SlideShare une entreprise Scribd logo
1  sur  26
Télécharger pour lire hors ligne
Защищаем сеть от DDoS-атак
ведущий:
Дмитрий Карякин
6 ноября 2013
dkaryakin@juniper.net
 

Защищаем сеть от DDoS-атак,

Карякин Дмитрий
Системный инженер
dkaryakin@juniper.net

2

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
СОДЕРЖАНИЕ
§  DOS и DDoS атаки
§  Решение Junos DDoS Secure
§  Алгоритм CHARM
§  Демонстрация защиты от DDoS атак
§  Интерфейс управления и конфигурации

3

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
МОТИВЫ DDOS АТАК
Последний
оставшийся
Нанять сторонних
лиц, чтобы вывести
всех конкурентов и
направить весь
трафик на свой сайт

Протестные
флэшмобы
Координация атаки
на государственные
ресурсы с
применением
социального медиа

Хулиганство
спортивных
фанатов
Фанаты атакуют
сайты клубов
соперников с целью
нарушения продаж
билетов

Диверсионная
завеса

Мгновенное
переполнение

Кибер-война

Индивидуальные
игроки

DDoS маскирует
хищение данных
или другую атаку

Резкое увеличение
посещаемости
сайтов
легитимными
пользователями

Угроза для
национальной
безопасности
государства

Подвергаются
атакам со стороны
других игроков

Криминальная
активность

Другая
активность

Политика /
протест

Возмездие и
“Потому что могу”

Шантаж
“Заплатите, чтобы
ваш сайт не
переставал
работать”

4

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ВЕКТОРЫ DDOS АТАК

ОБЪЕМНАЯ ЗАГРУЗКА
“VOLUMETRIC”

•  Легко обнаруживается
•  Размер атак увеличивается
•  Частота атак
увеличивается
умеренными темпами

ПЕРЕГРУЗКА РЕСУРСОВ

•  Организованные
флэшмобы через
социальные медиа

МАЛОМОЩНЫЕ И
МЕДЛЕННЫЕ АТАКИ
“LOW AND SLOW”
•  Рост атак значительно
быстрее, чем volumetricатаки – 25% от всех атак в
2013 (источник: Gartner)

•  Преимущественно
легитимные запросы в
момент крупных событий,
имеющие ограниченный
период действия.

•  Более сложные и трудно
детектируемые
•  Целью является слабые
стороны back-end
инфраструктуры
•  Небольшой объем
запросов может вывести из
строя большой веб-сайт

5

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
Junos DDoS Secure

6

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
РЕШЕНИЕ JUNOS DDOS SECURE
Акцент на доступности сервисов
§  Конфиденциальность
§  Целостность
§  Доступность
 

Приоритезация клиентов
§  Дифференцирование между DDoS и перегрузкой

Применение stateful inspection для идентификации сессий и
очистки трафика
Технология CHARM

7

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ
JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ

1

2

8

Автодетектирование и устранение
новых векторов атаки

Защита от атак типа low-and-slow

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
§  Проверка пакетов на
предмет соблюдения
RFC

Доверенный трафик,
поведение,
свойственное
человеку

§  Пакеты неправильного
формата или неверной
последовательности
отбрасываются
§  Индивидуальным
IP-адресам назначается
значение CHARM
§  Значение присваивается
на основе поведения
IP-источника

9

Высокое значение
CHARM

Трафик, которого
раньше не было

Среднее значение
CHARM

Механистический
трафик

Низкое значение
CHARM

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ
Применение политики на основе CHARM
 

Доступ зависит от порога CHARM для ресурса
§  Ниже порога – трафик сбрасывается
§  Выше порога – доступ разрешается
§  Минимум ложных срабатываний

 

Порог CHARM изменяется динамически в
зависимости от загрузки ресурса
§  Алгоритм с сохранением состояния проверяет время
отклика ресурса
§  Серверные агенты не нужны

10

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
JUNOS DDoS SECURE
ПРОХОЖДЕНИЕ ПАКЕТА
Контроль доступа на основе технологии CHARM
Таблица поведения
IP-адресов

