Protec╚Ťie DDoS

Pentru a ├«n╚Ťelege mai bine modul de Protec╚Ťie DDoS ╚Öi efectele, v─â rug─âm s─â verifica╚Ťi urm─âtoarele informa╚Ťii:

All-inclusive DDoS protection

Pentru a începe, serviciul poate fi utilizat la cerere sau întotdeauna activat, depinde de tine.

Majoritatea clien╚Ťilor prefer─â abordarea la cerere, deoarece doresc s─â p─âstreze traficul ├«n re╚Ťeaua lor c├ót mai mult posibil. Atunci c├ónd solu╚Ťia dvs. curent─â nu mai func╚Ťioneaz─â, pute╚Ťi ├«ncepe s─â redirec╚Ťiona╚Ťi traficul de intrare expus la / 24 (sau mai mult) prin Voxility DDOS mitigation cloud.

Solu╚Ťia Voxility verific─â straturile 2, 3, 4 ╚Öi 7, care sunt de fapt toate straturile care trebuie verificate.

Protec╚Ťia noastr─â este conceput─â pentru a func╚Ťiona la urm─âtorii parametri:

– Bloca╚Ťi atacurile 1Tbps+ foarte mari pentru orice tip de atac reflectorizant: amplificarea DNS, amplificarea NTP, amplificarea cutremurului, ├«nc─ârc─âtorul etc.

– Bloca╚Ťi orice tip de atac UDP care nu este direc╚Ťionat prin anumite porturi deschise(toate TCP sunt deschise).

– TCP este protejat f─âr─â sin-proxy (├«n prezent, deoarece func╚Ťioneaz─â cu orice instalare de re╚Ťea – vom dezvolta o singur─â bucat─â de trafic sin-proxy) cu capacitatea de a proteja nivelul 7 (HTTP / HTTPS) prin porturi: 80,443,2078,2083,2087,2095,2096

– Stratul 7 este destinat numai HTTP / HTTPS

– La UDP, sus╚Ťinem aceste aplica╚Ťii:

 

 

UDP

1025 – 65535 53 ALLOW – with DNS specific inspection / filtering
1025 – 65535 1194 ALLOW – OpenVPN whith generic inspection / filtering
1025 – 65535 7000 – 8999 (original: 7777) ALLOW – with SA-MP specific inspection / filtering
1025 – 65535 2011 – 2110, 9000 – 9999 (original: 9987) ALLOW – with Teamspeak specific inspection / filtering

( NOTE: 2011 – 2110 range is reserved for Teamspeak Licensing

and it is not designed to work with client connections! )

1025 – 65535 27000 – 29000 ALLOW – With “Steam-Server” inspection / filtering
1025 – 65535 2300 – 2400 ALLOW – With “ARMA3” inspection / filtering
27016 – 27025 1025 – 65535 ALLOW – With “Steam-Client” inspection / filtering

Re╚Ťine╚Ťi c─â aceste porturi sunt fixe (se poate observa c─â avem intervalele nu numai ale unui singur port), dar putem ad─âuga aplica╚Ťii la cerere – de obicei dureaz─â c├óteva zile. Aceste aplica╚Ťii sunt protejate de filtre avansate de manipulare a traficului.

Ceea ce va trece prin protec╚Ťie nu este ├«n prezent destinat filtr─ârii:

– exploatare

– viru╚Öi

– diferite tipuri de atacuri care nu utilizeaz─â l─â╚Ťime de band─â (de exemplu, exploat─âri / 0day / hacking)

├Än afar─â de TCP ╚Öi UDP, sunt permise numai protocoalele GRE ╚Öi unele tipuri de ICMP, dar nu v─â sf─âtuim s─â utiliza╚Ťi / s─â v─â baza╚Ťi pe nici unul dintre ele – a╚Öa cum am men╚Ťionat, o protec╚Ťie pe care nu este proiectat─â s─â o permit─â VPN prin ea.

Citi╚Ťi mai multe despre tipurile de atacuri DDoS care sunt u╚Öor filtrate:

– IP atacuri de protocol inexistente, cum ar fi Flood cu pachete IP cu valori rezervate ├«n c├ómpul protocol;

– atac folosind fragmente, cum ar fi trimiterea de fragmente IP distorsionate cu sarcini utile suprapuse, supradimensionate pe ma╚Öina ╚Ťint─â;

– atacuri folosind ICMP, cum ar fi: ICMP Flood, Smack, Smurf atac (OBSOLETE);

– atacuri IGMP, cum ar fi: inunda╚Ťii IGMP;

– atacurile TCP, cum ar fi: inunda╚Ťii Xing, inunda╚Ťii Xing-ACK, inunda╚Ťii ACK, inunda╚Ťii FIN, inunda╚Ťii RST, inunda╚Ťii TCP ECE, inunda╚Ťii TCP NULL, inunda╚Ťii TCP steaguri eronate, inunda╚Ťii TCP Xmas, sesiune fals─â, SRC IP la fel ca DST IP;

