Обзор решений по борьбе с DDoS-атаками

Развертывание защиты от
DDoS-атак
Алексей Лукацкий, бизнес-консультант
alukatsk@cisco.com
security-request@cisco.com

© Cisco и/или ее дочерние компании, 2014. Все права защищены. Cisco Public
§  Риски очевидны
–  распределенные атаки типа «отказ в обслуживании» (DDoS) привлекательны для злоумышленников;
–  DDoS-атаки ставят под угрозу бизнес операторов связи (ISP), поставщиков хостинга, предприятий;
–  каждый может пострадать;
–  сложность атак растет – и это только начало.
§  Защита от DDoS-атак – вопрос обеспечения непрерывности деятельности
Введение
https://twitter.com/olesovhcom/status/416667262146195456/photo/1

Элементы, подверженные DDoS-атакам
§  Приложения
–  Атаки используют протоколы TCP/HTTP для перегрузки вычислительных ресурсов
§  Хосты/серверы
–  Попытка перегрузки ресурсов с использованием атак на протоколы—критически
важные серверы не ответят на обычный запрос
§  Пропускная способность
–  Атаки направлены на заполнение пропускной способности IP-сети передачи
данных, чтобы ограничить или заблокировать передачу легитимного трафика
§  Инфраструктура
–  Атаки нацелены на критически важные ресурсы сети, включая маршрутизаторы,
DNS/DHCP-серверы и другие устройства, обеспечивающие связность сети
§  Побочный ущерб
–  Атаки, которые воздействуют на устройства, не являвшиеся целью
первоначальной атаки, например, переполнение вычислительных ресурсов
устройств, оказавшихся на пути распространения DDoS-атаки

Интернет
§  DDoS-атаки бывают различных видов:
–  Атаки на прикладном уровне
§  Обнаруживаются и обрабатываются МСЭ и СОВ, либо на уровне сервера
–  Атаки с заполнением полосы пропускания (в том числе атаки на протоколы)
§  НЕ могут быть нейтрализованы в ЦОД или на серверной ферме (слишком поздно)
§  Подлежат нейтрализации на магистральной или граничной областях
–  Атаки на сетевые устройства с контролем состояния (МСЭ, балансировщики и
т.д.)
Введение
СОВ
МСЭ
Статический
фильтр (DPI)
Веб-сервер Веб-кэш
Сервер БД
Граничный
марш-р
Транзитный и
пиринговый
трафик
Магистральный
марш-р Марш-р
ЦОДа

Введение: атаки
§  Различные типы DDoS-атак
–  Атаки непрямого воздействия (DrDoS): атаки, усиленные поддельными адресами
отправителя
§  DNS
§  NTP
§  CharGen
§  SNMP
–  Атаки на 3–4 уровни
§  TCP SYN
§  UDP Frag
§  ICMP-флудинг
–  Атаки на 7 уровень
§  HTTP-атака (GET/POST)
§  SIP
§  SSL
§  ...

Требования по защите от DDoS-атак
§  Корректное и автоматическое выявление и классификация DDoS-атаки
§  Гарантии пропускания легитимных потоков трафика
§  Способность противостоять тяжелым атакам, характеризующимся
большой нагрузкой как в Mbit/s так и в PPS
§  Возможности масштабирования по производительности
§  Поддержка бесперебойной работы важнейших
бизнес-приложений

Типичный алгоритм нейтрализации DDoS-атак
1.  Определение «нормального» поведения в сети
–  Определение параметров поведения трафика, приложений, узлов
–  Определение объектов защиты
–  Определение параметров «нормального» поведения для объектов защиты
2.  Обнаружение DDoS-атак
–  Анализ данных телеметрии и (или) иных шаблонов, отличающихся от
«нормального» поведения
3.  Перенаправление потенциального DDoS-трафика на устройства
отражения (очистки)
4.  «Очистка» трафика
–  2-4 этапы могут быть объединены в рамках одного устройства
–  Не забудьте вернуть очищенный трафик к месту назначения

Типичные механизмы нейтрализации DDoS-атак
§  Сетевое оборудование – корпоративное или операторское
–  Access control lists (ACLs)
–  BGP Remotely Triggered BackHole (RTBH)
§  Коммерческие специализированные решения (например, Arbor TMS)
§  Системы мониторинга и обнаружения аномальной активности (NBAD)
–  На базе телеметрических данных (NetFlow, DNS, Syslog, SNMP и т.п.)
§  Системы обнаружения и предотвращения вторжений (IPS)
§  Использование баз репутации (черных списков)