Порог CHARM для
ресурса

3 Поведение
записано

1 Проверка пакета

§  Проверка через фильтры

4

§  Соответствие RFC

§  Поддержка до 64M

§  Проверка порядка следования

профайлов
§  Старые профайлы
устаревают первыми

§  Состояние соединения TCP

Пакет
принят

Синтаксический
Screener

Пока что
ОК

2

Генератор Добавлено
значение
CHARM
CHARM

Вычисление значения CHARM
для пакета

Вычисление
порога
CHARM
Отклик ресурса

CHARM
Screener

Packet
Exits

5 Тревога или
Сброс

§  Обращается к таблице поведения IP-адресов

§  Порог CHARM

§  Функция времени и поведения

§  Значение CHARM

§  Лучше поведение = лучше CHARM

Сброс пакета
11

Сброс пакета
Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ
Resource Control
Время отклика Ресурса 2
Трафик атаки на Ресурс 2
начало ухудшаться, JDDoS
снижается и атака
поднял порог CHARM для
переключается на Ресурс3.
ограничения трафика
атаки. DDoS Secure
Junos
реагирует путем
Легитимный трафик
динамического увеличения
проходит без ограничений,
порога для Ресурса 3
в то время как атакующий
ограничивая трафик атаки
начинает полагать, что его
атака была успешной, т.к.
его запросы не проходят.

Resource 1
12

Resource 2

Resource 3

Resource ‘N’

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ

Легитимный трафик

Легитимный трафик

Ресурсы

Трафик DDoS атаки
Легитимный трафик

Junos DDoS Secure
Эвристический анализ

13

Трафик DDoS атаки

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net

PC управления
ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ
ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ
 

A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
A
A
A

A
A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
Z
A
A

14

A
A
A
A
A
A
A
A
A
A
A
A
A
A
Z
A
Z
A
A

Легитимные

A пользователи
A
Интернет поток
A
A
A
A
A
A
A
A
A
A
A
A
A
CHARM распознает
быстрые запросы
A
страниц и
A
соответственно

Web сервер

Использование ресурсов

Attackers

снижает значение для
пакета

Время
CHARM проактивно
защищает от
переполнения SYNзапросами и
уменьшает
последствия

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net

CHARM проактивно
защищает исходящий
канал
CHARM СГЛАЖИВАЕТ ТРАФИК
Resource Saturated
100

 

Good

80

Traffic if Undefended
70

Charm Scale

Resource CHARM Scale %

90

60

50

40

Good Traffic Charm

Attack Traffic Charm

30

20

Charm Threshold

10

Bad
0

Time

15

Defended Traffic

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ
 

Application
Presentation
Sessions
Transport
Network
Data Link
Physical

Application
Transport
Internet
Network Access
Physical

Layer 2-4 and Application (http / dns / sip) Protection
16

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE?
§  Servers
§  Routers
§  Firewalls
§  Load Balancers
§  NAT
§  Multiple Gateways, asymmetric routes
§  URL
 

17

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ
 

Виртуализация внутри Virtual Junos DDoS Secure
§  Каждый портал защищает определенный набор IP-адресов
§  Множественная аренда

 

Пользователи / клиенты имеют возможность управлять
только своим порталом
§  Аутентификация
§  Характеристики сервера
§  Обзор инцидентов
§  Статистическая информация
§  Отчеты по email

18

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE
 

Работает как L2 мост
§  Один двунаправленный путь передачи данных через два
§ 
§ 
§ 
§ 

 

 

сетевых интерфейса
Нет IP-адресации на сетевых интерфейсах
Включается в существующий Ethernet сегмент
Нет необходимости переконфигурировать других сетевые
устройства
При установке время прерывания существующего потока
данных не превышает нескольких секунд

Управление - out of band, через третий L3 интерфейс
Поддерживается отказоустойчивая конфигурация
§  Передача состояния между несколькими устройствами JDDS

осуществляется через четвертый интерфейс
19

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ПРИМЕРЫ РАЗВЕРТЫВАНИЯ
 

Коммутатор

Маршрутизатор

X
Web сервер

Коммутатор

Web сервер
20

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ
 

Router

Router

Router

Switch

Switch

Switch

Router*

Router*

Switch**

Switch**

Web Server

* Firewall

Switch

Web Server

** Load Balancer

21

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ
§  1Gbps Virtual Appliance (ESX и KVM)
§  10Gbps 1U appliance с функцией обхода при сбое
§  Оптические порты (10G SR/LR)
§  Медные порты (10M/100M/1G)

