Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Устройства безопасности по противодействию DDoS атакам FortiDDoS от Fortinet

Устройства безопасности по противодействию DDoS атакам FortiDDoS от Fortinet

Постоянно изменяющиеся DDoS атаки

DDoS атаки продолжают оставаться основной угрозой информационной безопасности и развились практически в каждом направлении для того, чтобы делать то, что у них получается лучше всего – останавливать работу жизненно важных онлайн-сервисов организации. Никогда проблема не носила такого динамичного и всеохватывающего характера, не привязываясь к какой-либо одной технологии. Хакеры и кибертеррористы могут использовать практически неограниченный массив инструментов с целью закрыть доступ к сети предприятия. Сложные DDoS атаки нацелены на приложения Layer 7, которые гораздо меньше по размеру, что делает их обнаружение с помощью традиционных методов Интернет-провайдеров практически невозможным.

Для борьбы с такими атаками необходимо решение, которое будет настолько же динамичным и всеохватывающим. Приложения по смягчению DDoS атак FortiDDoS от Fortinet задействуют методы обнаружения атак на основе поведения и используют процессоры, которые на 100% основываются на технологии ASIC, с целью обеспечения наиболее продвинутого и быстрого противодействия DDoS атакам на современном рынке.

Другой более выигрышный подход к смягчению DDoS атак

Только Fortinet на 100% использует ASIC подход к своей DDoS продукции без накладных расходов и рисков гибридной системы CPU или CPU/ASIC. Процессоры FortiASIC-TP2 обеспечивают обнаружение и противодействие DDoS атакам. Процессор FortiASIC-TP2 обрабатывает трафик Layer 3, 4 и 7 и ускоряет обнаружение и обезвреживание, результатом чего является наиболее низкое время отклика в индустрии.

FortiDDoS использует эвристический / поведенческий метод для идентификации угроз, в отличие от конкурентов, которые опираются, прежде всего, на соответствие сигнатур. Вместо применения преднастроенных сигнатур для идентификации характеристик атаки FortiDDoS строит базу нормальной активности, а затем осуществляет мониторинг трафика, который ее нарушает. В случае начала атаки FortiDDoS видит ее как аномалию и затем немедленно принимает меры по противодействию ей. С FortiDDoS организации защищены от известных атак и неизвестных атак «нулевого дня», т.к. при использовании приложения не требуется ждать выхода обновлений сигнатур.

FortiDDoS также противодействует атакам отличным от других образом. В других приложениях для противодействия DDoS атакам при начале атаки она на 100% блокируется до прекращения существования угрозы. Если событие по ошибке совпадает с сигнатурой и вызывает ложное срабатывание, то весь трафик останавливается, требуя вмешательства. FortiDDoS использует хирургический подход с помощью мониторинга обычного трафика и использования системы построения репутации, ранжирования IP адресов как «хороших» и таких, которые вызывают проблемы.

FortiDDoS блокирует проблемные IP адреса и затем повторно оценивает атаки через определенные промежутки времени (по умолчанию каждые 15 секунд). Если проблемные IP адреса продолжают оставаться постоянной угрозой в каждом из этих промежутков времени, их репутация ухудшится и при достижении порога, который определяется пользователем, IP адрес будет внесен в черный список.

Легкая установка и управление

Инструменты FortiDDoS Automated Learning требуют менее часа для построения базы трафика приложений. По завершении администратору необходимо установить пороги или просто использовать настройки по умолчанию. Далее FortiDDoS автоматически начинает защищать сеть от DDoS атак без необходимости тратить часы на настройку или беспокоиться об обновлениях сигнатур.

Комплексная отчетность и панели настройки предлагают инструменты, которые требуются для обзора атак и угроз сервисам организации. Администраторы могут генерировать отчеты тогда, когда они им нужны, или установить расписание отправки отчетов на регулярной основе. Панели настроек, расположенные на одном экране, позволяют отслеживать и понимать тенденции атак. Как в общей отчетности о состоянии, так и при глубоком детализированном анализе атаки, FortiDDoS предоставляет подробную информацию об атаках уровня сервисов и предпринятых мерах по противодействию им для конкретных событий или за определенный период времени.

Гибкие механизмы защиты

FortiDDoS защищает от любой DDoS атаки, среди которых атаки Bulk Volumetric, атаки на приложения Layer 7 и SSL/HTTPS атаки. FortiDDoS покрывает различные виды атак от старых трюков в книгах до новейших продвинутых атак уровня сервисов.

Атаки Bulk Volumetric были первым типом DDoS атак и продолжают представлять значительную угрозу на сегодняшний день. Обычно Интернет-провайдеры предотвращают большинство простых атак этого типа, однако в последнее время они все чаще стали использоваться для маскировки более сложных атак уровня приложений. Наиболее простым способом работы с данным типом угроз является простая блокировка всего трафика до прекращения атаки. Система построения IP репутации FortiDDoS позволяет проходить «хорошему» трафику и обезвреживает IP адреса, которые вызывают проблемы. Данный процесс не только обеспечивает защиту, но также минимизирует эффект ложного срабатывания с остановкой «хорошего» клиентского трафика.

