Взгляд изнутри: как работает механизм защиты от DDoS в решении Kaspersky DDoS Prevention::Журнал СА 01-02.2016
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6373
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7086
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4359
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3074
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3870
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3886
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6379
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3227
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3518
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7348
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10706
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12433
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14075
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9186
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7135
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5441
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4674
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3485
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3206
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3444
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3080
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Взгляд изнутри: как работает механизм защиты от DDoS в решении Kaspersky DDoS Prevention

Архив номеров / 2016 / Выпуск №01-02 (158-159) / Взгляд изнутри: как работает механизм защиты от DDoS в решении Kaspersky DDoS Prevention

Рубрика: Безопасность /  Механизмы защиты

Алексей Киселев АЛЕКСЕЙ КИСЕЛЕВ, менеджер проекта Kaspersky DDoS Prevention

Взгляд изнутри:
как работает механизм защиты от DDoS в решении Kaspersky DDoS Prevention

О DDoS-атаках слышно нечасто, какой-либо резонанс получают лишь громкие инциденты. Из-за этого может сложиться впечатление, что DDoS – это нечастое явление. Однако этодалеко не так

Как свидетельствуют данные, собранные «Лабораторией Касперского», в 2015 году DDoS-атакам подверглась каждая шестая компания в России, а сама страна оказалась в первой пятерке государств, чьи веб-ресурсы вызывали наибольший интерес у киберзлоумышленников. При этом большинство организаций, несущих реальные убытки от таких атак, предпочитает решать свои проблемы молча, не привлекая внимания правоохранительных органов и СМИ. В результате это бездействие лишь развязывает руки злоумышленникам, которые ввиду своей безнаказанности продолжают активно использовать DDoS в своих преступных целях.

Подобные атаки стали реальной угрозой как крупному, так и малому бизнесу, а также государственным объектам информационной инфраструктуры. Помимо этого, в зоне риска находятся СМИ, особенно интернет-издания, страницы политических и общественных организаций, популярных персон. DDoS-атаки фактически превратились в кибероружие, истоимость его применения со временем снижается. Технические средства организации атак сегодня достаточно легкодоступны. Например, ими пользуются даже школьники, которые в прошлом году пытались сделать неработоспособным образовательный портал Республики Татарстан для того, чтобы скрыть от родителей свои оценки.

Принимая во внимание простоту организации DDoS-атак и повсеместное распространение этой угрозы, организациям следует позаботиться о надлежащей защите. Причем отрешения, призванного противодействовать DDoS-атакам, требуется мгновенная реакция при старте атаки, информирование ответственных сотрудников компании, возможность реакции на новые средства, примененные в атаке. Основным результатом отражения атаки должно быть непрерывное продолжение функционирования веб-ресурса дляпользователей, составляющих его целевую аудиторию.

Подобное решение уже давно предлагает «Лаборатория Касперского». Основная суть работы сервиса Kaspersky DDoS Prevention заключается в том, что в обычных условиях весь входящий интернет-трафик, поступающий в периметр защищаемой информационной системы, идет напрямую, без использования защитного решения. Но при этом отражается наспециальный сенсор, представляющий собой отдельный сервер, физический или виртуальный, с помощью которого идет оценка входящего трафика. Сенсор устанавливается какможно ближе к защищаемым ресурсам для повышения точности анализа проходящего трафика. В случае обнаружения атаки трафик перенаправляется таким образом, что, прежде чем попасть в защищаемый периметр, проходит через центр фильтрации Kaspersky Prevention Server и приходит в информационную систему уже очищенным. Фильтруемый трафик при этом подвергается дополнительной проверке на ложные срабатывания. После отражения атаки и ее завершения трафик снова начинает поступать напрямую в информационную систему клиента.

Схема функционирования Kaspersky DDoS Prevention

Сенсор Kaspersky DDoS Prevention подключается к входящему трафику посредством SPAN-порта. SPAN-порты, по сути, занимаются дублированием трафика для его дальнейшего анализа. Трафик, проходящий через сенсор Kaspersky DDoS Prevention, анализируется в центре очистки автоматически, а также контролируется дежурным аналитиком.