§  Оба варианта могут разворачиваться обособленно
или в составе Active – Standby пары
§  или Active – Active (Asymmetric Routing)

22

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ
Характеристика

J-DDOS-SEC-AP4 J-DDOS-SEC-AP1
J-DDOS-SEC-AP2
J-DDOS-SEC-AP3

Пропускная способность в каждом 1G
направлении

10G

Количество защищаемых IP

64 000

64 000

Количество отслеживаемых IP
(v4/v6)

32 000 000

64 000 000

Одновременных ТСР сессий

4 000 000

4 000 000

Скорость установки сессий

750 000 в секунду

750 в секунду

Интерфейсы

1G RJ45

10GBASE-T/ SX / LR

Габариты, высота

1RU

1RU

23

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
ОДНО БАЗОВОЕ ШАССИ
ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ
 

Базовое шасси (все модели)
Процессор
Память

32GB

HDD

2x300GB 10K RPM SAS, RAID-1

Блок питания
 

8 Core Xeon @ 2.9GHz

2 шт.

Модели и сетевые адаптеры
Модель SKU

Сетевые адаптеры

1200-C

J-DDOS-SEC-AP4

Два порта 1G RJ45 с обходом

1210-SR

J-DDOS-SEC-AP2

Два порта 10GASE-SR с обходом

1210-LR

J-DDOS-SEC-AP1

Два порта 10GASE-LR с обходом

1210-TX

J-DDOS-SEC-AP3

Два порта 10GASE-T с обходом

Сетевые адаптеры не заменяются
Замена с случае выхода из строя (RMA и т.д.)
24

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net
СХЕМА ЛАБОРАТОРНОГО СТЕНДА
 

Злоумышленник

Пользователь
Производит регулярные легитимные
запросы на веб-сервер

Атаки на веб-сервер:
•  SYN flood
•  HTTP stress test
•  Slow-rate HTTP GET
•  Slow-rate HTTP POST

Коммутатор

•  Slow-rate HTTP read

Junos DDoS Secure

Режимы работы:
•  логирование
•  защита

Отклик от веб-сервера:

Web сервер

25

Copyright © 2013 Juniper Networks, Inc.

•  Время отклика пропорционально
количеству одновременных соединений

www.juniper.net
ВОПРОСЫ

26

Copyright © 2013 Juniper Networks, Inc.

www.juniper.net

Contenu connexe

Tendances

DDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиDDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиQrator Labs
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращатьQrator Labs
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)SkillFactory
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемSkillFactory
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасностиCisco Russia
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Cisco Russia
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯStormWall.pro
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi экспертаCisco Russia
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Cisco Russia
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?S-Terra CSP
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Russia
 
ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnOleg Boyko
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколенияCisco Russia
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Cisco Russia
 
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. Cisco Russia
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложенийCisco Russia
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.S-Terra CSP
 

Tendances (20)

DDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасностиDDoS как актуальная проблема безопасности
DDoS как актуальная проблема безопасности
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
 
DDoS-­атаки: почему они возможны, и как их предотвращать
 DDoS-­атаки: почему они возможны, и как их предотвращать DDoS-­атаки: почему они возможны, и как их предотвращать
DDoS-­атаки: почему они возможны, и как их предотвращать
 
Cisco ASA CX
Cisco ASA CXCisco ASA CX
Cisco ASA CX
 
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 
Новые вызовы кибербезопасности
Новые вызовы кибербезопасностиНовые вызовы кибербезопасности
Новые вызовы кибербезопасности
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.
 
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯDDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
DDOS-АТАКИ: ЧТО ЭТО И КАК С НИМИ БОРОТЬСЯ
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
 
Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"Вебинар "Дизайн и архитектура UCCE Live Data"
Вебинар "Дизайн и архитектура UCCE Live Data"
 
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
Современные VPN-решения от компании «С-Терра СиЭсПи»: Что есть и что будет?
 
Cisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционалаCisco Web Security - обзор технологии и функционала
Cisco Web Security - обзор технологии и функционала
 
ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpn
 
Платформы безопасности очередного поколения
Платформы безопасности очередного поколенияПлатформы безопасности очередного поколения
Платформы безопасности очередного поколения
 
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
 
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE. PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
PiN Telecom: опыт внедрения DPI на базе Cisco SCE.
 
Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2Безопасность ЦОД-часть 2
Безопасность ЦОД-часть 2
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
 

En vedette

Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCRISClubSPb
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...RISClubSPb
 
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...Banking at Ho Chi Minh city
 
5 продвинутых технологий VMware, которые нужно знать
5 продвинутых технологий VMware, которые нужно знать5 продвинутых технологий VMware, которые нужно знать
5 продвинутых технологий VMware, которые нужно знатьSkillFactory
 
Network tomography to enhance the performance of software defined network mon...
Network tomography to enhance the performance of software defined network mon...Network tomography to enhance the performance of software defined network mon...
Network tomography to enhance the performance of software defined network mon...Sabidur Rahman
 
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...iosrjce
 
Network processing by pid
Network processing by pidNetwork processing by pid
Network processing by pidNuno Martins
 
Distributed Network Monitoring - Interopnet class by NetBeez
Distributed Network Monitoring - Interopnet class by NetBeezDistributed Network Monitoring - Interopnet class by NetBeez
Distributed Network Monitoring - Interopnet class by NetBeezNetBeez, Inc.
 
Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Cisco Russia
 
Виртуализация в сетях мобильной связи
Виртуализация в сетях мобильной связиВиртуализация в сетях мобильной связи
Виртуализация в сетях мобильной связиCisco Russia
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Cisco Russia
 
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile BackhaulАрхитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile BackhaulCisco Russia
 
[old] Network Performance Monitoring for DevOps and IT
[old] Network Performance Monitoring for DevOps and IT[old] Network Performance Monitoring for DevOps and IT
[old] Network Performance Monitoring for DevOps and ITSite24x7
 
The Changing Landscape in Network Performance Monitoring
The Changing Landscape in Network Performance Monitoring The Changing Landscape in Network Performance Monitoring
The Changing Landscape in Network Performance Monitoring Savvius, Inc
 
04 gsm bss network kpi (tch call drop rate) optimization manual
04 gsm bss network kpi (tch call drop rate) optimization manual04 gsm bss network kpi (tch call drop rate) optimization manual
04 gsm bss network kpi (tch call drop rate) optimization manualtharinduwije
 
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...PerformanceVision (previously SecurActive)
 
Project Business Case and Capital Justification for Implementation of Applica...
Project Business Case and Capital Justification for Implementation of Applica...Project Business Case and Capital Justification for Implementation of Applica...
Project Business Case and Capital Justification for Implementation of Applica...Duane Bodle
 
измерительное оборудование Ethernet
измерительное оборудование Ethernetизмерительное оборудование Ethernet
измерительное оборудование Etherneteucariot
 

En vedette (18)

Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
 
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
Ibm tivoli monitoring for network performance v2.1 the mainframe network mana...
 
5 продвинутых технологий VMware, которые нужно знать
5 продвинутых технологий VMware, которые нужно знать5 продвинутых технологий VMware, которые нужно знать
5 продвинутых технологий VMware, которые нужно знать
 
Network tomography to enhance the performance of software defined network mon...
Network tomography to enhance the performance of software defined network mon...Network tomography to enhance the performance of software defined network mon...
Network tomography to enhance the performance of software defined network mon...
 
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
Enhancement of Routing Performance for Energy Efficiency and Critical Event M...
 
Network processing by pid
Network processing by pidNetwork processing by pid
Network processing by pid
 
Distributed Network Monitoring - Interopnet class by NetBeez
Distributed Network Monitoring - Interopnet class by NetBeezDistributed Network Monitoring - Interopnet class by NetBeez
Distributed Network Monitoring - Interopnet class by NetBeez
 
Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.Архитектура Cisco для сетей мобильного бэкхола.
Архитектура Cisco для сетей мобильного бэкхола.
 
Виртуализация в сетях мобильной связи
Виртуализация в сетях мобильной связиВиртуализация в сетях мобильной связи
Виртуализация в сетях мобильной связи
 
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
Эволюция транспортной инфраструктуры оператора связи: Cisco Carrier Packet Tr...
 
