistite rad web usluga - troškovi napada se neprestano smanjuje, što vam omogućava da povećate moć: u samo dvije godine prosječna snaga napada DDOS-a često je porasla i 8 GB / s. Što se tiče prosječnih vrijednosti napada, nacionalna zona domene Turske izgleda Vrhovno, ali stručnjaci naglašavaju da će 400 GB / S nivoa DDO-a uskoro postati norma.

Jedinstvenost turskog napada je da su napadači odabrali pravi cilj: koncentrirajući se na relativno mali broj IP adresa, oni su mogli praktično propadati infrastrukturu cijele zemlje koristeći samo napad od 40 gigabita.

Turski nacionalni centar za cyberincedentents blokirao je sav promet koji ulazi u NIC.Tr servere iz drugih zemalja, zbog čega su sva 400 hiljada turskih mjesta postala nepristupačna, a sve poruke e-pošta vraćen pošiljateljima. Kasnije je centar odlučio promijeniti taktiku, provoditi selektivno blokiranje sumnjivih IP adresa. DNS serveri domena u tom području. Pretpostavljaju se za distribuciju zahtjeva između javnih i privatnih poslužitelja, koji su pomogli turskim internetskim pružateljima superonoininu i Vodafone.

Napadnuti domene vraćene su putem interneta istog dana, ali mnogo web lokacija i poštanske usluge Još nekoliko dana radilo je s prekidima. Ne samo lokalne kompanije i vladine organizacije povrijeđene, već i mnoge nacionalne web resurse koje odaberu naziv domene u zoni.tr; U agregatu je oko 400 hiljada web stranica, od čega je 75% korporativnih. Turska nacionalna domena također koristi obrazovne institucije, općine i vojsku.

Dok "anonimni" nisu dali izjavu, mnogi vinile u DDOS napada Rusa - zbog napete odnose između Turske i Rusije. U jednom trenutku, ruski hakeri iz sličnih razloga osumnjičeni su za umiješanost u okruženju u velikim cyber napadima na Estoniju (2007), Gruzija (2008) i Ukrajina (2014). Neki su stručnjaci pronašli turski DDOS odgovor na Ruse na DDOS napad turskih cyberropa na ruskoj vesti "Satelit".

Anonimna deklaracija lišila je hipotezu "ruskog staza" temelja. Khakktivisti također prijete da će napasti turske zračne luke, banke, servere vladinih struktura i vojnih organizacija, ako Turska više neće prestati pomagati Igilu.

Nestabilna ekonomska situacija u posljednje dvije godine dovela je do značajnog povećanja nivoa konkurentske borbe na tržištu, kao rezultat toga što je popularnost povećala DDOS-napadi - efektivna metoda Primjena ekonomske štete.

U 2016. godini broj komercijalnih naloga za organizaciju DDOS-napada nekoliko puta se povećao. Masivni napadi DDO-a prelazili su s područja poen političkih utjecaja, kao što je to, na primjer, u 2014. u masovnom poslovnom segmentu. Glavni zadatak napadača je što je brže moguće i uz minimalne troškove da bi resurs učinio nepristupačan da bi se dobio novac od takmičara za to, kako bi se osiguralo da se uvjeti za iznuđivanje itd. DDOS napade koriste sve aktivnije, što poticaje pretraživanje za sve veće alate za zaštitu poslovanja.

Istovremeno, broj napada i dalje raste, čak i pored uočljivog uspjeha u borbi protiv DDosa. Prema laboratoriji QRATOR-a, u 2015. godini iznos DDOS napada porastao je za 100%. I nije iznenađujuće, jer se njihov trošak smanjen na oko 5 dolara na sat, a njihovi alati za provedbu su išli na masovno crne tržište. Navodimo nekoliko osnovnih trendova distribuiranih napada usmjerenih na odbijanje održavanja, koje se projektuju za narednih nekoliko godina.

Napadajte UDP pojačanje

Napadi usmjereni na iscrpljivanje kapaciteta kanala uključuju UDP pojačanje. Takvi su incidenti bili najčešće u 2014. godini i postali su svijetli trend 2015. Međutim, njihov broj je već dostigao svoj vrhunac i postepeno ide u pad - resurs za obavljanje takvih napada nije samo konačan, već i naglo.

Pod pojačalom je namijenjeno javnoj UDP usluzi koja radi bez provjere autentičnosti, što se u malom upitu može poslati više od većeg odgovora. Napadajući, slanje takvih zahtjeva, zamjenjuje svoju IP adresu na IP adresu žrtve. Kao rezultat, obrnuti promet, mnogo većim prekoračenjem propuštenja napadača kanala, preusmjeren je na web resurs žrtve. Za nevažeće sudjelovanje u napadima, DNS, NTP-, SSDP i drugi serveri koriste se.

Napadi na web aplikacije na L7

Zbog smanjenja broja pojačala na prvi plan, organizacija napada na web aplikacije na nivou L7 koristeći klasične botnete. Kao što znate, Botnet je u mogućnosti izvesti mrežne napade na udaljene naredbe, a vlasnici zaraženih računara ne mogu sumnjati u to. Kao rezultat preopterećenja službi "smeće" zahtjeva za privlačenjem legitimnih korisnika, nema odgovora bez odgovora ili odgovori zahtijevaju nepotrebno od velike količine vremena.

Danas Botnete postaju inteligentniji. Prilikom organiziranja odgovarajućih napada, tehnologija punog preglednika je podržana, odnosno puna emulacija prilagođenog računara, pregledača, java skripta. Takve tehnike omogućuju vam da savršeno prikrivate napade L7. Ručno razlikovati bot od korisnika gotovo je nemoguće. Ovo zahtijeva sisteme pomoću strojno učenje tehnologije, zahvaljujući tome što se razina suzbijajućih napada povećava, mehanizmi su poboljšani, a tačnost ispitivanja raste.