Варианты реализации
DDoS
Сетевое
оборудование с
функциями отражения
DDoS
Специализированные
устройства для
борьбы с DDoS
Защитные устройства
с функциями защиты
от DDoS
Сервисы от оператора
связи или
специализированного
провайдера услуг
•  Лаборатория
Касперского
•  BIFIT
•  QRator
•  Group-IB
•  Akamai
•  Arbor
•  Radware
•  МФИ-Софт
•  Cisco ISR
•  Cisco ASR
•  Cisco GSR
•  Cisco CRS
•  Cisco ASA 5500-X
•  Cisco CTD
•  Cisco SCE
•  Cisco Sourcefire NGIPS

Списки контроля доступа

Access-Control Lists (ACLs)
§  Обычно применяются на периметре сети заказчика
§  Обеспечивают гибкую фильтрацию по специфичным портам и протоколам
§  Могут столкнуться со сложностью в крупных сетях
–  Какое количество ACL поддерживается пограничным маршрутизатором?
–  Как автоматизировать создание и отмену ACL «на лету»?
§  Обычно применяется против эпидемий вредоносных программ (например,
SQL/Slammer)
“внешний” “внешний”
ядро
периметр заказчика

ACL: Основные положения
§ ACL широко применяются в качестве первичного средства
сдерживания
§ Предпосылки: идентификация и классификация—необходимо
знать, что именно отфильтровывается
§ Применяйте как можно более подробные ACL
§ ACL подходит для статических атак и не столь эффективны для
быстро изменяющихся профилей нападения
§ Изучите ограничения производительности ACL до того, как вы
подвергнетесь атаке

Можно ли ограничиться ACL?
§ Сильные стороны ACL:
–  Детализация фильтрации пакетов (порты, протоколы, диапазоны,
фрагменты и т.п.)
–  Относительно статичная фильтрация окружения
–  Четкие правила фильтрации
§ Недостатки ACL выясняются при рассмотрении:
–  Динамических конфигураций атак (разные источники атак, разные
начальные точки атак и т.д.)
–  Частые изменения
–  Быстрое одновременное развертывание на нескольких устройствах

Встроенные в сетевое оборудование
механизмы

Network Foundation Protection
Защита инфраструктуры
Control Plane
Data Plane
•  Эшелонированная защиты для протоколов маршрутизации
•  Технологии: Receive ACLs, control plane policing, routing protection
•  Обнаружение аномалий и реагирование в реальном времени
•  Технологии: NetFlow, IP source tracker, ACLs, uRPF, RTBH, QoS tools
•  Защита и защищенное управление Cisco IOS
•  Технологии: CPU and memory thresholding, dual export syslog,
encrypted access, SNMPv3, security audit
Management
Plane
“outside” “outside”
telnet snmp
Core

Интернет Пользователи
Фильтр CAR
уровня 3
Отражение атаки с помощью CAR
§  Ограничения по скорости входящего и исходящего трафика L3 -
ограничения скорости входящего трафика
§  Фильтры защиты используют ограничения скорости входящего трафика
для сброса пакетов перед тем, как они будут направлены через сеть
§  Обобщенные и детальные ограничения
–  Порт, адрес MAC, IP адрес, приложение, приоритет, QOS_ID

Удаленно включаемый CAR как средство
отражения атаки
§  CAR или DCAR (distributed CAR) является эффективным средством
отражения атак DoS
§  Единственной проблемой является быстрое обновление множества
маршрутизаторов на входе в сеть — особенно при изменении характера
атаки в ответ на ваши контрмеры
–  Существует возможность динамических обновлений CAR при использовании
BGP; это задействует сетевой протокол для включения ограничений скорости по
источнику или точке назначения

Однонаправленная проверка передачи по
обратному маршруту (uRPF)
§  Unicast Reverse Path Forwarding
§  Проверяется источник входящих IP пакетов для того, чтобы быть
уверенным в том, что маршрут обратно к источнику является
“действующим”
§  Позволяет «отсечь» подмену адресов как из внешних сетей, так и во
внутренних сетях
§  95% всех DoS-атак использует подмену адресов

Сброс в «черную дыру»
Сброс в «черную дыру»
§ Удаленный запуск «черной дыры» (RTBH)
–  через BGP объявляется фиктивный маршрут;
–  трафик перенаправляется на интерфейс Null0
или на аналитические устройства;
–  фильтрация по адресу отправителя или
получателя;
–  в перспективе более четкая детализация
благодаря FlowSpec
§ Сбрасывается весь трафик (и легитимный, и
нежелательный)
§ Сопутствующий ущерб ограничивается, но
достигается главная цель злоумышленников