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile BackhaulАрхитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
 
[old] Network Performance Monitoring for DevOps and IT
[old] Network Performance Monitoring for DevOps and IT[old] Network Performance Monitoring for DevOps and IT
[old] Network Performance Monitoring for DevOps and IT
 
The Changing Landscape in Network Performance Monitoring
The Changing Landscape in Network Performance Monitoring The Changing Landscape in Network Performance Monitoring
The Changing Landscape in Network Performance Monitoring
 
04 gsm bss network kpi (tch call drop rate) optimization manual
04 gsm bss network kpi (tch call drop rate) optimization manual04 gsm bss network kpi (tch call drop rate) optimization manual
04 gsm bss network kpi (tch call drop rate) optimization manual
 
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
Network & Application Performance Monitoring - Troubleshooting HTTP Applicati...
 
Project Business Case and Capital Justification for Implementation of Applica...
Project Business Case and Capital Justification for Implementation of Applica...Project Business Case and Capital Justification for Implementation of Applica...
Project Business Case and Capital Justification for Implementation of Applica...
 
измерительное оборудование Ethernet
измерительное оборудование Ethernetизмерительное оборудование Ethernet
измерительное оборудование Ethernet
 

Similaire à Защищаем сеть от DDoS-атак

Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Cisco Russia
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksBAKOTECH
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1Positive Hack Days
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101Qrator Labs
 
Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)MUK Extreme
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFVSkillFactory
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологийabondarenko
 
Контроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВСКонтроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВСCisco Russia
 
Обеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptxОбеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptxElvinKerimov3
 
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услугРешения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услугCisco Russia
 
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...SletSysadminov
 
Решения по безопасности Juniper
Решения по безопасности JuniperРешения по безопасности Juniper
Решения по безопасности JuniperSergii Liventsev
 
TTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinTTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinRoman Emelyanov
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаExpolink
 
Защита от DDoS и хакерских атак
Защита от DDoS и хакерских атакЗащита от DDoS и хакерских атак
Защита от DDoS и хакерских атакТатьяна Янкина
 
SDN & NFV: от абонента до Internet eXchange
SDN & NFV: от абонента до Internet eXchangeSDN & NFV: от абонента до Internet eXchange
SDN & NFV: от абонента до Internet eXchangeARCCN
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовCisco Russia
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДаAleksey Lukatskiy
 

Similaire à Защищаем сеть от DDoS-атак (20)

Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
Методы борьбы с современными DDoS атаками с использованием SDN Radware Defens...
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 Networks
 
алексей лукацкий 1
алексей лукацкий 1алексей лукацкий 1
алексей лукацкий 1
 
DDoS Defence 101
DDoS Defence 101DDoS Defence 101
DDoS Defence 101
 
Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)Fortinet ADN (Application Delivery Network)
Fortinet ADN (Application Delivery Network)
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
 
Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологий
 
Контроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВСКонтроль доступа пользователей к ЛВС
Контроль доступа пользователей к ЛВС
 
Обеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptxОбеспечение безопасности в локальных сетях.pptx
Обеспечение безопасности в локальных сетях.pptx
 
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услугРешения Cisco для обеспечения безопасности сетей операторов связи и услуг
Решения Cisco для обеспечения безопасности сетей операторов связи и услуг
 
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
Kaspersky защита на опережениею DDoS-атаки - серьезные риски длябизнесс-проце...
 
Решения по безопасности Juniper
Решения по безопасности JuniperРешения по безопасности Juniper
Решения по безопасности Juniper
 
TTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey ShishkinTTK DDOS FREE Sergey Shishkin
TTK DDOS FREE Sergey Shishkin
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 
Cisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДаCisco: Архитектура защищенного ЦОДа
Cisco: Архитектура защищенного ЦОДа
 
Защита от DDoS и хакерских атак
Защита от DDoS и хакерских атакЗащита от DDoS и хакерских атак
Защита от DDoS и хакерских атак
 
SDN & NFV: от абонента до Internet eXchange
SDN & NFV: от абонента до Internet eXchangeSDN & NFV: от абонента до Internet eXchange
SDN & NFV: от абонента до Internet eXchange
 
Обзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресовОбзор решения Cisco для управления пространством IP адресов
Обзор решения Cisco для управления пространством IP адресов
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДа
 

Plus de SkillFactory

Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeSkillFactory
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяSkillFactory
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозSkillFactory
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафикаSkillFactory
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemesSkillFactory
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствSkillFactory
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End ConvergenceSkillFactory
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPESkillFactory
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.SkillFactory
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиSkillFactory
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаSkillFactory
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарSkillFactory
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарSkillFactory
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?SkillFactory
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика SkillFactory
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса SkillFactory
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаSkillFactory
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoSkillFactory
 
Cisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойцаCisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойцаSkillFactory
 
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red HatНужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red HatSkillFactory
 

Plus de SkillFactory (20)

Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей Skype
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее время
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугроз
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemes
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End Convergence
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сети
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинар
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинар
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнима
 
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе CiscoСетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
Сетевая безопасность в 2014: новые проблемы и их решение на базе Cisco
 
Cisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойцаCisco для менеджеров по продажам: курс молодого бойца
Cisco для менеджеров по продажам: курс молодого бойца
 
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red HatНужен ли вам сертификат по Linux: обзор сертификаций Red Hat
Нужен ли вам сертификат по Linux: обзор сертификаций Red Hat
 

Защищаем сеть от DDoS-атак

  • 1. Защищаем сеть от DDoS-атак ведущий: Дмитрий Карякин 6 ноября 2013 dkaryakin@juniper.net
  • 2.   Защищаем сеть от DDoS-атак, Карякин Дмитрий Системный инженер dkaryakin@juniper.net 2 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 3. СОДЕРЖАНИЕ §  DOS и DDoS атаки §  Решение Junos DDoS Secure §  Алгоритм CHARM §  Демонстрация защиты от DDoS атак §  Интерфейс управления и конфигурации 3 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 4. МОТИВЫ DDOS АТАК Последний оставшийся Нанять сторонних лиц, чтобы вывести всех конкурентов и направить весь трафик на свой сайт Протестные флэшмобы Координация атаки на государственные ресурсы с применением социального медиа Хулиганство спортивных фанатов Фанаты атакуют сайты клубов соперников с целью нарушения продаж билетов Диверсионная завеса Мгновенное переполнение Кибер-война Индивидуальные игроки DDoS маскирует хищение данных или другую атаку Резкое увеличение посещаемости сайтов легитимными пользователями Угроза для национальной безопасности государства Подвергаются атакам со стороны других игроков Криминальная активность Другая активность Политика / протест Возмездие и “Потому что могу” Шантаж “Заплатите, чтобы ваш сайт не переставал работать” 4 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 5. ВЕКТОРЫ DDOS АТАК ОБЪЕМНАЯ ЗАГРУЗКА “VOLUMETRIC” •  Легко обнаруживается •  Размер атак увеличивается •  Частота атак увеличивается умеренными темпами ПЕРЕГРУЗКА РЕСУРСОВ •  Организованные флэшмобы