– atacuri UDP, cum ar fi: inunda╚Ťii accidentale UDP, Fraggle, interog─âri DNS, amplificare DNS (+DNSSEC), amplificare NTP, SNMPv2, NetBIOS, SDP, CharGEN, QOTD, BitTorrent, Kad, protocol de cutremur ├«n re╚Ťea, protocol de spam;

– atacuri HTTP, cum ar fi: Slowloris (Apache / IIS Attack), R-U-Dead-Yet (RUDY), HTTP Object Request Flood;

– Alte categorii de atacuri, cum ar fi: atac asupra aplica╚Ťiilor neutilizate, atac asupra citirii lente.

Protec╚Ťia DDos are 3 st─âri:

– “senzor” > detecteaz─â ╚Öi redirec╚Ťioneaz─â traficul numai atunci c├ónd este detectat un atac. De obicei dureaz─â c├óteva secunde.

Re╚Ťine╚Ťi c─â, ├«n c├óteva secunde, c├ónd senzorul ├«ncepe s─â func╚Ťioneze, ar putea afecta serviciul pentru clien╚Ťi dac─â volumul atacurilor DDOS a dep─â╚Öit deja capacitatea contractual─â de uplink.

– “├«ntotdeauna pornit” > traficul este ├«ntotdeauna filtrat, ceea ce este bun pentru serverele care sunt foarte sensibile la ├«nc─ârcarea brusc─â a traficului, dar nu recomand─âm aceast─â stare dec├ót dac─â este necesar.

– “├«ntotdeauna oprit” > nu filtreaz─â traficul, indiferent de ce se ├«nt├ómpl─â – nu este recomandat ╚Öi disponibil numai la cerere.

Pentru primele 2 state, ne pute╚Ťi cere s─â dezactiva╚Ťi filtrarea la nivelul 7 (care este activat─â ├«n mod implicit) sau s─â utiliza╚Ťi API-ul disponibil (g─âsi╚Ťi ├«n aplica╚Ťie).

De asemenea, API-ul-├«n sec╚Ťiunea de pornire cum se face, exist─â comenzi care v─â pot returna informa╚Ťii legate de starea fiec─ârui IP

– Am implementat anti-spoof pentru TCP (nivelul 3) ╚Öi robo╚Ťii HTTP (nivelul 7). Acestea sunt doar exemple.

– dac─â utiliza╚Ťi Anti-DDoS cu 7 straturi de filtrare (proxy invers), atunci c├ónd primi╚Ťi un atac asupra portului 80 al serverului web, Con╚Ťinutul site-ului dvs. este cache de filtrul DoS. Numai traficul filtrat necomprimat va ajunge la serverul dvs. Reverse Proxy este o armat─â de servere web care v─â cache con╚Ťinutul ╚Öi ├«nmul╚Ťe╚Öte capacitatea serverului de sute de ori.

Ca efect secundar, accelereaz─â livrarea con╚Ťinutului web. Con╚Ťinutul care nu poate fi stocat ├«n cache este transmis serverului dvs. dup─â ce sesiunea ini╚Ťiat─â de utilizator o va testa pentru posibile ac╚Ťiuni r─âu inten╚Ťionate.

Cum func╚Ťioneaz─â relaxarea Layer7:

1. Clientul ├«ncearc─â s─â acceseze pagina dvs. de web-protec╚Ťia DDOS serve╚Öte o pagin─â fictiv─â care instaleaz─â un cookie ╚Öi trimite ├«napoi clientului pentru a actualiza pagina.

2. Dac─â Clientul este un browser real, acesta va instala cookie-urile ╚Öi va reintra ├«n pagina dvs. web, dar de data aceasta protec╚Ťia va vedea cookie-urile ╚Öi ├«i va permite s─â treac─â ╚Öi s─â acceseze pagina de pe server.

În ceea ce privește SLA pentru atenuarea DDoS

Exist─â multe modalit─â╚Ťi de a rezolva problema suo ├«n ceea ce prive╚Öte serviciul de atenuare a DDoS.

1. Disponibilitatea serviciului-depinde în mare măsură de modul în care este livrat.

Dac─â serviciul este livrat prin secure uplink( cross-connect), garant─âm disponibilitatea accesului la internet de 99.9%, inclusiv ├«ntre╚Ťinerea (de obicei nu este inclus─â ├«n costul serviciilor oric─ârui alt operator).

Acest lucru poate duce la o pierdere de comunicare de un total de 2 ore pe trimestru.