Системы предотвращения вторжений

Системы обнаружения вторжений
§  Системы обнаружения и предотвращения вторжений (IDS/IPS) обладают
ограниченной функциональностью по нейтрализации DDoS-атак
–  Только при условии наличия сигнатуры
–  Только при условии DDoS-атак, не направленных на «забивание» полосы
пропускания (volumetric attack)
§  Отдельные системы предотвращения вторжения могут обнаруживать и
аномалии в сетевом трафике
–  Позволяет обнаруживать и блокировать базовые DDoS-атаки

Системы обнаружения вторжений
§  Ряд DDoS-атак
имеют вполне
конкретные признаки
и могут быть
описаны шаблонами
(сигнатурами),
позволяющими
блокировать их с
помощью IPS, МСЭ,
CTD и т.д.

Платформа FirePOWER для обнаружения вторжений
§  Гибкая интеграция в программное
обеспечение
–  NGIPS,NGFW, AMP
–  Все вышеперечисленные
(просто выбрать соответствующий размер)
§  Гибкая интеграция в аппаратное
обеспечение
–  Масштабируемость: 50 Мбит/с ->60 Гбит/с
–  Стекирование для масштабирования,
кластеризация для отказоустойчивости
§  Экономичность
–  Лучшие в своем классе для систем
предотвращения вторжения, межсетевых экранов
нового поколения
от NSS Labs
До 320 ядер RISC
До 60 Гбит/с
(система предотвращения вторжений)

Производительностьимасштабируемостьсистемыпредотвращениявторжений
Центр
обработки
данных
Комплекс
зданийФилиал
Малый или
домашний офис
Интернет-
периметр
FirePOWER 7100
500 Мбит/с – 1 Гбит/с
FirePOWER
7120/7125/8120
1 - 2 Гбит/с
FirePOWER
8100/8200
2 - 10 Гбит/с
FirePOWER серии
8200 и 8300
10 – 60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 – 250 Мбит/с
+ Сенсоры и консоль
управления в виде ВМ

Cisco ASA с функциями FirePOWER
►  Межсетевое экранирование Cisco® ASA в сочетании с системой
предотвращения вторжений Sourcefire® нового поколения
►  Усиленная защита от вредоносного кода Advanced Malware Protection
(AMP)
►  Лучшие в своем классе технологии анализа ИБ (SI), мониторинга и
контроля приложений (AVC) и фильтрации URL-адресов
Особенности
►  Непревзойденная, многоуровневая защита от угроз
►  Беспрецедентная прозрачность сетевой активности
►  Комплексная защита от угроз на всем протяжении атаки
►  Снижение стоимости и сложности систем
Преимущества
«С помощью
многоуровневой защиты
организации смогут
расширить возможности
для мониторинга, внедрить
динамические механизмы
безопасности и обеспечить
усиленную защиту в
течение всего жизненного
цикла атаки»

Варианты исполнения Cisco ASA with
FirePOWER
FirePOWER Services for 5585-X
(модуль)
FirePOWER Services for 5500-X
(ПО)
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X ASA 5585-X

«Черные
списки»
или
использование
репутации
узла

§ Что это?
–  Сигналы тревоги и правила блокирования:
§  Трафик ботнетов и C&C / Известные
злоумышленники / открытые прокси/релеи
§  Источники вредоносного ПО, фишинга и спама
–  Возможно создание пользовательских списков
–  Загрузка списков от Sourcefire или иных
источников
§ Как это может помочь?
–  Блокировать каналы вредоносных
коммуникаций
–  Непрерывно отслеживать любые
несанкционированные и новые изменения

Контроль беспроводных DDoS-атак с помощью
Cisco wIPS / MSE
§  Само мобильное устройство не может сказать, что оно «чужое»
–  Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и
беспроводного
§  Особую сложность представляет контроль 3G/4G доступа, но и он может быть
решен

Обнаружение аномалий

Обнаружение аномалий
§  Что такое обнаружение?
–  Построение базового профиля является важнейшим мероприятием для поиска
осуществляемой атаки
–  Аномалия – событие или условие в сети, характеризуемое статистическим
отклонением от базового профиля
–  Аномалия может быть вызвана не только DDoS-атакой
§  Когда выявлена аномалия
–  Следующим шагом является уведомление устройств(а), ответственного за
разбор трафика на вредоносную и легитимную составляющие