BGP problemi

U 2016. godini pojavio se novi trend - napadi na infrastrukturu mreže, uključujući na osnovu upotrebe ranjivosti BGP-a. Problemi protokola za usmjeravanje BGP-a koji se temelje na cijelom internetu, poznati su već nekoliko godina, ali posljednjih godina sve više vode do ozbiljnih negativnih posljedica.

Mrežne anomalije povezane sa usmjeravanjem na nivou međudomenata mreže mogu utjecati na veliki broj domaćina, mreža, pa čak i globalne povezanosti i pristupačnosti interneta. Najfićiji vrsti problema je propuštanja rute - "curenje" rute, koja nastaje kao rezultat njegove najave u pogrešnom smjeru. Dok se BGP ranjivosti rijetko koriste namjerno: trošak organiziranja takvog napada su prilično visoki, a incidenti se uglavnom događaju zbog banalnih grešaka u mrežnim postavkama.

Međutim, posljednjih godina, ljestvica organiziranih kriminalnih grupa na Internetu značajno se povećala, prema pozivima QRATOR-a, napadi povezani sa BGP problemima bit će popularni u doglednoj budućnosti. Svijetli primjer je "otmica" IP adresa (otmica) poznatim hakirnim timom za cybergroup, izveden pod državnim nalogom: italijanska policija potrebna za kontrolu nekoliko računara, u vezi sa vlasnicima od kojih su poduzete istražne radnje.

IncidentiTCP.

Mrežni hrp TCP / IP sistema ima niz problema koji već u tekućoj godini bude posebno akutan. Da bi se održala rast aktivnog brzine, internetska infrastruktura mora se stalno ažurirati. Brzina fizičke veze s Internetom raste svaka nekoliko godina. Početkom 2000-ih. Standard je bio 1 Gbit / s, danas je najpopularnije fizičko sučelje 10Gbit / s. Međutim, masovno uvođenje novog standarda fizičkog spoja, 100 Gbit / s, koji stvara probleme sa zastarjelim TCP / IP protokolom, koji nije dizajniran za tako velike brzine.

Na primjer, postaje moguć u pitanju da odaberete TCP broj sekvence - jedinstveni numerički identifikator, koji omogućava (ili bolje rečeno, dozvoljeni) TCP / IP partneri da izvrše međusobnu provjeru autentičnosti u vrijeme instaliranja podataka o povezivanju i razmjeni podataka , uz održavanje njihovog naloga i integriteta. Pri brzini od 100 GB / S linije u datotekama dnevnika TCP poslužitelja o otvorenoj vezu i / ili podacima koji su poslali preko njega, ne osigurava da je fiksna IP adresa zaista instalirala i prenosila ove podatke. U skladu s tim, otvara mogućnost organiziranja novih razrednih napada, a efikasnost zaštitnog zida može značajno smanjiti.

TCP / IP ranjivosti privlače pažnju mnogih istraživača. Vjeruju da ćemo u 2016. čuti za "glasne" napade vezane za rad tih "rupa".

Blizinska budućnost

Danas se razvoj tehnologija i prijetnji ne pojavljuju na "klasičnom" spiralu, jer sustav nije zatvoren - postoji mnogo vanjskih faktora. Kao rezultat toga, dobije se spirala s širim amplitudom - diže se, složenost napada raste, a pokrivenost tehnologije značajno se širi. Napominjemo nekoliko faktora koji imaju ozbiljan utjecaj na razvoj sistema.

Glavni dio je definitivno - migracija na novi IPv6 transportni protokol. Na kraju 2015. godine, IPv4 protokol prepoznat je kao zastarjeli, a IPv6 dolazi u prvi plan, koji s njima donosi nove izazove: Sada svaki uređaj ima IP adresu, a svi se mogu direktno povezati jedni s drugima. Da, pojavljuju se nove preporuke kako završni uređaji trebaju raditi, ali kako će se industrija nositi sa svim tim, posebno telekom operateri, segment masovnog proizvoda i kineski dobavljači, otvoreno je pitanje. IPv6 radikalno mijenja pravila igre.

Drugi izazov je značajno povećanje mobilnih mreža, njihovih brzina i "izdržljivosti". Ako je mobilni Botnet stvorio probleme, prije svega operater samog komunikacije, kada 4G veza postaje brži od ožičenog interneta, mobilne mreže sa velikim brojem uređaja, uključujući kinesku proizvodnju, uključujući i kinesku proizvodnju, uključujući kinesku proizvodnju, uključujući kinesku proizvodnju, uključujući kinesku proizvodnju, uključujući kinesku proizvodnju, uključujući i kinesku proizvodnju za DDOS i hakerski napadi. A problemi nastaju ne samo u telekomunikacijskom operateru, već i između ostalih učesnika na tržištu.

Ozbiljna prijetnja je novi svijet interneta stvari. Pojavljuju se novi vektori napada, jer se za hakere otvoreni ogromni broj uređaja i upotreba bežične komunikacijske tehnologije za hakere uistinu neograničene perspektive. Svi uređaji povezani na Internet mogu potencijalno postati dio infrastrukture uljeza i biti uključeni u DDOS napade.

