Защита от DDOS с помощью DPI

ИТ-ГРАД предлагает услугу защиты от DOS и DDOS с помощью технологии DPI (Deep Packet Inspection — глубокого анализа трафика).

Технология DPI лежит в основе системы СКАТ, которая позволяет определять протокол обмена между сторонами по идентифицирующим признакам, содержащимся в серии IP-пакетов.

DoS атака (Denial of Service — отказ в обслуживании) представляет собой бомбардировку серверов жертвы отдельными пакетами с фиктивным обратным адресом. Отказ в обслуживании в этом случае наступает либо вследствие переполнения (забивания трафиком) арендуемой клиентом полосы, либо при бомбардировке пакетами, которые вызывают повышенный расход ресурсов на атакуемой системе. Злоумышленнику при этом важно замаскировать обратный адрес, чтобы его было невозможно блокировать по IP. Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (Distributed Denial of Service — распределённая атака типа «отказ в обслуживании»).

В системе СКАТ реализованы следующие механизмы противодействия DoS и DDoS:

  • Защита от TCP SYN Flood;
  • Защита от fragmented UDP Flood;
  • Защита от DDoS ( LOIC и т.п.) на основе теста Тьюринга (Human Detection);
  • Управление полосой – общей и до отдельного IP;
  • Приоритезация по протоколам общей полосы и отдельного IP.

Защита от TCP SYN Flood

Атака SYN flood вызывает повышенный расход ресурсов атакуемой системы, так как на каждый входящий SYN пакет система должна зарезервировать определенные ресурсы в памяти, либо сгенерировать специальный SYN+ACK ответ, содержащий криптографическую cookie, осуществлять поиск в таблицах сессий и т.д., то есть затратить существенные процессорные ресурсы. В обоих случаях отказ в обслуживании наступает при потоке SYN-flood 100 000 — 500 000 пакетов в секунду. В тоже время даже гигабитный канал позволит злоумышленнику направить на атакуемый сайт поток до 1,5 миллионов пакетов в секунду.

Защита от SYN flood осуществляется следующим образом: 

  • обнаруживается атака по превышению заданного порога неподтвержденных клиентом SYN запросов;
  • самостоятельно, вместо защищаемого сайта, осуществляется ответ на SYN запросы;
  • организуется TCP сессия с защищаемых сайтов после подтверждения запроса клиентом.

Защита от Fragmented UDP Flood

Данный тип атаки осуществляется фрагментированными udp пакетами, обычно короткого размера, на сборку и анализ которых атакуемая платформа вынуждена тратить много ресурсов.

Защита осуществляется путем отбрасывания неактуального для защищаемого сайта набора протоколов, или жесткого ограничения их по пропускаемой полосе. Например, для WEB-сайтов рабочими протоколами являются HTTP, HTTPS. В этом случае неактуальные протоколы можно отбросить путем настроек системы.

Защита от DDoS

Часто для защиты от подобных атак с разной степенью эффективности применяются различные поведенческие стратегии (behavioral DDoS protection), которые позволяют определить отклонения в нормальном поведении. Мы же предлагаем простой и очень эффективный подход — использование теста Тьюринга (странички с CAPTCHA от англ. Completely Automated Public Turing test to tell Computers and Humans Apart), компьютерного теста, используемого для того, чтобы определить, кем является пользователь системы: человеком или компьютером. 

Защита работает следующим образом:

  • при превышении порогового значения, например, комфортного для сайта количества запросов в секунду, активируется защита;
  • к работе с сайтом допускаются только пользователи, находящиеся в белом списке, все остальные перенаправляются на страничку с CAPTCHA для проверки на «человечность». Эта страничка расположена на отдельном сервере в интернете, способном выдержать нагрузку BOTNET любого размера (возможно использование сервера компании);
  • пользователи, успешно прошедшие тест, добавляются в белый список и дальнейшая их работа с сайтом ничем не омрачена;
  • пользователи, не прошедшие тест (BOTы), не могут продвинуться дальше детектирующей странички и создать какую-либо нагрузку на атакуемый сайт.

Консультация по услугам

Наши менеджеры с удовольствием ответят на Ваши вопросы и подготовят индивидуальное коммерческое предложение.