Обнаружение DDoS-атак по аномалии в трафике

A

B

C

C
B
A
CA
B
Не везде есть IPS, но везде есть NetFlow

Сеть как сенсор
§  NetFlow можно взять из всех критичных и важных точек

Cisco Cyber Threat Defense (CTD)
Обзор
StealthWatch
FlowCollector*
StealthWatch
Management
Console*
Управление
StealthWatch
FlowReplicator
(
Другие
анализаторы
Cisco
ISE
StealthWatch FlowSensor*
Netflow
enabled
device
Не-Netlow
устройство
NetFlow NetFlow
NetFlow
* Виртуальный или физический

Netflow как инструмент анализа аномалий

Детали подключений Netflow

Обнаружение угроз на базе поведения сети
• Активность BotNet Command & Control
• Обнаружение утечек данных
• Целенаправленные угрозы (APT)
• Обнаружение Malware, распространяющегося внутри сети
• Обнаружение разведки в сети
• Обнаружение и уменьшение мощности атак DDoS
(партнерство с Radware для коррекции)

Консоль управления CTD

Крупным планом
Обнаружение разных
типов атак, включая
DDoS
Детальная статистика о
всех атаках,
обнаруженных в сети

Визуализация по разным срезам

Использование DPI-решений

DPI как средство борьбы с DDoS-атаками
§ «Глубокий» анализ пакетов (DPI)
–  Устройство следит за всем трафиком без переадресации
–  Анализ обычно является двусторонним
–  Пропускная способность должна составлять несколько Гбит/с
–  Сигнатурный анализ, Статистический анализ, Выявление аномалий
–  Высокая гибкость: выявление аномалий возможно для любых протоколов

Абонент
Приложение Блокировать
Перенаправить
Установить QoS
Пометить
Процесс контроля поведения
Анализ и контроль IP-трафика
§  …Классификация приложений
§  …Связь с состоянием и политикой для каждого абонента
§  …Выбор действия на основе сетевых условий — время дня, превышение лимита,
другие параллельные активности
§  …Привести в исполнение
Условиесети

ПолитикиАнализ и отчеты
Решение Cisco Service Control Engine (SCE)
§  Аккуратная идентификация и
профилирование трафика приложений
и абонентов
§  Полный анализ на уровнях 4-7 – кто
использует сеть и как?
§  Реагирование путем QoS, redirect,
mark или drop для отдельных
абонентов, приложений, времени
суток…
§  Контроль пиринговых приложений,
таких как Skype или Kazaa
Видимость – критический элемент безопасности – вы
не можете контролировать то, чего не видите…

Учет практически любых требований политики безопасности
Политики Cisco Service Control Engine
§  Контроль приложений
–  По сессиям или полосе пропускания
§  Контроль по времени
–  Пиковые загрузки и нерабочее время
§  Контекстный контроль
–  Приоритезация трафика важных приложений
§  Контроль абонентов
–  Квоты и лимиты для каждого абонента
§  Контроль получателя
–  Политики для собственного, пирингового и
транзитного трафика

Cisco SCE: расположение в сети
Абонент
Интернет
BRASDSLAM
Cisco SCE
6500/7600
Сервер
политик
SCE встраивается в
канал и проверяет весь
трафик

Cisco SCE: Обнаружение
§  Спам-боты – выявление на основе анализа SMTP
–  Чрезмерно большое число SMTP-соединений с одного адреса
§  DDoS-атака – выявление по аномалиям трафика
–  Аномальное число соединений от одного внутреннего адреса один внешний адрес
–  Аномальное число соединений от нескольких внутренних адресов один внешний адрес
§  Сканирование/Распространение – выявление по аномалиям трафика
–  Аномальное число соединений от одного хоста на один или несколько других хостов:
–  Несколько портов, один адресат
–  Один порт, несколько адресатов
§  Заражение червями – выявление по сигнатурам
–  Динамическая загрузка сигнатур в SCE посредством редактора сигнатур
–  Сигнатуры создаются вручную – компания Cisco в настоящий момент НЕ предоставляет
сигнатуры для SCE

Обнаружение аномалий средствами SCE
§ Трафик хоста классифицируется как аномальный,
–  если скорость установления соединений превышает порог
или
–  скорость установления подозрительных (односторонних) соединений превышает
порог И доля подозрительных соединений превышает порог
§  Настройка отдельных порогов
выполняется на следующих уровнях:
Тип аномалии: сканирование, DoS, DDoS
Интерфейс (абонент / сеть)
Список хостов
Протокол IP (контроль групп портов
или отдельных портов)
Список портов

«Какова общая картина подозрительной
активности в сети?»

