Статьи компании

9.6
DDoS-Guard.net

29.11.2017

ТТК усилил защиту корпоративных клиентов от DDoS-атак при помощи DDoS-GUARD

ТрансТелеком (ТТК), один из крупнейших операторов России, заключил партнерский договор с компанией DDoS-GUARD на
предоставление защиты от DDoS-атак на уровне приложений для своих корпоративных клиентов. 
Читать далее
16.11.2017

DDoS-GUARD представляет обновленный сервис защиты игровых проектов

Новая тарифная линейка Game protection - это сбалансированное решение для владельцев игровых серверов на основе TCP, которое позволит забыть о проблеме DDoS-атак.
Читать далее
01.11.2017

Доступные VDS от DDoS-GUARD - выгодное решение для защиты от DDoS-атак

DDoS-GUARD представляет новую линейку тарифов на выделенные виртуальные серверы Protected VDS Lite. Теперь минимальная стоимость VDS с защитой от DDoS-атак - всего лишь 2500 рублей за месяц!
Читать далее
19.10.2017

ISPsystem и DDoS-GUARD сделали надежную защиту от DDoS-атак доступной каждому

DDoS-атаки - это серьезная проблема современного Интернета. Киберугрозы подобного типа могут блокировать нормальную работу любых ресурсов, от небольших частных сайтов до таких гигантов, как PayPal, Amazon, Twitter... Но теперь защиту можно включить парой кликов!
Читать далее
24.08.2017

SSL от DDoS-GUARD: управление безопасностью стало простым и надежным, как никогда прежде!

Подключить SSL-шифрование для своего сайта можно за пару кликов: теперь клиент DDoS-GUARD может самостоятельно перевести свой сайт с http на https буквально за 1-2 минуты, без простоев в его работе.
Читать далее

Подарок от DDoS-GUARD на День холостяков!

Период действия акции *: до 11 декабря 2017
Скидка новым клиентам!
Читать далее

Скидка на розничные сервисы!

Период действия акции *: 13 февраля 2017
Успейте получить бонус при оплате - используйте промокод SMJ2R3NHL3
Читать далее

Черная пятница - скидка три месяца!!!

Период действия акции *: 3 месяца
Черный уикэнд - даем скидку 15% на розничные услуги!!! 
Читать далее

Промокод на скидку 12% на все розничные услуги!

Период действия акции *: до конца года
Скидка действует только на первую оплату!
Читать далее

Киберпонедельник 2016: DDoS-GUARD дарит скидку до 35%!

Период действия акции *: до 30 июня 2016
Успей получить максимум!
Читать далее

Защита от DDoS-атак посредством геофильтрации трафика на маршрутизаторах Juniper с применением Source Class Usage

Рубрика: Безопасность
Опубликовано: 10.08.2017.
В сети любого оператора связи с реализованным сервисом защиты от DDoS-атак существует, как правило, несколько ступеней очистки трафика. И это обоснованное решение, т.к. обработать несколько сотен гигабайтов или миллионов пакетов в секунду  "мусорного" трафика исключительно посредством TMS (Threat Management System) — неоправданно дорого.

Обычно, 1-й ступенью очистки является pre-firewall filter, задача которого - уменьшить полосу паразитного трафика до объема, который сможет легко принять операторская сеть и TMS. Эта ступень очистки особенно важна при сильных волюметрических атаках. Существует 2 способа реализации данного фильтра: 1) на пограничных маршрутизаторах собственной сети, 2) в сетях вышестоящих операторов.

Если рассматривать вариант с реализацией внутри собственной сети, то это, как правило, stateless firewall filters, работающие на input/output на интерфейсах, или интегрированный внутрь сети FlowSpec. В сетях аплинков, как правило, используется FlowSpec, работающий по внутренней сигнализации, либо по сигнализации, принимаемой с сетей клиента. При использовании stateless firewall filters есть возможность настройки более точной фильтрации: можно полисером ограничить тот или иной destination IP, порт, протокол, флаг, размер пакета. При использовании FlowSpec предусмотрен только жесткий discard, который мало чем отличается от блэкхолла, если атака имеет параметры работающего сервиса.

Согласно руководству от Juniper, SCU и DCU предназначены для accounting-трафика по сопоставлению с определенным policy с match по определенным параметрам. Это означает, что можно считать трафик по описанным в специфичный класс конкретным префиксам, BGP-community, target-community, etc. Firewall filter позволяет делать match по source-class и destination-class. Данные опции позволяют создать firewall filter с возможностью тонкой фильтрации по source AS, или, если выражаться простым языком, осуществлять геофильтрацию трафика с помощью Pre-firewall filter.

Представим такую фильтрацию на примере TCP Syn-flood схематично:\


Данные о flow "чистого" и "грязного" трафика с помощью протокола IPFIX (в данной статье его работа рассматриваться не будет) снимаются с line cards маршрутизатора с определенной дискретностью (sampling) и передаются на Flow Collector, где обрабатываются и отображаются в системе мониторинга Flow Monitor. Это один из способов реализации мониторинга входящего flow, в разных операторских сетях он реализован по разному. Одним из важных параметров, отображаемый в IPFIX является SrcAS. Кто сталкивался с огромными по объему атаками в сотни Gbps и наблюдал за автономными системами происхождения "грязного" трафика, обратил внимание, что при определенных видах атак распределение источников того же флуда далеко неоднородно. Т.е. существует какое-то число топовых ASN с превалирующим значением. Подобная картина отчетливо прослеживалась во время прошлогодних DDoS-атак с применением знаменитого ботнета Mirai.

