AntiDDoS
Производительность решения
Время реакции менее 1 минуты
Обработка до 600 млн пакетов/сек
Емкость фильтрации до 5 Тб/сек
Защита от 100+ одновременных атак
Архитектура решения для защиты от DDoS
В решении применяется интеллектуальный распределенный модуль анализа трафика, обеспечивающий обнаружение и блокировку широкого спектра киберугроз в режиме реального времени.
Принцип работы:
Весь трафик оператора проходит через систему СКАТ DPI, который направляет IPFIX Fullflow в модуль QoE для детального анализа. На основе анализа модуль создаёт эталонный профиль «здорового» трафика, свободного от атак и ботнет-активности.
С помощью нейросетей и алгоритмов машинного обучения детектор выявляет отклонения от нормы, классифицирует угрозы и определяет их источники. При обнаружении атаки формируется контейнер Attacks, содержащий IP-адреса злоумышленников и используемые ими порты. DPI создаёт для каждого типа угрозы специальные протоколы, по которым затем либо полностью блокирует этот трафик, либо ограничивает пропускную способность для него.
Контейнер Attacks обновляется в реальном времени: если атака прекращается, соответствующие IP исключаются из списка.
Для дополнительной защиты предусмотрена интеграция с blackhole: если оборудование оператора не справляется с нагрузкой, контейнер Attacks может быть передан скрипту, который автоматически добавляет злоумышленников в blackhole, обеспечивая максимальную защиту инфраструктуры.
Защита от распространённых форм атак на операторов связи
Переполнение входных каналов
К этой форме атак относятся:
- амплификация (DNS, NTP, UDP flood и другие)
- атаки с помощью botnet, при которых сеть ботов создает относительно небольшой похожий на легитимный трафик, но суммарно трафик превышает возможности входящих каналов оператора.
В зависимости от типа трафика и атаки для защиты могут применяться такие техники как blackhole атакуемых адресов, применение flowspec на аплинк канале, создание списка адресов botnet сети и их блокировка на СКАТ.
Атака высоким PPS
К ним относятся атаки типа Flood, SYN flood, обычно с подменой source IP. Для защиты осуществляется перенаправление трафика на СКАТ для фильтрации или blackhole атакуемых адресов.
Взлом элементов сети оператора
Попытку взлома можно определить по наличию SSH и прочих сессий со служебных адресов оператора, которые предварительно конфигурируются, при этом адреса не входят в белый список.
Преимущества решения СКАТ AntiDDoS
Распределенная архитектура, обеспечивающая высокую отказоустойчивость
Адаптивная защита и автоматическое обновление правил
Нейросетевые алгоритмы и DPI обеспечивают глубокую аналитику трафика
Решение гибко настраивается и поддерживает разные сценарии блокировки
VAS Experts также предлагает другой вариант защиты сети оператора от DDOS атак: использование только СКАТ DPI. В этом варианте реализованы:
- Защита от TCP SYN Flood
- Защита от Fragmented UDP Flood
- Защита от DDoS (LOIC и т. п.) на основе теста Тьюринга (Human Detection)
Требуется СКАТ с опцией Автозащита от DDoS атак (опция ddos).