«Какие порты могут являться целями для
вредоносного трафика?»

«Сколько абонентов выполняют
вредоносные действия в сети?»

«Как определить первую десятку
нарушителей?»

Передача NetFlow на внешние решения. Сброс
в «черную дыру»

Использование внешних центров очистки
Использование центров очистки
•  Перенаправление на устройства очистки
трафика;
•  разделение легитимного и вредоносного
трафика;
•  сервисы «мишени» продолжают работать;
•  сопутствующий ущерб отсутствует.

§  Централизованная модель: для защиты от атаки используется
выделенная часть сети – центр очистки трафика.
Модели защиты от DDoS-атак:
централизованная, распределенная или гибридная
Источники
транзитного
трафика
Источники
пирингового
трафика
Магистраль
Центр очистки трафика
«Мишень»

Источники
трафика
Источники
трафика
§  Централизованная модель: трафик к «мишени» перенаправляется и
проходит через центр очистки.
«Мишень»
Примечание: асимметричный трафик и I2O-трафик не проходит через центр очистки

Источники
трафика
Источники
трафика
§  Распределенная модель: мы устанавливаем центры очистки трафика
на периметре магистральной сети.
«Мишень»

Источники
трафика
Источники
трафика
§  Гибридная модель: центры очистки трафика на периметре магистральной
сети для основной работы и внутри сети для обработки дополнительной
нагрузки.
«Мишень»

централизованная или распределенная —
плюсы и минусы
Централизованная Распределенная
Cтоимость владения потенциально ниже
Совместно используемые ресурсы
Возможно потребуется больше карт
или устройств
Весь «грязный» трафик передается
на очистку в сеть,
что может переполнить нашу сетевую
инфраструктуру
Убирает «грязный» трафик
на периметре сети.
Эксплуатационные расходы ниже.
Нужен продуманный механизм
туннелирования или виртуальной
маршрутизации-коммутации (VRF) для
передачи «чистого» трафика
Возможны более простые модели
развертывания

ПРОЦЕСС ЗАЩИТЫ ОТ DDОS-АТАК

§  Нейтрализация DDoS-атаки – это процесс, выполняемый в несколько
этапов в разных точках сети и с использованием различных продуктов.
Процесс защиты от DDoS-атак
–  Обнаружение: идентификация аномального поведения в сети и уведомление
оператора.
–  Отвод (offRamp): перенаправление трафика для «мишени» на устройство
очистки трафика.
–  Нейтрализация: устройство очистки трафика разделяет легитимный и
вредоносный трафик с блокировкой последнего.
–  Возврат (onRamp): возврат легитимного трафика в сеть и обеспечение его
доставки получателю.
Отвод
(offRamp)
Марш-р
Возврат
(onRamp)
Марш-р
Нейтрализация
Модуль CGSEОтдельное
устройство
Обнаружение
Марш-р
Коллектор

Коллектор
Источники
трафика
Источники
трафика
§  Отвести трафик можно несколькими способами, но цель всегда одна —
трафик перенаправляется к устройству очистки.
Пример:
«Мишень»
Отвод
BGP
BGP

Обнаружение
Коллектор
Источники
трафика
Источники
трафика
§  Все граничные маршрутизаторы отправляют данные Netflow к платформе коллектора (CP).
§  Возможно, граничные маршрутизаторы, маршрутизаторы ЦОД или даже все остальные
маршрутизаторы будут делать то же самое.
«Мишень»Данные
NetFlow
Данные
NetFlow
Данные NetFlow
Обнаружена
атака

Коллектор
Источники
трафика
Источники
трафика
§  Опираясь на инструкции от СР, система управления угрозами (TMS) анализирует пакеты и
сбрасывает вредоносный трафик
§  Обратная связь с CP осуществляется в режиме реального времени
«Мишень»
Нейтрализация
HTTPS

Коллектор
Источники
трафика
Источники
трафика
§  Возврат реализуется на базе механизмов (GRE, VRF, ...) транспортировки
хороших пакетов к месту назначения, несмотря на работу механизма отвода на
маршрутах.
Пример:
«Мишень»
Возврат