через социальные медиа МАЛОМОЩНЫЕ И МЕДЛЕННЫЕ АТАКИ “LOW AND SLOW” •  Рост атак значительно быстрее, чем volumetricатаки – 25% от всех атак в 2013 (источник: Gartner) •  Преимущественно легитимные запросы в момент крупных событий, имеющие ограниченный период действия. •  Более сложные и трудно детектируемые •  Целью является слабые стороны back-end инфраструктуры •  Небольшой объем запросов может вывести из строя большой веб-сайт 5 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 6. Junos DDoS Secure 6 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 7. РЕШЕНИЕ JUNOS DDOS SECURE Акцент на доступности сервисов §  Конфиденциальность §  Целостность §  Доступность   Приоритезация клиентов §  Дифференцирование между DDoS и перегрузкой Применение stateful inspection для идентификации сессий и очистки трафика Технология CHARM 7 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 8. ПРОБЕЛЫ В ЗАЩИТЕ, КОТОРЫЕ JUNOS DDOS SECURE СПОСОБЕН ЗАКРЫТЬ 1 2 8 Автодетектирование и устранение новых векторов атаки Защита от атак типа low-and-slow Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 9. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ §  Проверка пакетов на предмет соблюдения RFC Доверенный трафик, поведение, свойственное человеку §  Пакеты неправильного формата или неверной последовательности отбрасываются §  Индивидуальным IP-адресам назначается значение CHARM §  Значение присваивается на основе поведения IP-источника 9 Высокое значение CHARM Трафик, которого раньше не было Среднее значение CHARM Механистический трафик Низкое значение CHARM Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 10. JUNOS DDoS SECURE: КАК ЭТО РАБОТАЕТ Применение политики на основе CHARM   Доступ зависит от порога CHARM для ресурса §  Ниже порога – трафик сбрасывается §  Выше порога – доступ разрешается §  Минимум ложных срабатываний   Порог CHARM изменяется динамически в зависимости от загрузки ресурса §  Алгоритм с сохранением состояния проверяет время отклика ресурса §  Серверные агенты не нужны 10 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 11. JUNOS DDoS SECURE ПРОХОЖДЕНИЕ ПАКЕТА Контроль доступа на основе технологии CHARM Таблица поведения IP-адресов Порог CHARM для ресурса 3 Поведение записано 1 Проверка пакета §  Проверка через фильтры 4 §  Соответствие RFC §  Поддержка до 64M §  Проверка порядка следования профайлов §  Старые профайлы устаревают первыми §  Состояние соединения TCP Пакет принят Синтаксический Screener Пока что ОК 2 Генератор Добавлено значение CHARM CHARM Вычисление значения CHARM для пакета Вычисление порога CHARM Отклик ресурса CHARM Screener Packet Exits 5 Тревога или Сброс §  Обращается к таблице поведения IP-адресов §  Порог CHARM §  Функция времени и поведения §  Значение CHARM §  Лучше поведение = лучше CHARM Сброс пакета 11 Сброс пакета Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 12. JUNOS DDoS SECURE: УПРАВЛЕНИЕ РЕСУРСАМИ Resource Control Время отклика Ресурса 2 Трафик атаки на Ресурс 2 начало ухудшаться, JDDoS снижается и атака поднял порог CHARM для переключается на Ресурс3. ограничения трафика атаки. DDoS Secure Junos реагирует путем Легитимный трафик динамического увеличения проходит без ограничений, порога для Ресурса 3 в то время как атакующий ограничивая трафик атаки начинает полагать, что его атака была успешной, т.к. его запросы не проходят. Resource 1 12 Resource 2 Resource 3 Resource ‘N’ Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 13. ЭВРИСТИЧЕСКАЯ МИНИМИЗАЦИЯ ПОСЛЕДСТВИЙ Легитимный трафик Легитимный трафик Ресурсы Трафик DDoS атаки Легитимный трафик Junos DDoS Secure Эвристический анализ 13 Трафик DDoS атаки Copyright © 2013 Juniper Networks, Inc. www.juniper.net PC управления
  • 14. ПРЯМОЕ ПРЕИМУЩЕСТВО: УМЕНЬШЕНИЕ ПОСЛЕДСТВИЙ ПЕРЕПОЛНЕНИЯ HTTP-ЗАПРОСАМИ   A A A A A A A A A A A A A Z A A A A A A A A A A A A A A A A A A Z A Z A A 14 A A A A A A A A A A A A A A Z A Z A A Легитимные A пользователи A Интернет поток A A A A A A A A A A A A A CHARM распознает быстрые запросы A страниц и A соответственно Web сервер Использование ресурсов Attackers снижает значение для пакета Время CHARM проактивно защищает от переполнения SYNзапросами и уменьшает последствия Copyright © 2013 Juniper Networks, Inc. www.juniper.net CHARM проактивно защищает исходящий канал