Предлагаемый способ позволяет существенно ограничить уровень "грязного" трафика именно с ASNs, входящих в ТОР.

Давайте поэтапно рассмотрим функцинал на примере конфигурационного файла.

1. Создаем policy scu_ddos в котором делаем матч по протоколу bgp и по as-path source-as. Перечисленным атрибутам присваиваем source-class ddos.

set policy-options policy-statement scu_ddos term 1 from protocol bgp
set policy-options policy-statement scu_ddos term 1 from as-path source-as
set policy-options policy-statement scu_ddos term 1 then source-class ddos

 

2. В as-path source-as в виде регулярного выражения добавляем origin-as для топовых ASNs.

set policy-options as-path source-as ".* 65000|65002"

В нашем примере на рисунке они обозначены красным цветом, и с них, в приведенном примере, поступает 80Gbps TCP syn-flood.

 

3. Применяем созданный policy на экспорт к forwarding-table. Если на экспорт уже есть примененные policy, то scu_ddos желательно поставить первым, используя команду insert в соответствующем конфигурационном блоке.

set routing-options forwarding-table export scu_ddos

 

4. Создаем policer lim100m.

set firewall policer lim100m filter-specific
set firewall policer lim100m shared-bandwidth-policer
set firewall policer lim100m if-exceeding bandwidth-limit 100m
set firewall policer lim100m if-exceeding burst-size-limit 1m
set firewall policer lim100m then discard

 

5. Создаем firewall filter scu_ddos_limit, в котором осуществляем match по source-class ddos, ограничиваемому протоколу и флагу, считаем и ограничиваем полисером в 100 Mbps весь трафик соответствующий данным критериям.

set firewall filter scu_ddos_limit term1 from source-class ddos
set firewall filter scu_ddos_limit term1 from protocol tcp
set firewall filter scu_ddos_limit term1 from tcp-flags syn
set firewall filter scu_ddos_limit term1 then policer lim100m
set firewall filter scu_ddos_limit term1 then count scu_ddos_count
set firewall filter scu_ddos_limit term2 then accept
 

6. На интерфейсах включения аплинков включаем accounting и применяем на input созданный фильтр scu_ddos_limit.

set interfaces ae1 unit 0 family inet accounting source-class-usage input
set interfaces ae1 unit 0 family inet filter input scu_ddos_limit

 

7. Проверяем срабатывание счетчиков и полисера на интерфейсе.

run show firewall filter scu_ddos_limit-ae1.0-i | match "lim100m-ae1.0-i|scu_ddos_count-ae1.0-i"
scu_ddos_count-ae1.0-i 90763066484 1745338287
lim100m-ae1.0-i 343023655 9801281

 

Таким образом, мы можем нивелировать значительную часть syn-флуда (в примере на рисунке из суммарной полосы в 100 Gbps до 20 Gbps), тем самым предотвратить перегрузку собственных сетевых ресурсов и устройств очистки трафика.

При правильно подобранном значении полисера дропы пакетов проявляются только во время атаки. Необходимо понимать, что в момент атак полисером также будет дропаться и часть легитимного TCP syn-трафика с ограничиваемых автономных систем, что существенно не повлияет на уже установившиеся соединения.

Все статьи компании
Читальный зал

Добавить комментарий

Комментарии могут оставлять только авторизованные пользователи.
Авторизоваться   Зарегистрироваться

Системный администратор DevOps

Вид: В офисе
Страна: Россия
Город: Ростов-на-Дону
Зарплата *: по договоренности
Описание *:
Должностные обязанности:

Запуск и мониторинг новых сервисов, масштабирование уже существующих.
Участие в backend-разработке со стороны системного администрирования.
Проектирование высоконагруженных систем.
Работа с сетевой инфраструктурой.
Эффективное взаимодействие с командой разработчиков.

Требования:

Опыт работы с Linux.
Знание систем виртуализаций (VMware или KVM).
Опыт администрирования и автоматизирования Linux сред.
Глубокие технические знания общих принципов работы операционных систем.
Владение скриптовыми языками Bash, Perl.
Знание аппаратных сред, аппаратных вычислительных ресурсов, систем хранения данных.
Понимание взаимодействия между HW, операционной системой и приложениями в Linux.
Понимание работы сетевых протоколов TCP/IP и HTTP/HTTPS.
Опыт администрирования PostgreSQL, MySQL, Apache, Postfix, Dovecot, Proftpd, PHP, Nginx, DNS, Squid/Varnish, MongoDB, Redis.

Большим плюсом будет:

Навыки программирования на Python и LuaОпыт работы с сетями, оборудованием Juniper или других производителей.
Владение навыками настройки JIRA.


Условия работы:

Комфортный офис в центре города.
Оформление по ТК РФ, белая заработная плата со стабильными выплатами и полным социальным пакетом.
Возможность заграничных командировок.
ДМС (оплачиваемая компанией медицинская страховка).
Регулярные чемпионаты в Mortal Kombat, FIFA и т.д., проходящие в нашей оборудованной игровой комнате.

Режим работы с 10:00 до 19:00 в офисе, где на кухне всегда лежит много вкусняшек. Мы работаем много и упорно, но не загоняем себя в рамки традиционного рабочего расписания. Мы позволяем себе отдыхать не только в офисе, но и на выезде всей компанией в красивое место.Вознаграждение в большей степени зависит от Ваших амбиций и трудоспособности.

Наверх
Сообщить об ошибке
Описание ошибки: