All-inclusive DDoS protection
Pentru a începe, serviciul poate fi utilizat la cerere sau întotdeauna activat, depinde de tine.
Majoritatea clienților preferă abordarea la cerere, deoarece doresc să păstreze traficul în rețeaua lor cât mai mult posibil. Atunci când soluția dvs. curentă nu mai funcționează, puteți începe să redirecționați traficul de intrare expus la / 24 (sau mai mult) prin Voxility DDOS mitigation cloud.
Soluția Voxility verifică straturile 2, 3, 4 și 7, care sunt de fapt toate straturile care trebuie verificate.
Protecția noastră este concepută pentru a funcționa la următorii parametri:
– Blocați atacurile 1Tbps+ foarte mari pentru orice tip de atac reflectorizant: amplificarea DNS, amplificarea NTP, amplificarea cutremurului, încărcătorul etc.
– Blocați orice tip de atac UDP care nu este direcționat prin anumite porturi deschise(toate TCP sunt deschise).
– TCP este protejat fără sin-proxy (în prezent, deoarece funcționează cu orice instalare de rețea – vom dezvolta o singură bucată de trafic sin-proxy) cu capacitatea de a proteja nivelul 7 (HTTP / HTTPS) prin porturi: 80,443,2078,2083,2087,2095,2096
– Stratul 7 este destinat numai HTTP / HTTPS
– La UDP, susținem aceste aplicații:
UDP |
1025 – 65535 | 53 | ALLOW – with DNS specific inspection / filtering |
1025 – 65535 | 1194 | ALLOW – OpenVPN whith generic inspection / filtering | |
1025 – 65535 | 7000 – 8999 (original: 7777) | ALLOW – with SA-MP specific inspection / filtering | |
1025 – 65535 | 2011 – 2110, 9000 – 9999 (original: 9987) | ALLOW – with Teamspeak specific inspection / filtering
( NOTE: 2011 – 2110 range is reserved for Teamspeak Licensing and it is not designed to work with client connections! ) |
|
1025 – 65535 | 27000 – 29000 | ALLOW – With “Steam-Server” inspection / filtering | |
1025 – 65535 | 2300 – 2400 | ALLOW – With “ARMA3” inspection / filtering | |
27016 – 27025 | 1025 – 65535 | ALLOW – With “Steam-Client” inspection / filtering |
Rețineți că aceste porturi sunt fixe (se poate observa că avem intervalele nu numai ale unui singur port), dar putem adăuga aplicații la cerere – de obicei durează câteva zile. Aceste aplicații sunt protejate de filtre avansate de manipulare a traficului.
Ceea ce va trece prin protecție nu este în prezent destinat filtrării:
– exploatare
– viruși
– diferite tipuri de atacuri care nu utilizează lățime de bandă (de exemplu, exploatări / 0day / hacking)
În afară de TCP și UDP, sunt permise numai protocoalele GRE și unele tipuri de ICMP, dar nu vă sfătuim să utilizați / să vă bazați pe nici unul dintre ele – așa cum am menționat, o protecție pe care nu este proiectată să o permită VPN prin ea.
Citiți mai multe despre tipurile de atacuri DDoS care sunt ușor filtrate:
– IP atacuri de protocol inexistente, cum ar fi Flood cu pachete IP cu valori rezervate în câmpul protocol;
– atac folosind fragmente, cum ar fi trimiterea de fragmente IP distorsionate cu sarcini utile suprapuse, supradimensionate pe mașina țintă;
– atacuri folosind ICMP, cum ar fi: ICMP Flood, Smack, Smurf atac (OBSOLETE);
– atacuri IGMP, cum ar fi: inundații IGMP;
– atacurile TCP, cum ar fi: inundații Xing, inundații Xing-ACK, inundații ACK, inundații FIN, inundații RST, inundații TCP ECE, inundații TCP NULL, inundații TCP steaguri eronate, inundații TCP Xmas, sesiune falsă, SRC IP la fel ca DST IP;
– atacuri UDP, cum ar fi: inundații accidentale UDP, Fraggle, interogări DNS, amplificare DNS (+DNSSEC), amplificare NTP, SNMPv2, NetBIOS, SDP, CharGEN, QOTD, BitTorrent, Kad, protocol de cutremur în rețea, protocol de spam;
– atacuri HTTP, cum ar fi: Slowloris (Apache / IIS Attack), R-U-Dead-Yet (RUDY), HTTP Object Request Flood;
– Alte categorii de atacuri, cum ar fi: atac asupra aplicațiilor neutilizate, atac asupra citirii lente.
Protecția DDos are 3 stări:
– “senzor” > detectează și redirecționează traficul numai atunci când este detectat un atac. De obicei durează câteva secunde.
Rețineți că, în câteva secunde, când senzorul începe să funcționeze, ar putea afecta serviciul pentru clienți dacă volumul atacurilor DDOS a depășit deja capacitatea contractuală de uplink.
– “întotdeauna pornit” > traficul este întotdeauna filtrat, ceea ce este bun pentru serverele care sunt foarte sensibile la încărcarea bruscă a traficului, dar nu recomandăm această stare decât dacă este necesar.
– “întotdeauna oprit” > nu filtrează traficul, indiferent de ce se întâmplă – nu este recomandat și disponibil numai la cerere.
Pentru primele 2 state, ne puteți cere să dezactivați filtrarea la nivelul 7 (care este activată în mod implicit) sau să utilizați API-ul disponibil (găsiți în aplicație).
De asemenea, API-ul-în secțiunea de pornire cum se face, există comenzi care vă pot returna informații legate de starea fiecărui IP
– Am implementat anti-spoof pentru TCP (nivelul 3) și roboții HTTP (nivelul 7). Acestea sunt doar exemple.
– dacă utilizați Anti-DDoS cu 7 straturi de filtrare (proxy invers), atunci când primiți un atac asupra portului 80 al serverului web, Conținutul site-ului dvs. este cache de filtrul DoS. Numai traficul filtrat necomprimat va ajunge la serverul dvs. Reverse Proxy este o armată de servere web care vă cache conținutul și înmulțește capacitatea serverului de sute de ori.
Ca efect secundar, accelerează livrarea conținutului web. Conținutul care nu poate fi stocat în cache este transmis serverului dvs. după ce sesiunea inițiată de utilizator o va testa pentru posibile acțiuni rău intenționate.
Cum funcționează relaxarea Layer7:
1. Clientul încearcă să acceseze pagina dvs. de web-protecția DDOS servește o pagină fictivă care instalează un cookie și trimite înapoi clientului pentru a actualiza pagina.
2. Dacă Clientul este un browser real, acesta va instala cookie-urile și va reintra în pagina dvs. web, dar de data aceasta protecția va vedea cookie-urile și îi va permite să treacă și să acceseze pagina de pe server.
În ceea ce privește SLA pentru atenuarea DDoS
Există multe modalități de a rezolva problema suo în ceea ce privește serviciul de atenuare a DDoS.
1. Disponibilitatea serviciului-depinde în mare măsură de modul în care este livrat.
Dacă serviciul este livrat prin secure uplink( cross-connect), garantăm disponibilitatea accesului la internet de 99.9%, inclusiv întreținerea (de obicei nu este inclusă în costul serviciilor oricărui alt operator).
Acest lucru poate duce la o pierdere de comunicare de un total de 2 ore pe trimestru.
Începem măsurarea eșecului atunci când majoritatea Internetului nu este disponibilă prin acest serviciu. Aceasta include întreruperi cauzate de întreținere, erori de tehnicieni, defecțiuni hardware, etc. defecțiuni de cabluri (conexiuni încrucișate) utilizate pentru a se conecta la acest serviciu sunt predispuse la alte SLA și nu sunt considerate eșecuri.
Întreținerea (cum ar fi actualizarea software-ului) sau alte erori operaționale vor duce la întreruperi. De obicei, serviciul durează 15 minute și este planificat.
În cazul în care garanția pe performanța pe parcursul trimestrului calendaristic nu va fi realizat, vom depune fonduri în contul dvs. după cum urmează: 1 luna pentru acest serviciu, pentru 99,2% și mai mult; 2 luni acest serviciu de peste 99% și mai mult; 3 luni acest serviciu în mai puțin de 99%.
Excepția este forța majoră de circumstanțe și întreruperi cauzate de acțiunile clientului sau de abuzul serviciului.
Dacă aveți, de asemenea, un tunel anti-DDOS ca o copie de rezervă, acest lucru ar trebui să determine disponibilitatea serviciului să treacă la 99,99%.
Dacă aveți doar un serviciu Anti-DDOS tunel, ar trebui să ia în considerare mai mulți factori, deoarece traficul va trece prin terțe părți (alte rețele) pentru a ajunge la tine.
2. Eficiența serviciului – aici ne confruntăm cu dificultăți în plasarea acestuia în numere (așa cum am făcut mai sus), deoarece nu depinde în întregime de Voxility.
Pentru început, serviciul funcționează pe parametrii descriși la începutul scrisorii.
O soluție comună se face pentru a proteja rețelele, mai degrabă decât traficul de aplicații sau filtre specifice care utilizează atacuri care depind, de asemenea, de aplicațiile client.
În cazul unui nou tip de atac DDOS care trece prin protecție, avem o echipă de ingineri care pot actualiza filtrele în consecință. În funcție de complexitatea atacului, o soluție completă a problemei poate dura până la 24-48 de ore. Această estimare a timpului este dată pe baza experienței anterioare. Cele mai multe probleme sunt rezolvate mult mai repede.
Echipa noastră are nevoie de interceptări de trafic din partea clientului, le analizăm și actualizăm filtrele în mod corespunzător, în timp real. Așa se întâmplă procesul.
Este important să știm că nu putem proteja traficul criptat (tip VPN), deoarece nu îl putem verifica. Aceasta este problema oricărui furnizor de servicii DDOS.
Serviciile VPN criptate, cum ar fi SSL VPN, tunelurile IPsec care utilizează protocolul UDP sunt filtrate (în majoritatea cazurilor aruncate) în modul de relaxare, în timp ce serviciile TCP, cum ar fi https/S3/TLS Exchange, sunt acceptate.
Traficul VoIP și toate cele similare bazate pe UDP în general (altele decât cele pe care le susținem pe lista noastră) nu pot fi protejate în mod corespunzător prin intermediul soluției noastre comune DDoS de reducere a riscului, deoarece există prea multe pozitive false.
Aici este de obicei necesar un sla expert, deoarece vom construi un dispozitiv încorporat cu reguli de filtrare personalizate adaptate aplicației dvs. și tipului de trafic. Aceasta include un dispozitiv hardware suplimentar și o soluție creată de la zero și personalizată pentru a se potrivi nevoilor clientului. Nu depinde de serviciul cloud general, iar capacitățile de filtrare sunt limitate la canalele ascendente conectate într-o cutie hardware.
În acest caz, dacă volumul DDoS depășește capacitatea unității hardware, traficul va fi redirecționat printr-o soluție bazată pe cloud (capacitate 2 Tbps+).