Рисунок 1. Схема функционирования Kaspersky DDoS Prevention

Рисунок 1. Схема функционирования Kaspersky DDoS Prevention

Перенаправление трафика в центр очистки при использовании Kaspersky DDoS Prevention может осуществляться двумя методами: либо через протокол динамической маршрутизации BGP (Border Gateway Protocol), либо путем изменения DNS-записи. Вариант BGP возможен, если защищаемые ресурсы находятся в провайдеро-независимой сети IP-адресов. DNS-вариант возможен, если защищаемые ресурсы находятся внутри доменной зоны, находящейся под внутренним управлением компании, а значение параметра TTL (англ. Time to Live, «время жизни») для DNS-записей составляет 5 минут. Необходимо иметь в виду, что BGP-перенаправление в случае начала DDoS-атаки срабатывает быстрее, поэтому является более предпочтительным.

При использовании любого из этих механизмов для передачи трафика в центр очистки Kaspersky DDoS Prevention и после этого на площадку защищаемого объекта задействуются виртуальные GRE-туннели. Они обеспечивают передачу входящего трафика через центр очистки таким образом, чтобы для внешних клиентов (пользователей) защищаемой информационной системы это было незаметно, т.е. по всем признакам так, как это происходило бы при подключении напрямую.

Если говорить о каждом из механизмов подробнее, то при перенаправлении трафика посредством BGP в режиме мониторинга весь трафик направляется напрямую в защищаемый периметр. Маршрутизаторы Kaspersky DDoS Prevention и маршрутизаторы защищаемого объекта постоянно обмениваются информацией о статусе соединения. При этом виртуальные GRE-туннели постоянно находятся в активном состоянии, готовые в любой момент принять перенаправленный трафик. Во время атаки, когда сенсор «Лаборатории Касперского» находит в трафике аномалию, можно перенаправить трафик на центр очистки Kaspersky DDoS Prevention, при этом сенсор продолжает работать и отслеживать текущую ситуацию. После окончания атаки трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.

Рисунок 2. Перенаправление трафика. Переключение по BGP

Рисунок 2. Перенаправление трафика. Переключение по BGP

При перенаправлении трафика посредством DNS «Лаборатория Касперского» выделяет для защищаемого объекта специальный пул IP-адресов Kaspersky DDoS Prevention, который используется во время атаки. Во время ее возникновения компания имеет возможность изменить IP-адреса своих защищаемых ресурсов в DNS-записи. При этом защищаемые ресурсы начинают использовать IP-адреса Kaspersky DDoS Prevention. Поскольку злоумышленники могут атаковать непосредственно IP-адреса защищаемых ресурсов, то на время атаки интернет-провайдер компании блокирует весь трафик, идущий на эти адреса, за исключением связи с инфраструктурой сервиса Kaspersky DDoS Prevention. После окончания атаки объект восстанавливает исходную DNS-запись, и трафик снова поступает напрямую в защищаемый период, т.е. снова включается режим мониторинга.

Рисунок 3. Перенаправление трафика. Переключение по DNS

Рисунок 3. Перенаправление трафика. Переключение по DNS

Подчеркнем, что для работы Kaspersky DDoS Prevention нет необходимости включать на постоянной основе в цепочку прохождения трафика дополнительные элементы (аппаратно-программные комплексы, программные агенты и пр.), необходимо лишь дублировать трафик на сенсор «Лаборатории Касперского», который работает в стороне от основной инфраструктуры предприятия-клиента. Таким образом, при отсутствии атак, в режиме мониторинга, защищаемые ресурсы работают ровно по такой же схеме, что и безиспользования Kaspersky DDoS Prevention,.

Участие же в мониторинге трафика специалистов «Лаборатории Касперского» позволяет проявлять индивидуальный подход к каждой компании. В частности, дежурные аналитики при необходимости оповещают технических специалистов защищаемых ресурсов о начале DDoS-атаки, а также в случае необходимости разрабатывают индивидуальные сигнатуры для фильтрации трафика.

В целом организация сервиса Kaspersky DDoS Prevention позволяет ему постоянно развиваться в соответствии с тем, как изменяются параметры DDoS-атак, проявлять индивидуальный подход к каждому ресурсу, не мешать нормальной работе защищаемых объектов и практически бесшовно отражать DDoS-атаки всех известных на сегодняшний день типов.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru