DDoS Prevention Final Show

Технология Clean Pipes –
Решение для защиты от атак DDoS

Михаил Кадер
Инженер-консультант
security-request@cisco.com
Номер сессии
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. ‹#›
План
• Распространенность атак DDoS

• Обзор решения
• Защита
Инфраструктура средств защиты известных
уязвимостей
• Обнаружение
Упреждающий поиск искажений трафика
• Устранение угроз
Очистка / фильтрация, перенаправление и ввод трафика
• Модели реализации
Поставщики услуг играют основную роль в обеспечении
безопасности
Возможные риски реального бизнеса, возможности устранения
Потребители
Большие
предприятия
Поставщики услуг
Провайдеры сети
Интернет
(The Internet) Офис
Модель безопасности изменяется
• Безопасность больше не является предложением ""на на уровне
продукта ", а является бизнес
продукта", -предложением
бизнес-предложением
• Количество серверов и рабочих станций
станций,, повышающее число
уязвимостей до тысяч на больших предприятиях
• Стоимость владения конечных существующих систем безопасности
безопасности,,
требует применения продуктов с высокой скоростью реакции
реакции,, а также
множества программ -агентов и обновления парадигм
программ-агентов
• Проблема ““нулевого
нулевого дня ”
дня”
Быстро распространяющиеся атаки ((черви
черви и вирусы
вирусы)) происходят
слишком быстро по сравнению с реакцией соответствующих
программ
Необходима автоматизированная система безопасности
• Предприятия не имеют возможности решать такие проблемы в
одиночку
Они должны работать совместно с SP для построения и усиления
системы безопасности на основе согласованной политики
Последние тенденции в области атак
DDoS
"Вымогательство становится “обычным”", говорит Эд Аморозо (Ed
Amoroso), начальник отдела информационной безопасности AT&T.
“Это происходит настолько часто, что никто даже бровью не ведет.”
Случаи вымогательства при помощи DDoS участились, Network World, 05/16/05
(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
"За последние восемь месяцев мы увидели, что нарастает

количество организованных групп злоумышленников, которые
пытаются завладеть деньгами пользователей", говорить Роб Ригби
(Rob Rigby), начальник службы безопасности MCI Inc.
Случаи вымогательства при помощи DDoS участились, Network World, 05/16/05
(http://www.networkworld.com/news/2005/051605-ddos-extortion.html)
• Все основные направления бизнеса испытывают атаки DDoS

Финансы, здравоохранение, государственные, производство, электронная
коммерция, розничная торговля
период отпусков, освещение основных спортивных событий, игры он-лайн
• Растет количество целенаправленных атак, имеющих целью вымогательство
16% целенаправленных атак с целью вымогательства в сравнении с 4% в
прошлом году
• Сумма ущерба от атак выросла с 10,000 до нескольких миллионов долларов
Атаки направлены на бизнес любого класса всех сегментов рынков
Обзор решения
Возможности технологии “Clean Pipes” и
определение защиты от атак DDoS
Возможности технологии “Clean Pipes”

• Хорошо спланированное и проверенное решение,
устанавливаемое для защиты канала данных, предназначенное
для обеспечения соединения и защиты от угроз безопасности
• Важнейшей целью является устранение вредоносного трафика
из канала данных и передача благонадежного трафика до
компрометации критичных ресурсов
Определение решения для защиты от DDoS

“ Часть системы защиты от опасностей, которая
предназначена для обеспечения доступности
дополнительных услуг и критически-важных
элементов путем их защиты от атак DDoS”
ID презентации
ID презентации ©
© 2003
2005 Cisco
Cisco Systems,
Systems, Inc.
Inc. Все
Все права
права защищены.
защищены. 7 ‹#›
Позиционирование сервисов защиты от
атак DDoS
• Основные клиенты и сегменты рынков

Предприятия со значительной зависимостью от обмена информацией в
реальном времени (финансовые институты), вертикалями нормативных
требований (HIPAA, GLBA), федеральными счетами, содержащим
конфиденциальные данные.
• Специализированные средства обслуживания являются
лакомым куском
Реальная емкость до нескольких гигабит; изучение и настройка политики;
• Разделяемые сервисы для клиентов нижних уровней
Разделяемая емкость ограничена; ограничения на использование; отборные
профили по умолчанию; нет интеграции с оборудованием CPE
• Уровневое ценообразование на основе обобщения
коммерческого риска
Защита не только взаимосвязей и серверов
• SLA основаны на защищенном канале, а не сервисе или
приложении
Параметры включают объем фильтрования, время отклика, типы атак и пр.
Защита от атак DDoS – управляемые сервисы
Преимущества для поставщика услуг
9 Новый вид дополнительных услуг: Возможность предложить новый сервис

высокого уровня с перспективой расширения для больших, средних и малых
предприятий
9 Логичное соответствие управляемому сервису – Клиенты, требующие
обеспечения необходимого уровня поставляемых услуг (Например: ATT, Sprint,
MCI, COLT)
9 Статус доверенного лица: Возможность позиционировать себя как доверенное
лицо, которое понимает последствия для бизнеса нарушения безопасности
9 Поддерживает основные виды деятельности: Возможна поддержка свойств
существующей сетевой инфраструктуры, чтобы обеспечить высокий уровень
сервиса при минимальных затратах
9 Построение в соответствие с планом развития: Способность к наращиванию
свойств фильтрования трафика концентрируется на повышении уровня сервиса
и требованиях клиентов
9 Увеличение продаж других сервисов безопасности: Способность к расширению
предлагаемой услуги для включения других технологий обеспечения
9 Усиление защищенности сети: Защита их собственных сетей от атак DDoS,
результатом которой является усиление собственных позиций для
предоставления услуг
Защита от атак DDoS – управляемые сервисы
выгоды для клиента (Повышение статуса доверенного
лица)
9 Логичное соответствие управляемому сервису – На предприятиях

понимают проблему "последней мили" и преимущество защиты
восходящего трафика (E-TAB)
9 Пониженная стоимость владения, максимальная защита: Инвестиции в
сервисы защиты легко обосновываются в сравнении со снижением
доходов от простоев сети, потерей репутации и выплатами
вымогателям
9 Упреждающая защита в режиме реального времени: Отражение атак
происходит в реальном времени, быстро, до переполнения ресурсов
последней мили или центра обработки данных
9 Защита полосы пропускания канала последней мили: Позволяет
экономить полосу пропускания канала последней мили для пропуска
только благонадежного трафика
9 Защита от очень мощных атак: Способность фильтрования основана
на “макс. размере атаки”, а не на пропускной способности канала
последней мили
9 Непрерывность бизнес-процессов: Увеличение времени безотказной
работы, что приводит к увеличению времени работы клиентов,
сохранению клиентской базы и повышению репутации
Реализация технологии Clean Pipes
NFP для инфраструктуры,

матрицы данных (Data plane) и матрицы
Защита управления (control plane)
Защита матрицы
Направление фильтрования Упреждающее

трафика меняется при помощи Отражение обнаружение
Обнаружение опасностей на основе
системы защитя Cisco
Netflow или Cisco
Detector
Введение Перенаправление
Повторный ввод "очищенного" трафика

Перенаправление трафика атаки
в направлениицелевого объекта
в центр фильтрования
Тенхнология Clean Pipes - Защита
Безопасность BGP RACL, iACL, CoPP

RTBH, uRPF защита стека,
RTRL / QPPB
Sinkhole-подсети Предприятие
Точка
обмена
Маршрутизатор
ядра Входящее и
исходящее фильтрование
uRPF
Точка
обмена
Поставщик услуг хостинга
Технология Clean Pipes - Обнаружение
Обнаружение Обнаружение
RTRL / QPPB Netflow Sinkhole-подсети Предприятие
Cisco
Detector
Netflow
Точка Arbor
обмена Netflow контроллер
ядра Входящее и исходящее
фильтрование uRPF
Netflow
Точка
обмена
Netflow Cisco
Detector Поставщик услуг хостинга
Arbor
Netflow контроллер Обнаружение
Технология Clean Pipes - Отражение
атаки
Обнаружение Обнаружение
RTRL / QPPB Netflow Sinkhole-подсети Предприятие
Cisco
Detector
Netflow
Точка Устройство сбора

обмена Netflow данных Arbor
ядра Входящее и исходящее
Перенаправление фильтрование uRPF
трафика
Netflow
Точка
обмена
Netflow Cisco
Detector Поставщик услуг хостинга
Arbor
Проверка и фильтрование контроллер
пакетов Обнаружение
Устройство
защиты Cisco Guard
Повторный ввод
трафика
Центр
фильтрования
Компоненты схемы
Версии программного /
Основное назначение аппаратного
обеспечения
Устройство защиты
Отражение атаки Версия: > 3.1(2.2)
Cisco Guard XT 5600
AGM (Anomaly Guard Версия: > 4
module - модуль
Отражение атаки 12.2(18)SXD3 (Cat 6K)
устранения аномалий
трафика) 12.2(18)SXE1 (C7600)
Детектор Cisco Detector
Обнаружение Версия: > 3.1(2.2)
XT
Программа сбора
данных: Сбор данных ArbOS 3.3.1/ IOS Netflow
NetFlow
Устройство Arbor
Peakflow SP Программа управления:
Обнаружение аномалий
ArbOS 3.3 / IOS Netflow
при помощи данных
NetFlow
Модели сервисов
• Управляемая защита сетей от атак DDoS
Защита канала последней мили клиентов SP
• Управляемая защита хостинга от атак DDoS
Защита ресурсов центров обработки данных,
установленных провайдером
• Управляемая защита точки обмена данными от
атак DDoS
Атаки DDoS соединений с другими провайдером
Интернет (ISP)
• Инфраструктура защиты от атак DDoS
Защита инфраструктуры SP для обеспечения
надежного сервиса
Алгоритм процесса
и изучение
Защита
NFP защиты.
Изучение исходного материала
"Очистка"
Пакет
в отсутствие атак благонадежен? Сброс
Нет
Упреждающий поиск Да
аномалий
Обнаружение
Повторный ввод
Повторный ввод пакета
Нет Обнаружена в зону / к целевому объекту
аномалия?
Да
Перенаправление
Перенаправление трафика в
центр фильтрования
Защита
Защита:
Рекомендуется проведение
общих защитных
мероприятий для
Отражение
обеспечения защиты от атаки Обнаружение
известных уязвимостей
Ввод Перенаправление
Защита фундамента сети
Предназначена для защиты инфраструктуры, позволяет
обеспечить непрерывное предоставление услуги
• Предназначена для обнаружения искажений трафика и отражения атак в реальном
Уровень времени
• Технологии: инструменты NetFlow, отслеживание IP источника, ACL, uRPF, RTBH, QoS
данных
• Глубокая защита для обеспечения маршрутизации матрицы управления
Уровень • Технологии: Наиболее эффективными методами являются правила ACL, защита уровня
управления, iACL, опознание соседнего узла, практики применения BGP
управления
• Безопасное и непрерывное управление сетевой инфраструктурой Cisco IOS
Уровень • Технологии: выбор критического уровня производительности процессора и памяти,
администрир- двойное ведение системного журнала, проверка файла OS, SSHv2, SNMPv3, контроль
средств безопасности, управление ролями CLI
ования
Инфраструктура должна быть надежно

защищена до принятия остальных мер
безопасности.
Использование, преимущества и
ограничения NFP
NFP Использование Преимущества Ограничения
ACL Входные и выходные Блокировка Может запрещать

фильтры для запрета вредоносного трафика благонадежный трафик,
явных адресов без изменений необходимо применять
источников, адресатов, топологии, на каждом интерфейсе
портов, флагов блокирование каждого
указанных портов, маршрутизатора
детальность
Применение "черных Запрет источников / Ограниченные свойства Невозможно
дыр" BGP приемников в явном антиспуфинга, разграничить
виде эффективное благонадежный и
фильтрование по всей вредоносный трафик
сети, без изменений
топологии
Ограничения скорости Подавление Блокировка Применяется на каждом

вредоносного трафика вредоносного трафика интерфейсе каждого
для поддержания на границе и поддержка маршрутизатора, нет
доступа к услуге услуг возможности
фильтрования по
информационной части
Политика QoS Маркировка Особое внимание Требует
вредоносного трафика наиболее необычному / конфигурирования и
для отбрасывания в подозрительному изменения топологии
случае перегрузки трафику
Использование, преимущества и
ограничения NFP
NFP Использование Преимущества Ограничения
uRPF Запретить пакеты от Проверка адреса Не блокирует атаки с

имитируемых адресов источника входящих надежных адресов
источников пакетов источников
Sinkhole-подсети Привлекает трафик, Возможность Невозможно

предназначенный для отображения обнаружить атаки,
теневых и фиктивных подозрительной направленные на
IP-адресов сетевой активности благонадежное
адресное пространства
Входное и выходное Обеспечение и учет Способность Невозможно

фильтрование нарушений политики управления трафиком, фильтровать
безопасности направленным в содержимое
направлении и от сети, информационной части,
при помощи IP-адресов недостаточная динамика
источника / приемника, для обеспечения
протокола и порта масштабирования
защиты от
крупномасштабных атак
с использованием
нескольких источников /
приемников
Краткая характеристика технологии NFP
• Свойства NFP формируют базис технологий защиты от
известных уязвимостей сети
• В наибольшей степени предназначены для надежной
защиты инфраструктуры
• Нет упреждающего обнаружения угрозы
• Сложно обеспечить сохранность услуги – весь трафик в
направлении адресата отбрасывается, невозможно
разграничить благонадежный и подозрительный трафик
• Невозможно динамически адаптироваться к новым
угрозам
• Конфигурирование каждого интерфейса каждого
маршрутизатора не масштабируется
• Нет непрерывности услуги для конечного пользователя
Защита
Обнаружение:
Упреждающий поиск
аномалий трафика Отражение Обнаружение
атаки
Ввод Перена-
правление
Обнаружение
• Что такое обнаружение?

