navAMS - Protecţie Anti-DDoS


Atacurile informatice au devenit o problemă comună în zilele noastre. În acelaşi timp oprirea lor a devenit un proces trivial, însă nu orice ISP reuşeşte implementarea unui sistem de detectare şi mitigare eficient.
De multe ori soluţia aleasă este aceea de “blackholing” care în esenţă înseamnă blocarea traficului către adresa IP atacată în ideea protejării celorlalte resurse ale clientului.
Această metodă ridică mai multe probleme, însă cea mai importantă este dată de scenariul în care sunt atacate simultan mai multe (deseori toate) adrese IP ale clientului.
În acest caz singură soluţie ar fi restricţionarea traficului către toate adresele atacate şi implicit realizarea scopului atacatorului: DoS (Denial of Service).

O altă problema este aceea a timpului de detecţie. Majoritatea sistemelor folosesc metode bazate pe statistică şi schimbări variabile raportate la medie şi nu la vârfuri utilizând NetFlow sau sFlow pentru culegerea datelor. Acestă implementare este ineficientă în detectarea majorităţii atacurilor de mică amploare şi de obicei necesită un volum mare de date pentru a lua o decizie, ducând la intervale foarte mari de timp, uneori de ordinul zecilor de minute, de la începerea atacului până la blocarea acestuia. Singurul avantaj al unui astfel de sistem este costul redus de implementare.

A oferi un uptime de 99.99% nu înseamnă numai asigurarea conectivităţii. Când afacerea dumneavoastră depinde de conexiunea la internet un link congestionat este la fel de detrimental ca unul întrerupt. De asemenea un atac de mică amploare de tip “application flood” poate afecta selectiv anumite resurse ale companiei uneori într-un mod nedetectabil. Aceste atacuri de obicei nu au ca ţintă întreruperea serviciului ci utilizarea abuzivă a resurselor ce poate duce la pierderi materiale.

Am dezvoltat şi implementat sistemul =AMS= cu intenţia de a rezolva toate aceste probleme.

Detectarea atacurilor se face utilizând metodă TAP, ceea ce înseamnă că tot traficul ce intră în reţea este analizat în timp real şi în mod transparent.

Statistica se face la un interval de numai 2 secunde ceea ce duce la un timp de detectare şi mitigare de maxim 3 secunde.


Având în vedere facilităţile protoculului TCP acest lucru înseamnă evitarea pierderilor de pachete în cazul unui atac.
Pentru a evita întreruperea serviciilor s-a introdus în procesul de mitigare noţiunea de “scrubbing”. În cazul detectării unui atac traficul către adresa IP vizată este redirecţionat către o fermă de firewall-uri de mare capacitate ce blochează traficul maliţios permiţând numai traficul legitim să ajungă la destinaţie.

Există desigur şi cazuri extreme în care atacul ajunge la valori foarte mari şi se ia decizia de “blackholing”. Ceea ce face sistemul AMS diferit faţă de cele implementate de alţi provideri este blocarea traficlui în mod inteligent, în sensul niciodată nu se va bloca tranzitul către destinaţia afectată pe legăturile de upstream unde nu există trafic maliţios sau există capacitatea necesară evitării unei congestii.

* Toate aceste facilităţi contribuie la livrarea unui serviciu de cea mai bună calitate fără întreruperi şi fără griji.

Sistemul navAMS în acţiune

Timp total de mitigare: 3s (timpul scurs de la începerea atacului până la blocarea acestuia)
* Timp detectare: 2s)
* Timp blocare: 1s)

Interval reprobing: 1m (intervalul la care se verifică dacă atacul a încetat / dezactivarea filtrelor)

Capacitate maximă scrubbing: 140Gbps / 20Mpps
Tipuri atacuri mitigate: High pps/bw rate (TCP/UDP/ICMP), SYN Flood, Fragmentation, Application Flood)
Latenţă introdusă: < 100us (micro secunde)
Victime simultane: 100,000)
Conexiuni TCP simultane: 128M (milioane)