Nažalost, proizvođači svih vrsta kućanskih aparata povezanih s mrežom (kotlići, televizori, automobili, višestruke valute, vage, "pametne" utičnice, itd.) Ne osiguravaju uvijek pravilan nivo njihove zaštite. Često se starije verzije popularnih operativnih sistema koriste na takvim uređajima, a dobavljači ne brinu o njihovom redovnom ažuriranju - zamjenu na verzije u kojima se eliminiraju ranjivo. A ako je uređaj popularan i široko korišten, hakeri neće propustiti priliku za iskorištavanje ranjivosti.

Zdravičari iOT problema pojavili su se već u 2015. godini prema preliminarnim podacima, posljednji napad na Blizzard Entertainment izveden je pomoću uređaja IOT klase. Zlonamjerni kod je zabilježen, funkcionirao na modernim čajnim zabrinutim i žarulje. Zadatak hakera pojednostavljuje čipsete. Ne tako davno je pušten jeftin čipset namijenjen raznim opremom, što može "komunicirati" s Internetom. Dakle, napadači ne trebaju hakirati 100 hiljada prilagođenog firmvera - dovoljno je da se "razbije" jedan čipset i pristupa svim uređajima koji se temelje na njemu.

Predviđa se da su svi pametni telefoni na osnovu starijih android verzijesastojat će se od minimalne botneta. Sve "pametne" utičnice, hladnjaci i drugi uređaji. Nakon par godina čeka botnet kotlića, radionija i multicuroka. "Internet stvari" donosit će nam ne samo praktičnost i dodatne mogućnosti, već i puno problema. Kad će stvari u IOT-u imati mnogo i svaki PIN moći će poslati 10 bajtova, morati će se riješiti novi sigurnosni izazovi. I to bi trebalo biti pripremljeno danas.

Uvođenje

Odmah rezervirajte da sam, kada sam napisao ovaj pregled, prvo se fokusirao na publiku, demontirajući se u specifičnostima rada telekom operatera i njihovih mreža prenosa podataka. Ovaj članak opisuje osnovna načela zaštite od napada DDOS-a, povijest njihovog razvoja u posljednjem desetljeću i situacija je trenutno.

Šta je DDOS?

Vjerovatno o tome šta je DDOS napad, danas zna, ako ne, svaki "korisnik", a zatim u svakom slučaju - svaki "to". Ali nekoliko riječi treba reći.

DDOS napadi (distribuirani odbijanje usluge - Cluctions Cluction Clock Clucts - To su napadi na računarske sisteme (mrežne resurse ili komunikacijske kanale), čiji je cilj da ih učinim nepristupačnim za legitimnim korisnicima. DDOS napadi istovremeno se otpremaju prema određenom resursu velikog broja zahtjeva od jednog ili više računara koji se nalaze na Internetu. Ako će hiljade, desetina hiljada ili milioni računara istovremeno početi slati zahtjeve određenom poslužitelju (ili mrežnoj usluzi), neće izdržati poslužitelj ili nema dovoljno propusne propusnosti komunikacije na ovaj poslužitelj. U oba slučaja korisnici Interneta neće moći pristupiti poslužitelju napadnog servera, ili čak na sve servere i druge resurse povezane putem blokiranog komunikacijskog kanala.

Neke karakteristike DDOS napada

Protiv bilo koga i u koje svrhe su lansiranje DDOS-a?

DDOS napadi mogu se pokrenuti protiv bilo kojeg resursa predstavljenog na Internetu. Najveća šteta od DDOS-napada prima organizacije čije je posao izravno povezano sa Internetom - banke (pružanje internetskih bankarskih usluga), na mreži, kupovina, Aukcije, kao i druge aktivnosti, a djelatnost i djelotvornost značajno ovisi o zastupljenosti na Internetu (putnički airstrms, aviokompanije, proizvođači opreme i softvera, itd.) Na napadima DDOS-a redovito se pokreću protiv resursa takvih velikana Svjetska IT industrija, poput IBM-a, Cisco sistema, Microsofta i drugih. Primjećeni su masivni napadi DDOS-a na ebay.com, amazon.com, primijećene su mnoge poznate banke i organizacije.

Vrlo često se na napadi DDO-a pokreću na web predstavništva političkih organizacija, institucija ili pojedinih poznatih ličnosti. Mnogi ljudi znaju o masivnim i dugoročnim DDOS napadima koji su lansirani na veb lokaciju Gruzijske predsjedniče tokom gruzijskog i Osetian rata 2008. (web stranica nije bila dostupna nekoliko mjeseci od kolovoza 2008.), protiv estonskih vladinih servera (u proljeće) 2007., za vrijeme nereda povezanih s premještanjem bronzanog vojnika), o periodičnim napadima Severokorejskog mrežnog segmenta protiv američkih lokacija.

Glavni ciljevi DDOS-a ili su ekstrakciju koristi (direktno ili indirektno) ucjenjivanje i iznuđivanje ili progon političkih interesa, ispuštanje situacije, osveta.

Koji su mehanizmi za pokretanje DDOS-napadi?

Najpopularniji i najpalniji način lansiranja DDOS napada je upotreba botneta (botneta). Botnet je puno računara na kojima su instalirane posebne softverske oznake (botovi), prevedene s engleskog botneta mreža je botova. Botovi obično dizajniraju hakeri pojedinačno za svaki botnet i imaju glavnu svrhu slanja zahtjeva prema određenom internetskom resursu na naredbi primljenoj od botnet-ovog upravljačkog poslužitelja i upravljačkog servera i upravljačkog servera. Botnet kontroler upravlja hakerom ili osobom koja je kupila ovaj botnet od hakera i sposobnosti da pokrene DDOS napad. Botovi se na internetu primjenjuju na različite načine, u pravilu - napadima na računare koji imaju ranjive usluge i instaliranje softverskih oznaka ili obmanjujući korisnike i prisile da instaliraju botove pod krinkom drugih usluga ili softvera koji obavljaju prilično bezopasne ili čak korisna funkcija. Metode širenja botova su mnogo, redovito su izmišljeni novi načini.