Построение базовых данных (ранее собранный
профиль или точка отсчета) является важнейшим
мероприятием для поиска осуществляемой атаки
Аномалия / неправильное использование – событие
или условие в сети, характеризуемое статистическим
отклонениемот исходных данных
• Во время обнаружения...
искажения или неправильного использования
следующим шагом является уведомление устройств(а),
ответственного за анализ трафика / поиск атаки – Cisco
Guard, через внеполосную сеть
Способы обнаружения и классификация
атак DoS
• Звонок клиенту
• SNMP: Перегрузка линии / процессора
• NetFlow: Подсчет потоков “низкая скорость и
ручное управление”
• Журнал выполнения правил ACL
• Эхо
• Уст-ва Cisco Detector и Guard “направленное и
масштабируемое”
• Программа Arbor Peakflow SP Clean Pipes
Возможно обнаружение различных
типов угроз
Â Легитимное и неправильное использование трафика управления

(например, ICMP, TCP FIN и пр.)
Â Трафик уровня данных (например, ftp, http) в разумных пределах
исходных данных и искажения
Атаки поглощения полосы Атаки недостатка ресурсов
пропускания • Атаки размером пакетов
• Имитируемый и не имитируемые Фрагментированные
атаки лавинной маршрутизации пакеты
Флаг TCP (SYN, SYN-ACK, ACK, FIN) Большие пакеты
ICMP, UDP Примеры: "Дыра", "пинг
Примеры: Лавинные атаки SYN, смерти"
распыление, LAND, лавинные • Низкоскоростные атаки
атаки UDP "зомби-сетей"
• Атаки "зомби-сетей" Подобны атакам
Кажый "зомби" или шпионский поглощения полосы
источник открывает пропускания за
несколько TCP-соединений исключением того, что
Каждый "зомби" или каждый источник атаки
шпионский источник посылает несколько
открывает несколько TCP запросов с низкой
сессий и выдает скоростью
повторяющиеся запросы HTTP • Атаки DNS
• Атаки DNS Рекурсивный цикл DNS
Лавинная маршрутизация
запросов DNS
Детектор аномалий трафика
Cisco Detector – что это?
• Детектор аномалий трафика - это компонент,
разработанный Cisco Systems, и
предназначенный для обнаружения аномалий и
защиты
• Детектор предназначен для работы совместно с
системой защиты Cisco Guard, однако он может
работать независимо, как компонент
обнаружения и оповещения об атаках DDoS
• Контролирует каждый пакет при помощи
отражения портов или оптического делителя
• Непрерывно контролирует трафик и тщательно
контролирует характеристики зоны для
совершенствования шаблонов трафика
Cisco Detector – Как он работает?
• Алгоритм работы основан на системе обучения,
которая предназначена для изучения трафика
зоны, подстраивается под ее конкретные
характеристики и поддерживает механизмы
обнаружения со ссылками и инструкциями в
форме предельных значений и политик
• Система фиксирует искажения трафика в
системном журнале детектора или удаленно
запускает модуль(и) Cisco Guard для
инициализации защиты зон(ы)
Интеграция этих компонентов позволяет усилить

возможности обнаружения в фоновом режиме
Что такое "зона"?
• Зона - это элемент сети (сервер, несколько

серверов или сеть), который непрерывно
находится под защитой от атак DDoS
• Одновременно можно контролировать
различные зоны, поскольку их сетевые адреса
не перекрываются
• Как только атака обнаружена, детектор может
автоматически привести в действие модуль
защиты Guard или отправить уведомление,
которое позволит провести ручной запуск
• Настраивается индивидуально для каждой зоны
Система обучения детектора Cisco
Detector
Процесс состоит из двух фаз:
Построение политик
Настройка предельных значений
Построение политик:
Выявляет услуги, используемые в зоне. Шаблоны
политики обеспечивают правила, которые используются
для построения политик
Настройка предельных значений:

Настраивает трафик зоны для определения предельных
значений, превышение которых может повлечь запуск
процесса
Рекомендуется, чтобы система находилась в режиме
обучения в течение не менее 24 часов
Режим обнаружения
• После завершения фазы обучения зона переключается в
режим "обнаружения" и начинается реализация политик
• При помощи политик обнаружения начинается
обнаружение искаженного или вредоносного трафика,
превышающего установленные пределы
• Превышение предела вызовет переключение политики к
построению набора динамических фильтров
• Динамический фильтр заносит событие в системный
журнал или удаленно активирует модуль Cisco Guard
для отражения атаки DDoS
После проведения анализа трафика детектор отбрасывает трафик
Фильтр детектора и модульная система
Системный
журнал
сервера
Зона серверного
пула в процессе
обнаружения
Запуск модуля защиты Guard
Ключ SSH - единовременный обмен

1 между детектором и модулем
защиты. Для каждого модуля
Детектор Guard
защиты предназначен один ключ.
Генерация ключа SSH
1
Журналы детектора в каждом
2 Регистрация через SSH
модуле защиты определяются
конфигурацией. Порядок 2
определяется на уровне CLI. Подача команды защиты
Детектор подает команду 3

3 защиты атакуемой зоны. Ее Сессия прервана
будет пытаться выполнить
4
каждый модуль защиты из
списка.
Рекомендации по внедрению детектора Cisco
Detector
• Поддерживает до 90 активных зон

• Нет жесткого ограничения числа модулей
защиты Guard, которые указываются в списке
конфигурации
• Концепция резервных модулей защиты не
поддерживается – Пытается запустить все
модули Guard списка
• Невозможно выделить модуль Guard для
определенной зоны
• Зоны детектора должны совпадать с зонами
модуля Guard
NetFlow
и компоненты решения NetFlow
Cisco IOS NetFlow
• NetFlow - это стандарт запроса IP-
сети и рабочих данных Разрешить NetFlow
• Данные экспортируются
программой Arbor Peakflow SP для
проведения дальнейшего анализа
• Преимущества
Обнаружение и классификация
инцидентов системы
Программа
Снижение затрат на Arbor Peakflow
обслуживание / эксплуатацию SP
IP-сетей и оптимизация
1. Характеристика потоков и понимание
стоимости сети динамики трафика
• Это форма проведения 2. Экспорт информации о потоке
3. Какой ресурс подвергается атаке и
дистанционных измерений источник атаки
трафика на каждом активном 4. Продолжительность атаки
маршрутизаторе NetFlow, 5. Размер пакетов, используемых для
направленного на устройство атаки
считывания
Поток определяется семью
уникальными ключами
Трафик
• IP-адрес источника
Разрешить NetFlow
Новый
• IP-адрес приемника интерфейс
SNMP MIB
• Порт источника
• Порт приемника Экспорт пакетов
NetFlow
• Протокол уровня Layer 3 Традиционный
Регистратор
экспорт и
коллектор SNMP
• Байт типа услуги (ToS)
(является точкой
разграничения по коду Arbor PeakFlow SP
сервиса ( Differentiated
Services Code Point (DSCP)) Экспорт пакетов
• Примерно 1500 байт
• Входной логический • Обычно содержит 20-50 записей потока
интерфейс (Input logical • Отправляются чаще, если трафик
interface (ifIndex)) возрастает на интерфейсах с
поддержкой NetFlow
ID презентации © 2005 Cisco Systems, Inc. Все права защищены. 38 ‹#›
Типы потоков NetFlow
NetFlow
Комплексный / полный Выборочный
Произвольный Определенный
Платформы: (Cat 6K, 7600) Платформы: (C12K, Cat 6K)
Контролируемый
по времени
Платформы: (Cat 6K, 7600)
На основе пакетов
Траектория движения
(на основе хеширования)
В разработке
NetFlow
Arbor Peakflow SP
Обнаружение искажений
Устройство Свойства системы
в сети
ВСЕ свойства трафика и маршрутизации (TR)
Peakflow|SP обнаруживает как известные MS ВСЕ свойства инфраструктуры безопасности (IS)
сетевые аномалии, так и аномалии
"нулевого дня" без необходимости Управляемые сервисы Функциональность портала
обновления сигнатур и при минимальной
сетевой конфигурации
CP ВСЕ свойства трафика и маршрутизации (TR)
ВСЕ свойства инфраструктуры безопасности (IS)
Конвергентная
Интеллектуальное платформа
управление отражением
TR Формирование отчетов о трафике в масштабе сети
Управление маршрутизацией, обменом между точками,
Peakflow|SP обеспечивает способность Трафик и транзитом
быстро реагировать на возникающие угрозы Аналитика маршрутизации
путем генерации правил доступа, интеграции маршрутизация
"черных дыр", sinkhole-подсетей и устройств
отражения, на одной интегрированной IS Обнаружение искажений в масштабе сети
Классификация, уведомление, диагностика, реакция
консоли управления Безопасность Последующий анализ путем формирования гибкой системы
инфраструктуры отчетов
•Объединяет и устанавливает
соотношение данных атаки и
Характеристики Шасси: Высота в стойке 2RU (3.35”/8,9 см), 36 фунтов/16,3 кг
трафика
•Центральный пользовательский устройства Питание: от -38 до –75 В=, резервный источник питания ~ / =
интерфейс на одном устройстве, Порты: 2 GigE, 1 последовательная консоль, 6
указанном устройством управления дополнительных слотов PCI (медная витая пара или
•Собирает и анализирует данные волоконно-оптический кабель)
трафика Производительность: Настраивается для NetFlow (OC-48) и
•Настраивается для NetFlow пакетов (GigE)
(OC48+) Соответствие стандартам: Сертификат NEBS Level 3 (~ или =),
ETSI
Масштабирование Arbor Peakflow SP ...
• Одна (1) программа управления Peakflow SP на домен.
Масштабирование / использование дополнительных
программ сбора информации Peakflow SP в каждом
домене в соответствие с лицензией и требованиями
Peakflow SP на PoP
• За информацией о порядке лицензирования обратитесь
в Arbor Networks. Кратко:
Лицензия может зависеть от количества потоков в секунду,
направленных в устройство Peakflow SP ИЛИ
Количества маршрутизаторов, передающих данные NetFlow в
устройство Peakflow SP
Каждое устройство Peakflow SP способно собирать данные
NetFlow со скоростью до 10,000 потоков/с. За информацией о
способах повышения скорости сбора обратитесь в Arbor
Рекомендации по проектированию
системы обнаружения
Рекомендации по размещению детектора
Положение Устройство
Информационный центр Cisco Detector
CPE Cisco Detector
Магистраль SP Устройство Arbor Peakflow SP
SP Peering Edge Arbor Peakflow SP
• Детектор необходимо размещать перед МСЭ и IDS

• Устанавливайте детектор как можно ближе к
защищаемому / контролируемому адресату / зоне
• Размещайте детектор после Guard
Резюме системы обнаружения
Cisco Detector Arbor Peakflow SP
Использует архитектуру MVP Основана на стандартах открытых систем NetFlow
Детектор - это воспринимающий элемент Маршрутизатор - это воспринимающий элемент
Принимает копию реального трафика на основе Исследует совокупные данные из
отражения SPAN / порта маршрутизатора, собранные сетью OOB
Обеспечивает в масштабе сети видимость и
Обнаружение может быть основано на целевых
Технология данных только для указанного набора ресурсов
обнаружение характерных для зроны данных,
обнаружения которые должны быть извлечены из
(серверный пул)
совокупности данных
Маршрутизаторам требуется наличие кэша
Независима от маршрутизаторов, но требует
маршрутов через интерфейсы для сбора
дополнительного оборудования обнаружения.
информации NetFlow
Специализированное обнаружение в Нет ограничений топологии. NetFlow хорошо
защищаемой зоне масштабируется
Пользовательский Нет данных Доступно в зависимости от конкретного клиента

портал
Сбор данных Реальные данные целевой зоны Собраны с разных маршрутизаторов
Запуск удаленного Поддерживается при помощи SSH через Поддерживается при помощи SSH через
устройства защиты соединение OOB соединение OOB
Может поддерживать контроль данных Может поддерживать до 10,000 потоков/с на

Масштабируемость устройства / модуля на скоростях до 1 Гбит/с каждое устройство Peakflow SP
Анализ проводится на каждом установленном

Анализ данных устройстве
Анализ проводится централизованно
Где задействовать NetFlow …
• Для сервиса защиты от атак DDoS

По умолчанию используется NetFlow на входе на
контролируемых соединениях (например: трафик,
входящий от уровня 1 SP) в точках обмена
Если сервис безопасности обеспечивается для
клиента, тогда включите NetFlow на выходе на линии
клиента
• Для защитной структуры SP

Если обнаружение / контроль требуется для данных,
входящих от клиента в SP, используйте NetFlow на
входе со стороны клиента
Внеполосная (Out of Band - OOB) сеть
• Устройство(а) сбора Peakflow разделяют данные с устройством

управления Peakflow Leader через внеполосную сеть
Устройство сбора на PoP / устройство управления на домен
• В зависимости от кол-ва потоков, принимаемых
маршрутизатором, доля выборки определяется
маршрутизатором – Peakflow SP способен отслеживать трафик
на скоростях выше 20 Мбит/с
Доля выборки составляет 1:100 для трафика 4 Гбайт, где каждый
поток является дискретным, приравнивается к 4 Мбит/с данных
NetFlow от каждого маршрутизатора
• Рекомендуется иметь сеть OOB, работающую со скоростью не
ниже 100 Мбит/с
Доля выборки NetFlow
(рекомендации Arbor)
• Ethernet – 1:10
• Fast Ethernet/OC3 – 1:100
• Gig Ethernet – 1:1000
• POS OC12/OC48 – 1:1000
• 10GE/POS OC192 – 1:5000
• Только 1 долю выборки можно определить на

маршрутизаторе Cisco, хотя на маршрутизаторе может
быть больше одного интерфейса
• Как правило на маршрутизаторах, используемых в
наибольшей степени, устанавливаются
рекомендуемые доли выборки
Примеры построения системы
обнаружения на базе устройства NetFlow
• Использование выборочного потока NetFlow для снижения загрузки
процессора программных платформ до 80%
• Доля выборки является конфигурируемой
• Использование выборочного потока NetFlow необходимо для
обеспечения пропускной способности и планирования сети
• Определите, по каким полям проводить трассировку потока NetFlow
• Нельзя экспортировать версии 5, 7 и 9 одновременно с версией 8
• Планируйте использование NetFlow в топологии сети, чтобы
избежать дублирования потоков учета
• Используйте выделенный интерфейс / VLAN для экспорта данных
NetFlow (NDE)
• Контролируйте счетчик потерянных пакетов в NFC
• Проверяйте полосу пропускания канала экспорта
Экспорт должен занимать от 1 до 1,5% от пропускной способности
интерфейса
Защита
Отражение атаки:
Очистка /
фильтрация, Отражение
перенаправление и атаки Обнаружение
ввод данных
Введение Перенаправление
"Очистка" / фильтрование
План
• Обзор модуля защиты Guard и модуля

обработки аномалий Anomaly Service Module
• Отражение атак DDoS устройством защиты
• Создание исходных данных и изучение трафика
• Схема построения центра фильтрования
Обзор устройства защиты Cisco Guard
• Отражение атак DDoS, исходящих из сети Интернет, против таких
устройств как веб-серверы, DNS-серверы, почтовые серверы, МСЭ
и других компонентов сетевой инфраструктуры.
• Отражение атаки в зависимости от характера аномалии
Изучение характера потока обычного трафика, начало выполнения
защиты, если обнаружены необычные шаблоны
Преимущество: возможность отражения ранее неизвестных атак
• Цель: фильтрование вредоносного трафика, пропуск всего
благонадежного трафика
• Защита в зависимости от зоны назначения
Зона = IP-адрес, группа IP или подсеть
• Нет линейного устройства. Обработка трафика по требованию
Перенаправление для проведения обработки трафика только той зоны,
которая подверглась атаке. Другой трафик транслируется в прежнем
направлении
• Два варианта устройства: Устройство Guard и модуль расширения
Guard для 7600/CAT6K
Устройство Cisco Guard XT 5650 и Модуль
расширения Anomaly Guard Module (AGM) для Cisco
7600 и Cisco Catalyst 6500
Устройство защиты Модуль расширения

Cisco Guard XT 5650 Cisco Anomaly Guard
• 2 GE оптическое волокно / медная • Одиночный модуль обработки
витая пара для установки в слот
• Управление по медной витой паре • Нет внешних интерфейсов –
10/100/GE используется линейная плата или
• Одиночный / двойной источник интерфейсы управления
питания для установки в стойке 2U • Поддержка Cat6k IOS:
• Двойной массив жестких дисков 12.2(18)SXD3 или более поздние
RAID • Поддержка 7600 IOS: 12.2(18)SXE
• Модуль памяти 2 GB DDRAM или более поздние
• 1 сетевой процессор Broadcom • 3 сетевых процессора Broadcom
SiByte SiByte
• Несколько модулей AGM в шасси
Сравнение устройства Guard XT и
модуля Anomaly Guard Module
Guard XT Модуль расширения Anomaly Guard Module
Опознавание Да Да. Отличается от супервизора

пользователей по
системе TACACS+
Производительность (См. слайд, посвященный 90% производительности устройства (сегодня)
производительности)
Лицензия на последующее обновление программного
обеспечения для многопроцессорных систем позволит
увеличить производительность в 2-3 раза
Соответствие Нет "Да" при установке в шасси, совместимом со стандартом NEBS
требованиям NEBS Level
3
Контроль аппаратного Включает диагностику условий окружающей Расположен на направляющих 7600/Cat6k
обеспечения среды и ведение журналов
NTP Использует собственные NTP Основан на NTP супервизора

Маршрутизация / Для обеспечения маршрутизации, Для маршрутизации используется Supervisor. AGM посылает
перенаправление / перенаправления и повторного ввода MSFC ообщение Route Health Injection (RHI) (ввод очищенного
повторный ввод трафика используется встроенное ПО Zebra трафика), который, в свою очередь, выполняет изменение
маршрута и ввод
Туннелирование GRE для Исходит от устройства Исходит от MSFC

повторного ввода
трафика
Хранение и память Хранение: Диск 70 Гбайт Хранение: Накопитель 1GB Compact Flash
Память: 2 Гбайт Память: 4 Гбайт
Поддерживаемая версия Версия 3.1. Соответствует версии 4.0 AGM Версия 4.0. Соответствует версии 3.1 устройства
ПО для технологии Clean
Pipes
Архитектура процесса мультиверификации
(Guard Multi-Verification Process (MVP))
Применение антиспуфинга Обнаруживает аномальную

для блокировки вредоносных активность и точно определяет
потоков направление и источник атаки
Динамически вставляет
необходимые фильтры для
блокировки потоков и
источников атак Применение ограничений
скоростей
Благонадежный и вредоносный трафик

Благонадежный в направлении адресата
трафик
Динамические и Активная Статистический Анализ Ограничения

статические фильтры верификация анализ на уровне скорости
7
Интеллектуальное принятие контрмер
Преимущества: Обнаружение
• Точность
ПОЛНАЯ ЗАЩИТА источник
• Если необходим полный антиспуфинг (прокси) аномалии
• Предельное • Динамическое фильтрование "зомби-источников"
повышение
производительности БАЗОВАЯ ЗАЩИТА Аномалия
• Максимальная • Применение базовых средств антиспуфинга проверена
прозрачность • Анализ текущих аномалий
• Автоматическая
реакция АНАЛИЗ
• Изменение направления для проведения более подробного анализа трафика Обнаружена
• Гибкие фильтры, динамические фильтры и обход во время операции атака
• Все потоки пропускаются, но проводится их анализ на наличие аномалий
ОБНАРУЖЕНИЕ
• Пассивная копия контроля трафика
ИЗУЧЕНИЕ
• Периодическое исследование образцов для проведения автоматического обновления базовых профилей
Типы угроз DDoS, которые можно отражать при
помощи Guard
Атаки поглощения полосы пропускания

1. Имитируемые и не имитируемые
лавинные атаки
Атаки недостатка ресурсов
Флаг TCP (SYN, SYN-ACK, ACK, FIN) 1. Атаки размером пакетов
ICMP Фрагментированные пакеты
UDP
Примеры: Лавинные атаки SYN,
Большие пакеты
распыление, LAND, лавинные Примеры: "Дыра", "пинг смерти"
атаки UDP
• Атаки "зомби-сетей"
2. Низкоскоростные атаки
Кажый "зомби" или шпионский "зомби-сетей"
источник открывает
несколько TCP-соединений
Подобны атакам поглощения
Каждый "зомби" или шпионский полосы пропускания за
источник открывает исключением того, что каждый
несколько TCP сессий и выдает источник атаки посылает
повторяющиеся запросы HTTP несколько запросов с низкой
1. Атаки DNS
скоростью
Лавинная маршрутизация
запросов DNS 3. Атаки DNS
Рекурсивный цикл DNS
Создание базовых данных и изучение
трафика
• Базовые данные - это профиль поведения трафика в обычных

условиях
Если профиль трафика отклоняется от базового, система
опознает наличие атаки
• Базовые данные можно создать двумя способами:
Шаблоны по умолчанию - защита по требованию, может
потребовать ручной настройки для более точного отражения
Адаптивное обучение – защита отдельных клиентов,
обеспечивает более точные пределы, уменьшает
необходимость ручной настройки
Дополнительные возможности версии 5.x
• Бесперебойная защита и запоминание:

Одновременное выявление и запоминание.
Detector запоминает информацию для механизма защиты.
Новые правила обращения со стоп-кадрами.
Новые протоколы коммуникации между механизмом выявления
и механизмом защиты.
• Анализ трафика: оптимизированный в аспекте DDoS
анализатор корректного трафика/трафика атаки.
• Вычленение сигнатур.
• Фильтр на базе контента.
• Новые интерфейсы активации:
Защита по IP.
Защита по пакетам.
Новые правила работы с суб-зонами.
• Защита SIP
Непрерывное запоминание - Обзор
• В предыдущих версиях зоны в Guard и в Detector находились

либо в режиме запоминания, либо в режиме защиты.
• При этом пользователь должен был помнить о необходимости
периодически назначать свободный от атак временной
интервал для запоминания в спокойное время, и на это время
перенаправлять трафик через Guard, чтобы было обеспечено
своевременное обновление пороговых значений политики.
• Благодаря непрерывности работы 24х7 Guard и Detector могут
одновременно:
корректировать пороговые значения (если закономерности
трафика смещаются очень постепенно),
выявлять атаки (если пороговые значения превышены).
Detector запоминает информацию для
Guard (продолжение)
• Когда Detector посылает конфигурацию новой зоны в Guard?
Когда пользователь вручную вводит команду “sync”.
Периодически, когда непрерывный автоматический процесс
принимает новый набор пороговых значений политики.
В случае выявления атаки, непосредственно перед активацией
защитных ресурсов Guard.
• Когда две последние опции включены, Detector может быть
единственной точкой конфигураций для зон.
• Примечание: также поддерживается обратная синхронизация
конфигурации, если пользователь изменяет в Guard
конфигурацию зоны, определенной в Detector.
Протоколы коммуникации между Anomaly Guard
и Anomaly Detector
• В предыдущих версиях единственное

взаимодействие состояло в том, что Detector
активировал защитные ресурсы Guard, заходя на
него через SSH и вводя команду “protect”.
• В R5 предусмотрены три сценария коммуникации:
Detector посылает в Guard новые пороговые значения
конфигурации/политики.
Detector активирует защитные ресурсы Guard.
Detector проверяет вместе с Guard, прекратилась ли атака и
можно ли возобновить запоминание.
• Для эффективной поддержки этих новшеств был
введен фирменный протокол на базе SSL.
Анализатор трафика
• Из трафика, проходящего через Guard (или Detector)

теперь можно делать выборки и сохранять его в файлах
на устройстве.
• Это стандартные файлы pcap.
• Низкоскоростной захват данных можно активировать
автоматически, в режимах запоминания и защиты, причем
пользователь может активировать захват вручную.
• GUI обеспечивает глубокий анализ захваченных пакетов.
• Пользователь может ограничить захват пакетов только
принципиальными решениями (переслать, сбросить,
ответить).
• Пользователь может отфильтровать захват, используя
выражение tcpdump.
• Примечание: доступное пространство в модулях Catalyst
очень ограничено, поэтому можно сохранять очень
небольшое количество предыдущих захватов.
Вычленение сигнатур
• Некоторые атаки DDoS имеют относительно

фиксированную закономерность полезной нагрузки
(например, “Get error.html”).
• Вычленение может помочь в нахождении выраженных
закономерностей в полезной нагрузке захваченных
пакетов.
• Для этой цели пользователь сохраняет соответствующий
захват, в котором пакеты включает злоумышленную
полезную нагрузку, и алгоритм анализирует эти пакеты,
чтобы вычленить сигнатуру.
• Пользователь может задать файл захвата, используемый
для справки. Алгоритм выдаст процент контрольных
пакетов, соответствующих сигнатуре.
• Полученную в результате сигнатуру затем можно ввести в
Guard в качестве фильтра контента.
Фильтр на базе контента
• В предыдущих версиях гибкий фильтр позволял пользователю

выполнять фильтрацию по любому заголовку или
фиксированному смещенному двоичному коду.
• Новый гибкий фильтр контента добавляет возможность поиска
закономерностей в поле данных:
Пользователь может задать шаблон для поиска, а также смещения
(начало и окончание), в которых следует выполнить поиск.
Закономерность может содержать обозначение ‘.*’ для поиска
соответствий типа “любая последовательность”.
Если и значение tcpdump, и шаблон поля данных совпадают,
регистрируется соответствие.
• Пользователь может задать несколько гибких фильтров контента.
• Каждый гибкий фильтр контента может просто подсчитывать
пакеты или сбрасывать их.
• ПРИМЕЧАНИЕ: Гибкие фильтры контента влияют на
быстродействие!
Защита по IP
• В предыдущих версиях в команде “protect” Guard пользователь
должен был указывать имя зоны.
• Некоторые устройства выявления могли сообщать только IP
атакуемой цели.
• В R5 добавляется команда “protect <ip-address>”.
• Когда используется эта команда, Guard ищет зону с данным IP-
адресом и активирует ее.
• Может существовать несколько зон с данным IP:
Возможными кандидатами могут быть только зоны с флажком
“activation-interface ip-address”.
Предпочтение отдается зоне с наибольшим соответствующим
префиксом.
• Используйте параметр зоны “activation-extent” , чтобы задать,
как используется зона в индивидуальной защите по каждому
конкретному IP:
entire-zone: защищается вся зона, содержащая данный IP-адрес.
ip-address-only: создается и защищается суб-зона с заданным IP-
адресом.
Защита по пакетам - обзор
• Некоторые крупные ISP хотят, чтобы
переориентацию трафика инициировали другие
системы, т.е. не Detector, оставляя за
механизмами защиты только функции очистки
трафика.
• Пример: ISP использует инструменты защиты
Arbor Networks и инициирует переориентацию
трафика, используя маршрутизаторы, напрямую
связанные с системой Arbor.
• При этом ожидается, что Guard “всегда готов”
принимать пакеты по всем конфигурированным
зонам и приступить к защите, когда пакеты,
направленные в зону, начнут контактировать с
ним.
Обоснование защиты VOIP от DDoS
• Вызовы VOIP находятся под Сервисы Прокси-сервер SIP или
контролем прокси-сервера программный
коммутатор или
SIP, программного пограничный
коммутатора и/или Пакетная контроллер сессий
пограничного контроллера сеть
сессий.
• Контроллеры вызовов VOIP SBC
обычно охватывают
несколько городов и сотни
тысяч абонентов. Локальная шлюз
• В самое напряженное время сеть
дня контроллер вызовов города 1
VOIP обрабатывает 50-100 шлюз
вызовов в секунду. шлюз
• Атака DDoS на контроллер Локальная сеть
вызовов VOIP препятствует
формированию новых Телефонный города 2
коммутатор
вызовов; блокируются и рабочий
звонки в экстренные службы
домашний
(911).
Key
• В США о прерываниях в System
работе, длящихся более 30
минут и затрагивающих
более 30000 абонентов,
требуется сообщать в FCC. IP
голос
шантажист сигнал
ID презентации © 2005 Cisco Systems, Inc. Все права защищены.
атака ‹#›
Подробнее о функциях защиты SIP/RTP
• ОПЦИИ SIP - Алгоритм анти-спуфинга:

Получив пакет SIP из неаутентифицированного адреса, Guard
отвечает на это пакетом OPTIONS SIP, который содержит
произвольный cookie. Если ответ клиента на запрос опций
(ответ обязателен) содержит cookie Guard, клиент
аутентифицируется.
• Аутентификация RTP:
Для аутентификации сессии RTP, которая следует за сессией
SIP, Guard проверяет SIP INVITE или OK на наличие пакетов
INVITE, находит в данных SDP IP-адрес для отправки RTP и
считает этот адрес аутентифицированным для UDP. Эта
аутентификация RTP основывается на предположении о том,
что RTP поступит с того же адреса, который фигурирует в
SDP.
Устройство защиты Guard Appliance и модуль
AGM
HTTPS (т.н. "Управление при
помощи веб-интерфейса")
Конфигурация и функционирование
Отчеты об атаках
BGP*
Заявленное устройство защиты
Guard является лучшим для
SSH быстрого перехода в зону
Настройка, воздействия атаки
функционирование
Направление потока данных
Изменение направления
"загрязненного"
загрязненного" трафика
FTP Трафик в направлении устройства
Обновление образа, загрузка Guard
и выгрузка конфигураций зон,
Выгрузка отчетов об атаках
Направление потока данных
Повторный ввод "очищенного"
очищенного"
трафика из устройства защиты Guard
SNMP
Состояние системы
Системный журнал
Ведение журнала событий
* Для AGM, устройство управления 7600/Cat6k’s
Supervisor Engine является источником BGP-
сообщений
Обзор центра фильтрования (Cleaning Center)
• Кластер устройств защиты Guard или AGM, расположенных в
одном месте в сети SP
• Устанавливается как можно ближе к источнику атаки (например,
точки обмена)
• Почему используется CC?
Масштабируемость - Повышение пропускной способности
фильтрования трафика в отличие от единственного
устройства Guard
Отказоустойчивость – Несколько устройств Guard внутри CC
обеспечивают возможность резервирования 1+1 или N+1.
Несколько CC обеспечивают географическое резервирование
Экономичность – Позволяет использовать одно устройство
Guard с максимальной загрузкой для нескольких
пользователей одновременно
Гибкость – Одна и та же атака DDoS из нескольких исходных
точек может быть направлена к ближайшему CC
Центры фильтрования с использованием
устройств защиты Guard и AGM
Граница
Центр фильтрования AS
10GE/GE/OC48 Ядро SP
DCN/OOB
Устройства Предварительный
защитный
Guard маршрутизатор (12k,
7600 или Cat6K)
Центр фильтрования
10GE/GE/OC48 Ядро SP
DCN/OOB
AGM
Отдельное шасси
(7600 или Cat6K)
Схема построения центра фильтрации
• Устройство защиты Guard Appliance и

производительность AGM
• Модели распределения ресурсов устройств
Guard
• Размещение CC и автономных систем
• Балансировка нагрузки CC
• Резервирование CC
• Произвольное обращение
Производительность устройства Cisco Guard
Appliance и AGM
• 1 млн пакетов/с для комбинированного чистого и вредоносного
трафика (максимум 1,48 млн пакетов/с для вредоносного трафика)
• Отражает не менее 30 атакуемых "зон" одновременно
• Не менее 1,5 млн соединений одновременно
• До 150,000 динамических фильтров
• < 1 мс период ожидания и флуктуация - FIFO
• На что влияет производительность:
Множество фильтров (20%)
Гибкость фильтров (40%)
2й интерфейс (15%)
Туннельная инкапсуляция GRE (15%)
.1Q тег VLAN (5%)
На основе версии 4.0, производительность AGM равна ~90%

производительности устройства, работающего с
версией 3.1
Модели распределения ресурсов
устройства Guard
Коммуникационная Выделенное устройство для Разделяемое устройство, выделенная Разделяемое устройство, разделяемая
модель конкретных пользователей полоса пропускания для отдельного полоса пропускания для клиентов,
клиента, находящегося под находящихся под воздействием атак
воздействием атаки DDoS DDoS
Капитальные Высокие Низкие Очень низкие

вложения в SP
Затраты на Высокие Высокие / средние Низкие
обслуживание
клиентов
Эффекты • Выделенный сервис с точки зрения • Выделенный сервис с точки зрения • Выделенный сервис с точки зрения
подписчика подписчика подписчика
• Гарантированная производительность • Гарантированная производительность • Максимально возможная
фильтрации по соглашению между SP и фильтрации по соглашению между SP и производительность фильтрования
клиентом клиентом трафика
• Настройка базовых данных при помощи • Настройка базовых данных при помощи • Базовые данные основаны на шаблонах
обучения обучения по умолчанию. Дополнительная ручная
настройка предельных значений для
• Добавление устройств Guard, если • Добавление новых устройств Guard,
более точного отражения атак
новые клиенты подписались на если определенное соотношение
предоставление данной услуги превышено • Если одновременно несколько
пользователей подвергаются атаке,
• Политика и конфигурации зон клиентов • В случае атаки политика и
пропускной способности фильтрования
хранятся на отдельном устройстве Guard конфигурации зон выгружаются на
может не хватить
выделенное устройство Guard
Модели защиты от Управляемая сеть Управляемая сеть Управляемая сеть