├Äncepem m─âsurarea e╚Öecului atunci c├ónd majoritatea Internetului nu este disponibil─â prin acest serviciu. Aceasta include ├«ntreruperi cauzate de ├«ntre╚Ťinere, erori de tehnicieni, defec╚Ťiuni hardware, etc. defec╚Ťiuni de cabluri (conexiuni ├«ncruci╚Öate) utilizate pentru a se conecta la acest serviciu sunt predispuse la alte SLA ╚Öi nu sunt considerate e╚Öecuri.

├Äntre╚Ťinerea (cum ar fi actualizarea software-ului) sau alte erori opera╚Ťionale vor duce la ├«ntreruperi. De obicei, serviciul dureaz─â 15 minute ╚Öi este planificat.

├Än cazul ├«n care garan╚Ťia pe performan╚Ťa pe parcursul trimestrului calendaristic nu va fi realizat, vom depune fonduri ├«n contul dvs. dup─â cum urmeaz─â: 1 luna pentru acest serviciu, pentru 99,2% ╚Öi mai mult; 2 luni acest serviciu de peste 99% ╚Öi mai mult; 3 luni acest serviciu ├«n mai pu╚Ťin de 99%.

Excep╚Ťia este for╚Ťa major─â de circumstan╚Ťe ╚Öi ├«ntreruperi cauzate de ac╚Ťiunile clientului sau de abuzul serviciului.

Dac─â ave╚Ťi, de asemenea, un tunel anti-DDOS ca o copie de rezerv─â, acest lucru ar trebui s─â determine disponibilitatea serviciului s─â treac─â la 99,99%.

Dac─â ave╚Ťi doar un serviciu Anti-DDOS tunel, ar trebui s─â ia ├«n considerare mai mul╚Ťi factori, deoarece traficul va trece prin ter╚Ťe p─âr╚Ťi (alte re╚Ťele) pentru a ajunge la tine.

2. Eficien╚Ťa serviciului – aici ne confrunt─âm cu dificult─â╚Ťi ├«n plasarea acestuia ├«n numere (a╚Öa cum am f─âcut mai sus), deoarece nu depinde ├«n ├«ntregime de Voxility.

Pentru ├«nceput, serviciul func╚Ťioneaz─â pe parametrii descri╚Öi la ├«nceputul scrisorii.

O solu╚Ťie comun─â se face pentru a proteja re╚Ťelele, mai degrab─â dec├ót traficul de aplica╚Ťii sau filtre specifice care utilizeaz─â atacuri care depind, de asemenea, de aplica╚Ťiile client.

├Än cazul unui nou tip de atac DDOS care trece prin protec╚Ťie, avem o echip─â de ingineri care pot actualiza filtrele ├«n consecin╚Ť─â. ├Än func╚Ťie de complexitatea atacului, o solu╚Ťie complet─â a problemei poate dura p├ón─â la 24-48 de ore. Aceast─â estimare a timpului este dat─â pe baza experien╚Ťei anterioare. Cele mai multe probleme sunt rezolvate mult mai repede.

Echipa noastră are nevoie de interceptări de trafic din partea clientului, le analizăm și actualizăm filtrele în mod corespunzător, în timp real. Așa se întâmplă procesul.

Este important să știm că nu putem proteja traficul criptat (tip VPN), deoarece nu îl putem verifica. Aceasta este problema oricărui furnizor de servicii DDOS.

Serviciile VPN criptate, cum ar fi SSL VPN, tunelurile IPsec care utilizează protocolul UDP sunt filtrate (în majoritatea cazurilor aruncate) în modul de relaxare, în timp ce serviciile TCP, cum ar fi https/S3/TLS Exchange, sunt acceptate.

Traficul VoIP ╚Öi toate cele similare bazate pe UDP ├«n general (altele dec├ót cele pe care le sus╚Ťinem pe lista noastr─â) nu pot fi protejate ├«n mod corespunz─âtor prin intermediul solu╚Ťiei noastre comune DDoS de reducere a riscului, deoarece exist─â prea multe pozitive false.

Aici este de obicei necesar un sla expert, deoarece vom construi un dispozitiv ├«ncorporat cu reguli de filtrare personalizate adaptate aplica╚Ťiei dvs. ╚Öi tipului de trafic. Aceasta include un dispozitiv hardware suplimentar ╚Öi o solu╚Ťie creat─â de la zero ╚Öi personalizat─â pentru a se potrivi nevoilor clientului. Nu depinde de serviciul cloud general, iar capacit─â╚Ťile de filtrare sunt limitate la canalele ascendente conectate ├«ntr-o cutie hardware.

├Än acest caz, dac─â volumul DDoS dep─â╚Öe╚Öte capacitatea unit─â╚Ťii hardware, traficul va fi redirec╚Ťionat printr-o solu╚Ťie bazat─â pe cloud (capacitate 2 Tbps+).