Ako je botnet dovoljno velik - desetine ili stotine hiljada računara - zatim istovremeno slanje iz svih ovih računara čak i prilično legitimni zahtjevi u smjeru određene mrežne usluge (na primjer, web uslugu na određenoj web lokaciji) rezultirat će iscrpljenosti resursa ili samog servisa ili servera ili u mogućnosti iscrpljenosti kanala. U svakom slučaju, usluga će biti nedostupna korisnicima, a vlasnik usluge bit će dospjeli ravno, indirektne i reputacijske gubitke. A ako svaki od računara ne šalje nijedan zahtjev, a desetine, stotine ili hiljade zahtjeva u sekundi, tada se napad na udarce snage povećava više puta, što omogućava da se dosegne čak i najproduktivnije resurse ili komunikacijske kanale.

Neki napadi pokreću se više "bezopasnim" načinima. Na primjer, flash mob korisnika određenih foruma, koji po dogovoru pokrene u određeno vrijeme "ping" ili drugi zahtjevi od svojih računara prema određenom poslužitelju. Drugi primjer je postavljanje veza na web mjesto na popularnim internetskim resursima, što uzrokuje prinos korisnika na ciljni server. Ako se "lažna" veza (izvana izgleda kao veza na jedan resurs, a zapravo se odnosi na potpuno drugi poslužitelj) odnosi se na web stranicu male organizacije, ali se objavljuje na popularnim poslužiteljima ili forumima, takav napad može uzrokovati neželjeni priliv od neželjenog mjesta posetilaca na ovu stranicu.. Napadi posljednje dvije vrste rijetko vode do prestanka dostupnosti poslužitelja na pravilno organiziranim hosting web lokacijama, ali takvi su primjeri bili, pa čak i u Rusiji u 2009. godini.

Da li će tradicionalno tehničko sredstvo zaštite od DDO-a pomoći pomoći?

Značajka DDOS-napada je da se sastoje od raznih istodobnih zahtjeva, od kojih se svaki pojedinačno "", osim toga, ove upite šalju računare (zaražene botovima), što može biti prilično zajedničko za pripadnost u najčešćim stvarnim ili potencijalni korisnici napadane usluge ili resursa. Stoga je vrlo teško identificirati da je napad DDO-a pravilno identificiran i filter. Standardni sistemi IDS / IPS klasa (sustav za otkrivanje upada - sistem za otkrivanje / prevenciju mreže) neće pronaći u ovim upitima "Crime Compomic", neće razumjeti da su dio napada, osim ako ne izvrše kvalitativnu analizu prometa Anomalije. Pa čak i ako ih pronađu, nepotrebni zahtjevi nisu tako jednostavni - standardni vatrozidni zidovi i usmjerivači filtrira promet na temelju dobro definiranih pristupnih lista (kontrolna pravila) i ne znaju "dinamički" prilagođavanje profilu od određeni napad. Vatrozidovi mogu prilagoditi prometne tokove na osnovu kriterija poput korištenih adresa pošiljatelja. mrežne usluge, portovi i protokoli. Ali redovni korisnici interneta sudjeluju u DDOS napadu, koji šalju zahtjeve za najčešće protokole - neće biti isti operater komunikacije za zabranu svega i svega? Zatim će jednostavno prestati pružiti komunikacijske usluge svojim pretplatnicima, a zaustaviti se pružanjem pristupa mrežnim resursima koje servisiraju ih, koji u stvari postiže inicijator napada.

Mnogi stručnjaci vjerovatno su svjesni postojanja posebnih rješenja za zaštitu od DDOS-napada, koje otkrivaju anomalije u prometu, izgradnju prometnog profila i napadnog profila i napad dinamičkim višestepenim prometnim filtriranjem. I razgovarat ću i o tim odlukama u ovom članku, ali nešto kasnije. I prvo će biti opisano o nekim manje poznatim, ali ponekad sasvim efikasne mjere koje se mogu prihvatiti za suzbijanje DDOS napada postojećim sredstvima podataka i njegovih administratora.

Zaštita od dostupan napada DDOS-a

Postoji prilično nekoliko mehanizama i "trikovi", koji omogućavaju u nekim određenim slučajevima za suzbijanje DDOS napada. Neki se mogu koristiti samo ako se podatkovna mreža izgradi na opremi određenog proizvođača, više ili manje univerzalnog.

Započnimo s preporukama Cisco sistema. Specijalisti ove kompanije preporučuju pružanje zaštite mrežnih fondacije za zaštitu zaštite mrežnog fondacije, koji uključuje zaštitu nivoa mrežne administracije (kontrolna ravnina), nivo upravljanja mrežom (upravljački rain) i nivoa mreže (avion za upravljanje).

Zaštita aviona upravljanja (avion za upravljanje)

Izraz "nivo administracije" pokriva sav promet koji pruža kontrolne ili nadzorne usmjerivače i drugu mrežnu opremu. Ovaj se promet šalje na usmjerivač ili dolazi iz usmjerivača. Primjeri takvog prometa su Telnet, SSH i HTTP (S) sesije, Syslog poruke, SNMP-LADS. Uobičajene najbolje prakse uključuju:

Pružanje maksimalnih sigurnosnih i nadzornih protokola sigurnosti, upotreba šifriranja i provjere autentičnosti:

• sNMP V3 protokol pruža alate za zaštitu, dok SNMP V1 praktično ne pruža, a SNMP V2 pruža samo djelomično - zadana vrijednost zajednice mora uvijek biti promijenjena;
• treba koristiti različite vrijednosti za javnu i privatnu zajednicu;
• telnet protokol prenosi sve podatke, uključujući korisničko ime i lozinku, u otvorenom obliku (ako se promet presreće, ove informacije mogu se lako preuzeti i koristiti), preporučuje se korištenje SSH V2 protokola umjesto toga;
• slično tome, umjesto HTTP-a, koristite HTTPS za pristup opremi; stroga kontrola pristupa hardveru, uključujući odgovarajuću lozinku, centralizirano provjeru autentičnosti, autorizacije i računa (AAA model) i lokalne provjere autentičnosti u svrhu rezervacije;

Implementacija modela uloga uloga;

Kontrola dozvoljenih veza na adresi izvor pomoću popisa kontrole pristupa;

Onemogući neiskorištene usluge, od kojih su mnogi omogućeni prema zadanim postavkama (ili su zaboravili onemogućiti nakon dijagnosticiranja ili postavljanja sistema);

Praćenje upotrebe resursa opreme.

U posljednja dva boda vrijedi ostati detaljnije.
Neke usluge koje su omogućene prema zadanim postavkama ili koje se zaboravljaju isključiti nakon postavljanja ili dijagnosticiranja opreme mogu se uljezi koristiti za obilaženje postojećih pravila sigurnosti. Lista ovih usluga u nastavku:

• Jastučić (paket montaža / rastavljač);

Prirodno, prije isključivanja ovih usluga, morate pažljivo analizirati odsustvo njihove potrebe za svojom mrežom.

Poželjno je nadgledati upotrebu resursa opreme. To će prvo dozvoliti da primijeti preopterećenje pojedinačni elementi Mreže i poduzimaju mjere za sprečavanje nezgoda, i drugo otkrivanje DDOS napada i anomalije ako njihovo otkrivanje nije predviđeno posebnim sredstvima. U minimumu se preporučuje nadgledanje:

• učitavanje procesora
• upotreba memorije
• prenos sučelja usmjerivača.

Monitoring može biti "ručno" (periodično praćenje stanja opreme), ali bolje je učiniti bolje sa posebnim sistemima ili nadzorom mreže sigurnost informacija (Potonji se odnosi na Cisco Mars).

Kontrolna ravnina (kontrolna ravnina)

Nivo upravljanja mrežom uključuje sav servisni promet koji osigurava funkcioniranje i povezivanje mreže u skladu s navedenom topologijom i parametrima. Primjeri prometa prometa su: sav promet generiran ili namijenjen procesoru za usmjeravanje (procesor rute - RR), uključujući sve protokole usmjeravanja, u nekim slučajevima - sSH protokoli i SNMP, kao i ICMP. Svaki napad na funkcioniranje procesora za usmjeravanje, a posebno DDOS napadi, može podrazumijevati značajne probleme i prekide u radu mreže. Ispod su opisane najbolje prakse za zaštitu nivoa kontrole.

Kontrolna ravnina policija.

Korištenje QoS mehanizama (kvaliteta usluge - kvalitet usluge) za pružanje većeg prioriteta na nivo kontrolnog nivoa od korisničkog prometa (koji su napada). To će osigurati rad servisnih protokola i procesora za usmjeravanje, odnosno za održavanje topologije i povezivanja mreže, kao i pravilno usmjeravanje i prebacivanje paketa.

IP primite ACL

Ova funkcionalnost omogućava filtriranje i kontrolu servisnog prometa namijenjenog rutera i procesoru za usmjeravanje.

• već se primjenjuje direktno na opremu za usmjeravanje prije nego što promet dostigne procesor usmjeravanja, pružajući "personalizirano" zaštitu opreme;
• primjenjuje se nakon prometa položive uobičajene liste kontrole pristupa - su posljednji nivo zaštite na putu za procesor za usmjeravanje;
• primjenite na sav promet (i unutarnji i vanjski i tranzit na mrežnu mrežu mrežnog operatera).

Infrastruktura ACL

Obično se pristup vlastitim adresama opreme usmjerivača potrebna samo za domaćine vlastite mreže mreže mreže, međutim, postoje izuzeci (na primjer, EBGP, GRE, IPv6 preko IPv4 i ICMP tunela). Liste kontrole pristupa infrastrukturi:

• obično instaliran na granici mreže mrežnog operatera ("na ulazu u mrežu");
• namijenjeni su sprečavanju pristupa vanjskim domaćinima na adresu infrastrukture operatera;
• pružaju nesmetani tranzitni promet preko granice operatera mreže;
• omogućite osnovne mehanizme zaštite od neovlaštene mrežne aktivnosti, opisane u RFC 1918, RFC 3330, posebno, zaštita od spoofa (prekrivanje, koristeći lažne izvorne IP adrese za prerušavanje kada pokrenete napad).

Susjedna provjera identiteta.

Glavni cilj provjere autentičnosti susjednih usmjerivača je sprečavanje napada u referencu na lažne protokole usmjeravanja za promjenu usmjeravanja na mreži. Takvi napadi mogu dovesti do neovlaštenog prodora u mrežu, neovlašteno korištenje. mrežni resursi, kao i na činjenicu da će napadač uhvatiti promet kako bi analizirao i dobijeo potrebne informacije.

Postavljanje BGP-a.

• bGP prefiks filtriranje (BGP prefeks filtera) - Koristi se tako da informacije o unutrašnjoj mreži komunikacijskog operatera ne distribuiraju internet (ponekad bi ove informacije možda bilo vrlo korisne za napadača);
• ograničavanje broja prefiksa koji se mogu prihvatiti iz drugog usmjerivača (ograničavanje prefiksa) - koristi se za zaštitu od DDOS napada, anomalija i neuspjeha u partnerskim mrežama PARYNG;
• korištenje parametara BGP zajednice i filtriranje na njima može se koristiti i za ograničavanje distribucije informacija o ruti;
• bGP praćenje i usporedba BGP podataka s promatranim prometom jedan je od mehanizama za rano otkrivanje DDOS napada i anomalija;
• filtriranje po parametri TTL (Vrijeme za uživanje) - koristi se za provjeru BGP partnera.

Ako se napad na BGP protokol lansiran iz matične mreže, ali iz udaljene mreže, TTL parametar na BGP paketima bit će manji od 255. Možete konfigurirati granične usmjerivače telekom operatera tako da odbaci sve BGP paketi s TTL vrijednosti.< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Zaštita nivoa podataka (ravnina podataka)

Unatoč važnosti zaštite administracijskog i kontrolnog nivoa, većina prometa u mreži mrežnog operatera su podaci, tranzit ili otkriveni za pretplatnike ovog operatera.

Unicast obrnuta staza (URPF)

Često se napadi započinju koristeći tehnologiju spoofina (spoofing) - izvorne IP adrese su falsificirane tako da je izvor napada nemoguće pratiti. Falsifikovane IP adrese mogu biti:

• od zapravo korištenog adresnog prostora, ali u drugom mrežnom segmentu (u segmentu gdje je napad pokrenut, ove lažne adrese nisu usmjeravanje);
• iz adresne prostore neiskorištene u ovoj mreži;
• iz adresnog prostora koji se ne preusmjerava na internetu.

Implementacija na usmjerivačima mehanizma u URPF-u spriječit će usmjeravanje paketa s izvornim adresama koje su nekompatibilne ili neiskorištene u segmentu mreže iz koje su ušli u sučelje usmjerivača. Ova tehnologija ponekad može efikasno filtrirati neželjeni promet najbliži svom izvoru, odnosno najefikasniji. Mnogi DDOS napadi (uključujući poznatu Mrežu od pukenja i plemene poplave) koriste mehanizam ožičenja i stalnu promjenu izvornih adresa za prevaru standardno znači Zaštita i filtriranje prometa.

Koristeći mehanizam za URPF od strane telekom operatora koji pružaju pretplatnike pristup internetu učinkovito sprečavaju DDOS napade koristeći tehnologiju spoofina u odnosu na vlastite pretplatnike protiv internetskih resursa. Dakle, napad DDOS-a potisnut je najbliži svom izvoru, odnosno najefikasnije.

Remotenet pokrenuo Blackholes (RTBH)

Remotenet pokrenuo Blackholes se koriste za "pad" (uništavanje, slanje "ničega") unosa u mrežu usmjeravanjem ovog prometa na posebne null 0 sučelja. Ova tehnologija se preporučuje da se koristi na mrežnoj granici za resetiranje napada na mrežnu mrežu kada se unese u mrežu. Ograničenje (i bitno) ove metode je da se primjenjuje na sav promet namijenjen određenom hostu ili domaćinu, što je cilj napada. Stoga se ova metoda može koristiti u slučajevima kada je masivan napad izložen jednom ili više domaćina, što uzrokuje probleme ne samo za napadnute domaćine, već i za druge pretplatnike i mrežne mreže općenito.

Crne rupe mogu se kontrolirati i ručno i putem BGP protokola.

Propagovanja politike QoS putem BGP-a (QPPB)

QoS Control putem BGP-a (QPPB) klizi za upravljanje prioritetnim politikama za promet namijenjen određenom autonomnom sistemu ili blokiranje IP adresa. Ovaj mehanizam može biti vrlo koristan za telekom operatere i velika preduzeća, uključujući upravljanje prioritetnim nivoima za neželjeni promet ili promet koji sadrži napad DDOS-a.

Surone rupe.

U nekim je slučajevima potrebno ne u potpunosti ukloniti promet pomoću crnih rupa, ali da ga uklonite od glavnih kanala ili resursa za naknadno praćenje i analizu. Za to je namijenjeno "tap" kanalima "ili rupe za sudope.

Rupe za sudope se najčešće koriste u sljedećim slučajevima:

• da biste uklonili na stranu i analizu prometa sa adresama odredišta, koji pripadaju adresi mreže mreže mreže, ali u isto vrijeme se ne koriste (nijedna oprema ili korisnici nisu istaknuti); Takav promet je priori sumnjiv, jer često svjedoči da pokušava skenirati ili prodrijeti u vašu mrežu napadač koji nema detaljne informacije o njegovoj strukturi;
• za preusmjeravanje prometa iz svrhe napada, koji zapravo funkcionira u mreži operatora resursa, za njegovo praćenje i analizu.

DDOS zaštita pomoću posebnih sredstava

CISCO CLEAN CIPE CIPES - Industrijski sport

Savremeni koncept zaštite od DDOS-napada razvio se (da, da, niste iznenađeni! :)) CISCO Systems Company. Razvio Cisco Concept se nazivalo Cisco Clean Cipes ("Pročišćeni kanali"). U konceptu razvijenim prije gotovo 10 godina, osnovni principi i tehnologija zaštite od nenormalnih nermalnosti u prometu, koji se najviše koriste, uključujući i druge proizvođače, detaljno su opisani.

Koncept Cisco Clean Cijevi sugerira sljedeće DDOS napada i principe suzbijanja.