  • 15. CHARM СГЛАЖИВАЕТ ТРАФИК Resource Saturated 100   Good 80 Traffic if Undefended 70 Charm Scale Resource CHARM Scale % 90 60 50 40 Good Traffic Charm Attack Traffic Charm 30 20 Charm Threshold 10 Bad 0 Time 15 Defended Traffic Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 16. DDOS SECURE: ЗАЩИЩАЕМЫЕ УРОВНИ   Application Presentation Sessions Transport Network Data Link Physical Application Transport Internet Network Access Physical Layer 2-4 and Application (http / dns / sip) Protection 16 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 17. ЧТО ЗАЩИЩАЕТ JUNOS DDOS SECURE? §  Servers §  Routers §  Firewalls §  Load Balancers §  NAT §  Multiple Gateways, asymmetric routes §  URL   17 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 18. ПОРТАЛЫ – МУЛЬТИАРЕНДНОСТЬ   Виртуализация внутри Virtual Junos DDoS Secure §  Каждый портал защищает определенный набор IP-адресов §  Множественная аренда   Пользователи / клиенты имеют возможность управлять только своим порталом §  Аутентификация §  Характеристики сервера §  Обзор инцидентов §  Статистическая информация §  Отчеты по email 18 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 19. РАЗВЕРТЫВАНИЕ JUNOS DDOS SECURE   Работает как L2 мост §  Один двунаправленный путь передачи данных через два §  §  §  §      сетевых интерфейса Нет IP-адресации на сетевых интерфейсах Включается в существующий Ethernet сегмент Нет необходимости переконфигурировать других сетевые устройства При установке время прерывания существующего потока данных не превышает нескольких секунд Управление - out of band, через третий L3 интерфейс Поддерживается отказоустойчивая конфигурация §  Передача состояния между несколькими устройствами JDDS осуществляется через четвертый интерфейс 19 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 21. ПРИМЕР КОМПЛЕКСНОГО РАЗВЕРТЫВАНИЯ   Router Router Router Switch Switch Switch Router* Router* Switch** Switch** Web Server * Firewall Switch Web Server ** Load Balancer 21 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 22. JUNOS DDOS SECURE ВАРИАНТЫ РЕАЛИЗАЦИИ §  1Gbps Virtual Appliance (ESX и KVM) §  10Gbps 1U appliance с функцией обхода при сбое §  Оптические порты (10G SR/LR) §  Медные порты (10M/100M/1G) §  Оба варианта могут разворачиваться обособленно или в составе Active – Standby пары §  или Active – Active (Asymmetric Routing) 22 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 23. СПЕЦИФИКАЦИЯ АППАРАТНОЙ ПЛАТФОРМЫ Характеристика J-DDOS-SEC-AP4 J-DDOS-SEC-AP1 J-DDOS-SEC-AP2 J-DDOS-SEC-AP3 Пропускная способность в каждом 1G направлении 10G Количество защищаемых IP 64 000 64 000 Количество отслеживаемых IP (v4/v6) 32 000 000 64 000 000 Одновременных ТСР сессий 4 000 000 4 000 000 Скорость установки сессий 750 000 в секунду 750 в секунду Интерфейсы 1G RJ45 10GBASE-T/ SX / LR Габариты, высота 1RU 1RU 23 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 24. ОДНО БАЗОВОЕ ШАССИ ЧЕТЫРЕ МОДЕЛИ ПЛАТФОРМЫ   Базовое шасси (все модели) Процессор Память 32GB HDD 2x300GB 10K RPM SAS, RAID-1 Блок питания   8 Core Xeon @ 2.9GHz 2 шт. Модели и сетевые адаптеры Модель SKU Сетевые адаптеры 1200-C J-DDOS-SEC-AP4 Два порта 1G RJ45 с обходом 1210-SR J-DDOS-SEC-AP2 Два порта 10GASE-SR с обходом 1210-LR J-DDOS-SEC-AP1 Два порта 10GASE-LR с обходом 1210-TX J-DDOS-SEC-AP3 Два порта 10GASE-T с обходом Сетевые адаптеры не заменяются Замена с случае выхода из строя (RMA и т.д.) 24 Copyright © 2013 Juniper Networks, Inc. www.juniper.net
  • 25. СХЕМА ЛАБОРАТОРНОГО СТЕНДА   Злоумышленник Пользователь Производит регулярные легитимные запросы на веб-сервер Атаки на веб-сервер: •  SYN flood •  HTTP stress test •  Slow-rate HTTP GET •  Slow-rate HTTP POST Коммутатор •  Slow-rate HTTP read Junos DDoS Secure Режимы работы: •  логирование •  защита Отклик от веб-сервера: Web сервер 25 Copyright © 2013 Juniper Networks, Inc. •  Время отклика пропорционально количеству одновременных соединений www.juniper.net
  • 26. ВОПРОСЫ 26 Copyright © 2013 Juniper Networks, Inc. www.juniper.net