Системы защиты от DDoS атак

Защита от bandwidth consumption DDOS

Защита от bandwidth consumption DDOS

В данной схеме нет очистки трафика, так как чистить его на каналах с небольшой пропускной способностью смысла нет.

Трафик зеркалируется на оборудование A10 (mirroring). Пересылка трафика оборудованием A10 не выполняется, но ведется сигнализация(logging и пр.) по заранее определенным параметрам (например: rate-limit udp, tcp, icmp и др). Таким образом можно с точностью определить, что на конкретного клиента есть атака, не дожидаясь пока завалит весь uplink.

Полоса, которая дана клиенту (IP), известна заранее, например, 100 mb/s, установив пороговое значение threshold, можно сразу отрубить этот IP при попытке такой атаки.

Блокировка происходит по методу black-hole, между A10 и маршрутизатором настраивается BGP, в случае срабатывания политик оборудование A10 выполняет Route inject с community (настраивается). Соответственно вся сеть перестраивается по этому community, в данном случае black-hole. Через некоторое время A10 отписывает маршрут и все повторяется снова, есть ddos – опять inject.

Преимущества: Своевременное определение атаки, нет необходимости определять ее самостоятельно, logging, NetFlow, возможность гибко настраивать политики срабатывания.

Остается только наблюдать и уведомить клиента о том, что сервис его недоступен и требуется очистка трафика.

Защита от прочего мусора (TCP Connection Attacks, Fragmentation Attacks, Application Attacks и др.)

Защита от TCP Connection Attacks

В данной схеме мы защищаем входящий трафик для всех клиентов или для тех? которые просят об этом. Входящий трафик всех или отдельных клиентов отправляется на оборудование A10. A10 thunder очищает входящий трафик по заранее настроенным политикам. На выход к клиенту приходит уже легитимный трафик. Помимо всего прочего получаем logging, netflow.

Недостатки:
Ручное конфигурирование каждого клиента на оборудовании A10.

Варианты 1 и 2, можно совместить частично или полностью на оборудовании A10. Например, вместо того, что чтобы слать community на black-hole, можно отправить community на redirect и на более “толстый” канал для последующей очистки.

Самый сложный вариант, но очень гибкий.

Онлайн защита от DDOS

Рассматривается использование стороннего ПО, например, Flowtraq. ПО анализирует каналы связи, разбирая трафик в режиме реального времени. На основе этого анализа при выявлении ddos происходит перепрограммирование A10 через API.
Этими вариантами внедрения A10 не ограничивается. Возможны и другие варианты, но на наш взгляд – это основные примеры, которые могут подойти для вашей сети.