Izaberite bodovi (mrežna mjesta), saobraćaj u kojem se analizira za identifikaciju anomalija. Ovisno o činjenici da štitimo, s takvim tačkama mogu postojati priključci za pyring of Komunikacijski operater sa superiornim operaterima, vezom u vezi nižih izjava ili pretplatnika, kanala za povezivanje podataka u mrežu.

Posebni detektori analiziraju promet na tim bodovima, izgraditi (studij) promet profila u svom normalnom stanju, kada se pojave DDOS napad ili anomalija - otkrijte ga, studije i dinamički formiraju njegove karakteristike. Nadalje, informacije analiziraju operator sustava, a u poluautomatskom ili automatskim režimu pokreće se postupak suzbijanja napada. U suzbijanju je da se promet namijenjen "žrtvi" dinamički preusmjeren kroz uređaj za filtriranje, na koji se formira detektor i odražavajući pojedinačni karakter ovog napada koriste se za ovaj promet. Pročišćeni promet upisuje se u mrežu i šalje primatelju (jer čiste cijevi potječe - pretplatnik prima "čist kanal" koji ne sadrži napad).

Dakle, čitav ciklus zaštite od napada DDOS uključuje sljedeće glavne faze:

• Karakteristike kontrole obuke prometa (profiliranje, osnovno učenje)
• Otkrivanje i anomalije otkrivanja (otkrivanje)
• Preusmjeravanje distribucije za prolazak kroz uređaj za čišćenje (diverzija)
• Filtriranje prometa za suzbijanje napada (ublažavanje)
• Unesite promet natrag na mrežu i slanje primatelja (ubrizgavanje).

N Esencijalne karakteristike.
Dvije vrste uređaja mogu se koristiti kao detektori:

• Detektori proizvodnje Cisco sistema - Cisco promet anomalije Detektorski servisni moduli moduli namijenjeni za ugradnju u šasiju Cisco 6500/7600.
• Detektori proizvodnje u sjenicama - Arbor Peafflow SP CP uređaji.

Ispod je tablica koja uspoređuje Detektore Cisco i Arbora.

Parametar	Cisco prometni anomalijski detektor	Arbor Peafflow SP CP
Primanje informacija o prometu za analizu	Kopčana kopija prometa dodijeljena na šasiju Cisco 6500/7600	NetFlow-podaci o prometu primljenom od usmjerivača dozvoljeno je prilagođavanje uzorka (1: 1, 1: 1 000, 1: 10,000 itd.)
Rabljeni principi otkrivanja	Analiza alarma (otkrivanje zloupotrebe) i otkrivanje anomalija (dinamičanprofilisanje)	Uglavnom otkrivanje anomalija; Koristi se anartilana analiza, ali potpisi su generalni
Faktor forme	servisni moduli u šasiji Cisco 6500/7600	odvojeni uređaji (serveri)
Performans	Ispitni promet do 2 Gbps	Praktično neograničeno (možete smanjiti brzinu uzorkovanja)
Skalabilnost	Instalacija do 4 modulaCisco.DetektorSm. Jedna šasija (međutim, moduli djeluju samostalno jedna od druge)	Mogućnost upotrebe više uređaja u okviru jednog sistema analize, od kojih je jedna dodijeljena statusu lidera
Monitoring prometa i usmjeravanja	Funkcionalnost je praktično odsutna	Funkcionalnost je vrlo razvijena. Mnogi telekom operateri kupuju Arbor PeakFlow Sp zbog duboke i razvijene funkcionalne o nadgledanju prometa i usmjeravanja na mreži
Pružanje portala (pojedinačno sučelje za pretplatnika za praćenje samo relativnog dijela mreže direktno na njega)	Nije obezbeđeno	Navedeno. Ozbiljna je prednost ovog rješenja, jer operator komunikacije može prodavati pojedinačne usluge zaštite DDOS njihovim pretplatnicima.
Kompatibilni uređaji za čišćenje prometa (suzbijanje napada)	Cisco. Modul stražnjih usluga.	Arbor Peafflow SP TMS; Modul Cisco Guard Services.
	Zaštita podataka (podatkovni centar) Pri povezivanju na Internet Praćenje nizvodnih veza pretplatničkih mreža na mrežu mrežnog operatera	Otkrivanje napadauzvodno- Priključci mrežni operator na mreže viših pružatelja usluga Praćenje mrežnog operatera

Posljednji red tablice prikazuje upotrebu Cisco Detektora i iz Arbora, koji su preporučili Cisco Systems. Podaci skripte ogledaju se u sljedećoj shemi.

Kao CISCO uređaj za čišćenje saobraćaja, preporučuje se upotreba servisa CISCO GUARD servisa, koji je instaliran u šasiji Cisco 6500/7600 i naredba primljena iz detektora detektora Cisco ili sa Arbor PeakFlow SP CP je dinamična preusmjeravanja, čišćenje i čišćenje ulazak u obrnuto saobraćaj u mrežu. Mehanizmi za preuređenje su ili BGP ažuriranja veće usmjerivače ili direktnim menadžerima prema nadzorniku koristeći vlasnički protokol. Pri korištenju ažuriranja BGP-a, usmjereni usmjerivač označava se novom NEX-hop vrijednosti za promet koji sadrži napad - tako da ovaj promet padne na poslužitelj za čišćenje. Istovremeno, potrebno je pobrinuti da ove informacije ne podrazumijevaju organizaciju petlje (tako da ruter nizvodno ne pokušava ispuniti ovaj promet na uređaj za čišćenje prilikom ulaska). U tu svrhu mehanizmi za kontrolu distribucije ažuriranja BGP-a prema parametri zajednice ili pomoću grejskih tunela prilikom ulaska u očišćeni promet.