Целевые атаки Layer 7 представляют собой наиболее быстро растущий вид атак. Они пытаются использовать уязвимости внутри сервисов с целью исчерпать их ресурсы и сделать приложения недоступными. Обычно данные виды атак встроены в атаки Bulk Volumetric, однако они могут возникнуть и независимо от последних. Поскольку такие типы атак требуют значительно меньше пропускной способности для отказа сервиса, их сложнее обнаружить, и они регулярно проходят мимо Интернет-провайдера прямо в сеть организации. Все целевые атаки Layer 7, большие и маленькие, вызывают изменения на сервисном уровне, которые идентифицируются инструментами анализа поведения FortiDDoS и смягчаются.

Атаки на основе SSL используют методы шифрования на основе SSL для скрытия контента пакетов. В дополнение к этому, при использовании методов шифрования часто доступно гораздо меньше ресурсов, которые требуется исчерпать. Большинство решений на основе сигнатур требуют дешифровки трафика для выполнения проверки на соответствие с известными профилями атак. С системой анализа поведения, такой как FortiDDoS, данные атаки обнаруживаются без дешифрования, поскольку они вызывают изменения в поведении. Эти изменения сравниваются с нормальным поведением и доступными ресурсами. Когда соответствующие ресурсы подвергаются угрозе, FortiDDoS принимает меры по противодействию атакам на месте.

Функции

Технология проверки пакетов


  • Детальная проверка пакетов
  • Мониторинг с учетом текущего состояния протокола
  • Непрерывное адаптивное ограничение скорости
  • Эвристический анализ
  • Прогностический поведенческий анализ


Процесс комплексной проверки


  • Динамическая фильтрация
  • Активная проверка
  • Распознавание аномалий
  • Анализ протокола
  • Ограничение скорости
  • Белый список, черный список, неотслеживаемые подсети
  • Распознавание аномалий состояния
  • Невидимая фильтрация атак
  • Профилактическое сканирование «темных» адресов
  • Отслеживание источника
  • Проверка соответствия законных IP адресов (Anti-Spoofing)


Механизмы предотвращения потока


  • SYN Cookie, ACK Cookie, SYN Retransmission
  • Ограничение соединения
  • Агрессивное прекращение сессий (Aggressive Ageing)
  • Проверка соответствия законных IP адресов
  • Ограничение пропускной способности источника
  • Отслеживание источника
  • Фрагментарное ограничение скорости


Смягчение потоков Layer 3

  • Протокольные потоки
  • Фрагментарные потоки
  • Потоки источника
  • Потоки назначения
  • Сканирование «темных» адресов
  • Чрезмерное количество TCP передач на пункт назначения
  • Политика контроля доступа на основе географического месторасположения

Смягчение потоков Layer 4


  • TCP порты (все)
  • UDP порты (все)
  • ICMP TCP/коды (все)
  • Поток соединений
  • Поток SYN
  • Чрезмерное количество SYN запросов/источников в секунду
  • Чрезмерное количество попыток создания соединения в секунду
  • Зомби-потоки
  • Чрезмерное количество соединений на источник потока
  • Чрезмерное количество соединений на пункт назначения потока
  • Потоки, нарушающие состояние протокола TCP


Смягчение потоков Layer 7


  • Потоки кода операции
  • Потоки HTTP URL Get
  • Потоки User Agent
  • Потоки источников ссылок
  • Потоки Cookie
  • Потоки хостов
  • Связанный URL доступ
  • Обязательные параметры HTTP заголовка
  • Последовательный HTTP доступ
  • SIP приглашения на источник
  • SIP записи на источник
  • Одновременные SIP приглашения на источник


Анализ IP репутации

  • Динамический анализ IP репутации
  • Обновления базы данных IP репутации

Статистика мониторинга поведения


  • Число пакетов / источников в секунду
  • Число SYN пакетов в секунду
  • Число попыток установить соединение в секунду
  • Число SYN пакетов / источников в секунду
  • Число соединений в секунду
  • Число одновременных соединений / источников
  • Число пакетов / портов в секунду
  • Число фрагментированных пакетов в секунду
  • Число пакетов протоколов в секунду
  • Число одинаковых URL в секунду
  • Число одинаковых приложений User-Agent / хостов / источников ссылок / файлов Cookie в секунду
  • Число одинаковых приложений User-Agent, хостов, источников ссылок, файлов Cookie в секунду
  • Anti-Spoofing проверки
  • Эвристика связанных URL


Статистика отчетности

  • Наиболее частые атаки
  • Наиболее частые атакующие
  • Наиболее часто атакуемые подсети
  • Наиболее часто атакуемые протоколы
  • Наиболее часто атакуемые TCP порты
  • Наиболее часто атакуемые UDP порты
  • Наиболее часто атакуемые типы ICMP / коды
  • Наиболее часто атакуемые URL
  • Наиболее часто атакуемые HTTP хосты
  • Наиболее часто атакуемые HTTP источники ссылок
  • Наиболее часто атакуемые HTTP файлы Cookies
  • Наиболее часто атакуемые HTTP приложения User-Agent


В завимости от требуемой производительности Fortinet предлагает следующие устройства:

Устройство защиты от DDOS-атак Fortinet FortiDDoS-100A 

Устройство защиты от DDOS-атак Fortinet FortiDDoS-200A 

Устройство защиты от DDOS-атак Fortinet FortiDDoS-300A