Mitygacja DDoS


Techniki mitygacji największych ataków w Internecie

Hakerzy wysyłający ataki rozproszonej odmowy dostępu do usługi wykorzystują wiele metod, aby odnieść sukces. Najpopularniejszy ze sposobów to użycie wielu rozproszonych urządzeń, np. komputerów, kamer, rejestratorów, IoT, etc. z całego świata, zwyczajowo nazywanych botnetem. Tego typu ataki mogą doprowadzić do przeciążenia całej infrastruktury, zanim dotrą do serwera docelowego, przez co sytuacja staje się całkowicie niemożliwa do opanowania w pojedynczych punktach lub przez pojedynczych użytkowników. Do walki z atakami DDoS wykorzystujemy nasz globalny zasięg, redundancję sieci, rozproszony system wykrywania oraz wydajne urządzenia filtrujące. W oparciu o nasze doświadczenie oraz innowacje zapewniamy system, dzięki któremu nie musisz martwić się o ataki w sieci i możesz się spokojnie skupić na Twoim biznesie.

Anti-DDOS_Mitigation

Kroki poprzedzające mitygację

Icons/concept/Magnifying Glass/Magnifying Glass Check Created with Sketch.
Wstępna analiza i wykrywanie

Ataki sieciowe mogą być wykrywane za pomocą analizy w czasie rzeczywistym danych przesyłanych przez routery (netflow, sflow lub inne protokoły). W przypadku wykrycia podejrzanego ruchu mechanizmy routingu wewnętrznego przekierowują ruch za pośrednictwem rozproszonych węzłów VAC (od ang. vacuuming) w celu przeprowadzenia głębszej analizy i dokładnego filtrowania.

Icons/concept/Lines/Line Communicating Created with Sketch.
Dogłębna analiza

Po przekierowaniu ruchu do węzłów infrastruktury VAC przeprowadzana jest pogłębiona analiza. Procesy te zachodzą jednocześnie we wszystkich naszych centrach danych, zatem moc obliczeniowa wszystkich regionów (ponad 17 Tbps od 2021 r.) jest ze sobą połączona. Aby zagwarantować najwyższy poziom jakości, ustanawiamy wiele połączeń sieciowych w każdym regionie i utrzymujemy nadwyżkę przepustowości sieci. Dzięki temu jesteśmy w stanie przetwarzać ataki bez uszczerbku dla legalnego ruchu.

Icons/concept/Lines/Lines Symmetrical Created with Sketch.
Mitygacja

Mitygacja polega na wieloetapowym filtrowaniu ruchu, dzięki czemu do serwera dociera tylko legalny ruch. Jest to najbardziej skomplikowana i najtrudniejsza część procesu. Zaprojektowaliśmy ją, wykorzystując dobrze znaną technologię ACL oraz innowacje w architekturze x86 i implementację kodu na ultraszybkich układach FPGA.

Na czym polega mitygacja DDoS w OVHcloud

Anti-DDOS_migration

Kiedy z Internetu przychodzi zapytanie lub zwykły pakiet sieciowy, pierwszym punktem, w którym możemy go zobaczyć jest Point of Presence (PoP), czyli miejsce, w którym sieć OVHcloud łączy się z sieciami innych dostawców. Dla zapewnienia najlepszej ochrony w takich miejscach instalujemy Hardware Client Amplitude Policiers (HCAP) - komponent globalnego systemu Anty-DDoS. Następnie pakiety są kierowane do naszej sieci szkieletowej i dostarczane do naszych centrów danych.

Centra danych OVHcloud są wyposażone w specjalny, wysokowydajny zestaw sprzętu, w tym węzeł VAC, który mityguje atak DDoS. System ten działa lokalnie, ale także jako część systemu globalnego, dzięki czemu może być wykorzystywany w innych miejscach podczas najbardziej intensywnych ataków. W przypadku podejrzanego ruchu pakiety mogą być kierowane bezpośrednio do szaf i serwerów w centrum danych lub poddawane dogłębnej analizie i mitygacji przez system VAC.

Wreszcie, w przypadku produktów z dodatkową ochroną na poziomie aplikacji (takich jak gama Bare Metal Game z ochroną Anty-DDoS Game) dostępny jest dodatkowy system filtrowania, który działa w pobliżu samej usługi i umożliwia dogłębne zrozumienie aplikacji oraz precyzyjne filtrowanie ruchu podczas ataku.

HCAP

Hardware Client Amplitude Policer (HCAP) jest pierwszym elementem linii obrony, która zabezpiecza usługi każdego klienta. W razie potrzeby może on odciążyć węzły VAC centrum danych, aby zapewnić najlepszą wydajność i odpowiednie rozłożenie obciążenia podczas ataku. Może również pełnić funkcję elementu ograniczającego szybkość transmisji danych.