Takvo stanje poslova postojalo je dok se arbor mreže značajno proširile na vršnu liniju proizvoda SP SP i nisu otišle na tržište sa potpuno neovisnom odlukom o zaštiti od napada DDOS-a.

Arbor PeakFlow SP TMS izgled

Prije nekoliko godina, arborske mreže odlučile su razviti svoju liniju proizvoda kako bi se zaštitila od napada DDOS-a i bez obzira na tempo i politiku razvoja ovog smjera iz Cisca. Peafflow SP CP rješenja imaju temeljne prednosti nad Cisco Detector-om, jer su analizirali informacije o protoku s mogućnošću reguliranja uzorka frekvencije, što znači da nije bilo ograničenja u korištenju komunikacijskih operatera u mrežama i na kanalima na prtljažniku (za razliku od Cisca Detektor, koji analizira saobraćajnu kopiju). Pored toga, ozbiljna prednost PeakFlow SP-a bila je mogućnost da operateri prodaju pojedinačne usluge praćenja pretplatnicima i zaštitu svojih mrežnih segmenata.

S obzirom na ove ili druga razmatranja, Arbor je značajno proširio liniju proizvoda od vrha SP-a. Pojavio se brojni novi uređaji:

PeakFlow SP TMS (sistem za upravljanje prijetnjama) - isporučuje DDOS napade višestupanjskim filtriranjem na temelju podataka dobivenih iz PEAKFLOW-a SP CP i iz Aznaništva, u vlasništvu maglovnih mreža i nadgledanja i analiziranje DDOS napada na Internet;

PeakFlow Sp Bi (poslovna inteligencija)- Uređaji koji pružaju skaliranje sistema, povećavajući broj logičkih objekata koji će se nadgledati i pružanje viška prikupljenih i analiziranih podataka;

PeakFlow SP PI (portal interfejs)- uređaji koji pružaju povećanje pretplatnika koji su osigurani pojedinačno sučelje za upravljanje vlastitim sigurnošću;

PeakFlow SP FS (cenzor protoka)- Uređaji koji osiguravaju praćenje pretplatničkih usmjerivača, veze sa nižim mrežama i centrima za obradu podataka.

Načela rada SMS SP-a SP-a, uglavnom su i isto kao i Cisco Clean Cipes, ali sjenica se redovno razvija i poboljšava njihove sustave, pa je trenutno funkcionalnost dječjih proizvoda u mnogim parametrima bolja od Cisco-a, uključujući i performanse.

Izlaziti s, maksimalne performanse Cisco zaštitni modeti koji će se postići stvaranjem klastera 4 zaštitne module u jednoj šasiji Cisco 6500/7600, dok se potpuno klasteriranje ovih uređaja ne primjenjuje. Istovremeno, gornji modeli arborskog PeakFlow SP TMS imaju kapacitet do 10 Gb / s, a zauzvrat se može klastera.

Nakon što je Arbor počeo da se pozicionira kao neovisan igrač na tržištu za otkrivanje i suzbijanje DDOS-napada, Cisco je počeo tražiti partnera koji bi ga pružio kao neophodno praćenje podataka o protoku na mrežnom prometu, ali ne bi bio direktan takmičar. Takva kompanija postala je Narus, koja proizvodi sistem praćenja baze podataka o protoku (narusinsight) i ušao u partnerstvo sa Cisco sistemima. Međutim, ovo partnerstvo nije dobilo ozbiljan razvoj i prisustvo na tržištu. Štaviše, prema nekim porukama, Cisco ne planira uložiti u svoj Cisco Detector i Cisco Guard rješenja, u stvari, napuštajući ovu nišu za kompaniju Arbor mreže kompanije.

Neke karakteristike Rješenja Cisco i Arbor

Vrijedi napomenuti neke karakteristike Cisco i Arbor rješenja.

1. Cisco Guard može se koristiti i u kombinaciji sa detektorom i samostalno. U potonjem slučaju instaliran je u linijskom režimu i vrši funkcije detektora koji analiziraju promet, a po potrebi uključuju filtre i čisti promet. Minus ovog načina je da se, prvo dodatna tačka dodatna potencijalno kvar, i drugo, dodatno kašnjenje u prometu (iako je malo sve dok je uključen mehanizam za filtriranje). Preporučuje se za Cisco Guard Mode - Čeka se naredba za preusmjeravanje prometa koji sadrži napad, filtriranje i unošenje u mrežu.
2. Arbor Peafflow SP TMS uređaji također mogu raditi i u režimu van rampe i u režimu linije. U prvom slučaju, uređaj pasivno očekuje da će naredba preusmjeriti promet koji sadrži napad na čišćenje i unos natrag na mrežu. U drugom se kroz sebe preskače kroz cijeli promet, proizvodi podatke na temelju Arborflow-a na osnovu njega i prenosi ih na maksimum Clow SP CP za analizu i otkrivanje napada. Arborflow je format sličan NetFlowu, ali poboljšana od strane Arbora za svoj PeakFlow SP sustavi. Nadgledanje i otkrivanje saobraćaja napadaju PEAKFLOW SP CP na temelju arborflow podataka dobivenih iz TMS podataka. Kada se otkrije napad, operater Peafflow SP-a daje naredbu u suzbijanju, nakon čega se TMS pretvara na filtere i uklanja promet iz napada. Za razliku od Cisco-a, Peafflow SP TMS poslužitelj ne može samostalno raditi, potreban je na vršnom CP CP poslužitelju za rad, koji vrši analizu prometa.
3. Danas se većina stručnjaka slaže da su zadaci zaštite lokalnih područja mreže (na primjer, povezivanje CD-ova ili spajanja nizvodnih mreža)