СОТРУДНИЧЕСТВО С ARBOR

Решение Arbor Peakflow SP
Портфель решений
§  Arbor Networks предлагает ряд продуктов для обнаружения и нейтрализации DDoS-
атак. Как минимум, два из них обязательны для работы с решением:
§  Платформа коллектора (CP)
§  Собирает данные Flow;
–  обнаруживает аномальное поведение в сети и генерирует предупреждения;
–  может влиять на маршрутизацию, объявляя в сети маршруты BGP;
–  поддерживает расширение BGP FlowSpec;
–  осуществляет удаленную настройку и мониторинг TMS.
§  Система управления угрозами (TMS)
–  Настраивается в CP, получает перенаправленный трафик и проводит многоуровневый
анализ пакетов;
–  отбрасывает вредоносные пакеты, передает легитимные;
–  предоставляет операторам данные мониторинга в режиме реального времени;
§  для дополнительной защиты доступны другие продукты:
–  FS, BI, PI

Arbor TMS в модуле CGSE или устройстве
защиты?
§  TMS – это продукт от Arbor, можно встраивать в разное оборудование.
–  Сервисная плата CRS: модуль
СGSE, установленный в
маршрутизатор CRS
–  Реализация на базе шасси или
в виде отдельного устройства
Arbor, сопряженного с другим
устройством, работающим на 3-
м уровне.
–  Сервисная плата ASR: модуль,
установленный в
маршрутизатор ASR

§  Поддерживается в
–  матрицах коммутации CRS-1 / CRS-3 / CRS-X;
–  одиночное или мультишасси на 4 / 8 / 16
слотов;
–  до 12 плат в шасси на 16 слотов.
§  Многоцелевая сервисная плата:
–  CGN;
–  Arbor TMS.
§  Реализован на дистрибутиве Linux Monte
Vista, но настраивается через ОС IOS-XR.
§  Предоставляет высокопроизводительную
платформу для сторонних приложений,
таких как Peakflow SP TMS.
Сервисный модуль операторского класса (CGSE)

Пример экрана: 2 модуля CGSE

Пример экрана: резюме по отражению атак

Пример экрана: отражение атак на модуле CGSE

Пример экрана: отражение атак на модулях CGSE

§  От DDoS-атак страдают все
§  Существуют различные технологии обнаружения и отражения DDoS-атак и
способы их реализации
§  Не существует хороших и плохих технологий или моделей их развертывания, все
зависит от топологии и вложений
§  До тех пор, пока мы не перейдем на действительно эффективные системы с
искусственным интеллектом, защита от DDoS-атак будет задачей сетевых
инженеров:
–  Понимание топологии и поведения сетевого трафика
–  Тонкая настройка NetFlow или иных критериев «нормальности» трафика (для SCE, NGIPS и
т.д.)
–  Высококвалифицированный персонал с командами быстрого реагирования
–  Эффективные процедуры передачи управления, реагирование на инциденты, управление
заявками на устранение неисправностей
Заключение

Enterprise or Cloud
Global DDoS Detection
& Mitigation Centers
SP
SP
SP Applications,
Services &
Databases
Firewall IPS/IDS
SP
Load
Balancer
SSL/TLS
Termination
Web App
Firewall
Application Delivery Controller
(ADC)
SP DDoS
Detection &
Mitigation Center
App DDoS
Detect &
Mitigate
DDoS Analyzers and/or Telemetry Aggregators
•  Issue redirection and/or local scrubbing
instructions to networking infrastructure and
DDoS mitigators
Redirect, Scrub
Redirect,
Scrub
Peering DDoS Mitigation
•  DDoS mitigation close to source
•  Simple (L4-based) scrubbing
done by routers/switches
Несколько уровней
защиты от DDoS
DDoS Traffic Redirection
•  Redirect DDoS suspect traffic to
scrubbers (SP or DDoS mitigation
provider)
•  Highly Delay Senstive traffic may
not be redirected
Global DDoS Mitigation
•  Receives redirected traffic for scrubbing
•  Global pool of scrubbing resources with elastic scrubbing
capacity
•  Scubs traffic to DDoS target; some residual DDoS traffic
makes it through (app-specific)
Redirect,
Scrub
Provider Edge Scrubbing
•  Local scrubbing of highly
delay sensitive traffic
App Specific Scrubbing
•  Local scrubbing of
application specific traffic
•  Includes scrubbing of
encrypted traffic

Обзор решений по борьбе с DDoS-атаками

Обзор решений по борьбе с DDoS-атаками

More Related Content

Viewers also liked

Similar to Обзор решений по борьбе с DDoS-атаками

More from Cisco Russia

Обзор решений по борьбе с DDoS-атаками