Anti-DDOS_HCAP
Anti-DDOS_network_firewall

Firewall Network Edge

Pierwszy element systemu VAC, Edge Network Firewall, umożliwia ograniczenie ekspozycji sieci na ataki pochodzące z sieci publicznej. Włącza się on automatycznie w momencie rozpoczęcia ataku DDoS. Istnieje możliwość skonfigurowania do 20 podreguł po stronie klienta, które będą filtrować pakiety w sposób bardziej precyzyjny, dostosowany do aktywności serwera. Każda reguła to konkretne uprawnienie, którego można użyć w celu optymalizacji ochrony usługi (i zabezpieczenia przepustowości sieci w centrum danych). Firewall włącza się automatycznie w momencie rozpoczęcia ataku DDoS i pozostaje aktywny przez cały czas trwania ataku (można go również skonfigurować tak, aby był włączony przez cały czas). W tym przewodniku technicznym znajdziesz instrukcje, które pomogą Ci skonfigurować reguły.

Shield i Armor

Sprzęt Shield i Armor wykrywa zaawansowane zagrożenia i zapobiega wysyceniu zasobów serwera (głównie cykli CPU). Shield włącza się, gdy atakujący używa techniki zwielokrotnienia (zwielokrotnienie DNS lub NTP), sfałszowania IP lub wektorów ataków przez odbicie. Armor, ostatni element linii obrony, to najbardziej zaawansowany filtr w systemie VAC. Jego zadaniem jest mitygacja najbardziej zaawansowanych ataków (w tym, ale nie tylko): TCP/SYN/cookie auth handshake, wykrywanie zombie, mitygacja zalania TCP/UDP/GRE/AH/ESP/, etc.).

Anti-DDOS_shield_armor

Jesteś gotowy?

Załóż konto i zacznij od razu korzystać z rozwiązania.

Dowiedz się więcej o mitygacji

Co to jest mitygacja?

Proces mitygacji jest realizowany przez centrum automatycznego oczyszczania OVHcloud. W tym miejscu nasze zaawansowane technologie wnikliwie analizują pakiety i usuwają sztuczny ruch (DDoS lub inne znane podatności), przepuszczając jednocześnie ruch pożądany.

Czy mogę korzystać ze stałej mitygacji?

Domyślnie, Twoje usługi są zawsze chronione dzięki automatycznej mitygacji (stałe wykrywanie), która włącza się w ciągu kilku sekund po wykryciu ataku. Włączenie stałej mitygacji umożliwia pierwszy stopień filtrowania za pomocą sprzętu Shield oraz reguł filtrowania zdefiniowanych w zaporze Edge Network Firewall. W przypadku włączenia mitygacji uruchomione zostają wszystkie etapy systemu VAC. Pamiętaj, że może być tak, iż ze względu na konieczność zapewnienia bezpieczeństwa i dostępności usług tylko serwery Game będą miały zawsze włączoną głęboką analizę pakietów (Game DDoS Protection). Mitygację dla pozostałych rozwiązań możesz włączyć w Panelu klienta OVHcloud.

Co to jest VAC?

VAC jest główną częścią naszej infrastruktury Anty-DDoS i stanowi połączenie różnych, stale rozwijanych przez OVHcloud technologii służących do mitygacji ataków DDoS. VAC może filtrować ruch przychodzący w taki sposób, że tylko legalne pakiety danych docierają do serwera, a ruch nielegalny jest blokowany. System VAC zawiera elementy Edge Network Firewall oraz Shield i Armor.

Czy mogę spersonalizować moje rozwiązanie Edge Network Firewall (ENF)?

Tak, możesz tworzyć reguły filtrowania w Panelu klienta OVHcloud lub przez API. Możesz zdefiniować reguły zezwalania lub odrzucania na podstawie określonych protokołów. Reguły te są stosowane automatycznie, jeśli Edge Network Firewall jest aktywny lub gdy włączona jest automatyczna mitygacja. Dzięki temu możesz przenieść część zadań związanych z regułami zapory z serwera na obrzeża sieci, chroniąc w ten sposób łącze sieciowe przed ewentualnym wysyceniem. Aby uzyskać więcej informacji na temat konfiguracji Edge Network Firewall, zapoznaj się z przewodnikiem: „Konfiguracja Firewall Network”.

Jak sprawdzić, czy moja usługa stała się obiektem ataku DDoS?

Po wykryciu ataku na Twoje usługi otrzymasz e-mail z powiadomieniem. Możesz śledzić rozwój sytuacji w Panelu klienta, obserwując statystyki. Po zakończeniu ataku również otrzymasz stosowne powiadomienie. Jeśli uważasz, że Twoja usługa stała się celem ataku DDoS i jej wydajność się obniżyła, skontaktuj się z zespołem pomocy OVHcloud, który przeanalizuje sytuację.