атак DDoS
Управляемый хостинг Управляемый хостинг Управляемый хостинг
Управляемый обмен Управляемый обмен Управляемый обмен
Инфраструктура
Размещение и автономные системы центра
фильтрования (CC)
• Размещение CC
– Ближе к входным точкам сети (как можно ближе к источнику атаки)
– Уменьшите количество переходов для изменения направления и
повторного ввода трафика к / от CC для снижения времени
ожидания
– Убедитесь, что ширина полосы пропускания пути перенаправления
трафика достаточна, чтобы обеспечить загрузку ресурсов
устройств Guard
– Ширина полосы пропускания пути повторного ввода должна быть
не меньше ширины полосы пути перенаправления
– Если CC обрабатывает дополнительный трафик в случае
недоступности другого CC, может понадобиться дополнительная
ширина полосы канала
• Автономная система CC
– В среде SP CC обычно находится под управлением команды
обеспечения безопасности, отдельной от команды обеспечения
работоспособности сети
– CC необходимо настроить как автономную систему, отдельную от
ядра
Факторы балансировки нагрузки CC
• Обеспечьте мультигигабитную пропускную способность фильтрования для
одной зоны в CC путем объединения нескольких устройств Guard или AGM
• Балансировка нагрузки на нескольких устройствах Guard одного CC
• Необходимо разрешить:
BGP maximum-path на маршрутизаторе, расположенном перед
устройствами Guard
Разделение нагрузки IP CEF между парами IP-адресов источников-
приемников на маршрутизаторе, стоящем перед Guard / AGM, собранных в
едином шасси
• Число устройств Guard, на один предварительный маршрутизатор: 8
Фактор ограничения: BGP maximum-path
• Число устройств AGM в отдельном шасси 7600/Cat6500: (см. таблицу)
Фактор ограничения: число доступных слотов AGM
Шасси Максимальное число Реальное максимальное число
тестируемых AGM AGM
(активные и пассивные
супервизоры, линейная карта)
Выделенное шасси 8 6
7609/Cat6509
Выделенное шасси 10 10
7613/Cat6513
Схема резервирования CC
• Центр фильтрования с использованием устройств защиты Guard
1. Устройство «горячего» резервирования по принципу N+1
Резервное устройство также доступно, если нет неисправного
устройства
2. Процессоры активного и пассивного маршрутизатора, выполняющего
NSF и SSO на предварительном маршрутизаторе
3. Режим произвольного обращения для обеспечения балансировки
перенаправленного трафика и резервирования среди центров
• Центр фильтрования с AGM
1. Устройство горячего резервирования по принципу N+1
Резервное устройство AGM также доступно, если нет неисправного
устройства AGM
2. Резервный супервизор с NSF и SSO в шасси AGM
Поток не прерывается во время переключения
3. Резервные соединения между шасси AGM и ядром сети
4. Режим произвольного обращения для обеспечения балансировки
нагрузки перенаправленного трафика и резервирования среди
центров фильтрования
Перенаправление и ввод трафика
Перенаправление трафика
Процесс повторной маршрутизации всего или некоторого трафика
к целевому объекту через центр фильтрования с намерением
удаления вредоносного трафика и повторный ввод
благонадежного трафика обратно в сеть по направлению к
целевому объекту.
• Изменение направления можно активировать при помощи

устройства защиты или другого устройства NoC и
проводить его вручную или автоматически
• Центров фильтрования может быть несколько
• Перенаправление должно быть “отменено”, как только атака
отражена
• Технологии перенаправления и повторного ввода могут
отличаться в зависимости от технологий и архитектуры /
предпочтений SP
• Перенаправление также активируется на фазе обучения
Динамическое перенаправление трафика
Представление BGP Идентификация и

фильтрование 4
вредоносного трафика
6 Трафик,
Не направленны
целенаправ Перенаправление трафика 3
й
ленный к целевому целевого объекта
трафик Благонаде
объекту
жный
Cisco Guard XT
перемещает
ся в трафик к
обычном целевому
режиме объекту Активация: 2
автоматическая/ручная
Cisco Detector XT
Обнаружение 1
Целе Перенаправление
Защища вой благонадежного 5
Защищаемая
емая трафика
зона 2: объе
зона 1: Защищаемая зона 3:
Серверы кт
Серверы электронной
Веб имен
Номер сессии коммерции ‹#›
ID презентации © 2005 Cisco Systems, Inc. Все права защищены.
Параметры включения перенаправления
Перенаправление может быть включено

устройством включения защиты ASBR iBGP сетка используется для обновления
ASBR маршрутов для перенаправления и восстановления
направления трафика
iBGP
Guard XT/AGM
Guard XT/AGM
RR RR
Все характеристики маршрутизации, такие как
Устройства Guard всегда могут находиться в режиме сообщества, локальные предпочтения
защиты, а трафик перенаправляться установить в RR перед отражением
обновлениями от другого
триггерного устройства
Переключ
атель
Переключатели перенаправления
трафика
Инициируются Режим переключения Как
Модуль AGM в 7600 Ручной – инженер NoC Статические маршруты,

переключает зону в режим установленные для зоны в
защиты SUP720 и распределенные в
BGP
Устройство Guard Ручной – инженер NoC Обновление eBGP от

переключает зону в режим устройства guard к RR
защиты
Arbor / Detector Автоматически или вручную Переключает устройство

переключаются при помощи guard в режим защиты, что
устройства обнаружения вызывает обновление BGP
до RR
Устройство переключения в Ручное – инженер NoC Статический маршрут
NoC настраивает статический настроен и распространен в
маршрут на устройстве. BGP. Обновление iBGP
Устройства Guard уже отправлено на RR
находятся в режиме
защиты.
Параметры перенаправления трафика
• Перенаправление L2 (провайдеры хостинга)

Маршрутизатор отведения и маршрутизатор ввода и устройство
Guard в одной и той же ЛВС
• Перенаправление L3 (короткое): Ядро IP
Маршрутизатор отведения и устройство Guard подключено
непосредственно
• Перенаправление в ядре MPLS
• Длинное перенаправление (IP или MPLS)
Трафик, направленный в распределенные центры
фильтрования, не соединенные непосредственно с
маршрутизатором отведения
Лучший
вариант для
провайдеров
Параметры ввода трафика
• Ввод L2
Маршрутизатор ввода и устройство guard в одной и
той же ЛВС
• Ввод GRE: Ядро IP
Туннель GRE исходит из устройства Guard,
замыкается на CPE
• Ввод VRF: Ядро MPLS
Трафик, вводимый в отдельный “вводной” VRF
• Ввод на основе PBR
• Другие технологии туннеллирования
основаны на mGRE, L2TPv3 и VLAN
Перенаправление и ввод L2
Маршрут в зону будет

означать следующий набор переходов
через устройство guard
2
1
R1 Обновление BGP для
Internet изменения маршрутов трафика ВСЕЙ зоны в направлении
устройства guard
NOC
Устройство Guard в той же VLAN

что и R1, поэтому трафик Следующий переход в зону
3 транслируется при помощи L2 установлен как R2 или R3
Устройство Guard повторно вводит "очищенный"

трафик в направлении зоны
R2 или R3
4
R2 R3
Зона
192.168.1.0
Перенаправление и ввод L2 с AGM
4
Internet
CISCO 7609
SUP 720 .2 192.168.100.0 .1 AGM
VLAN 100
Трафик зоны, 192.168.200.0

направленный
.2 VLAN 200
к AGM в VLAN 100Повторно введенный .1
в зону трафик,
1 посланный в R1
2 Конфигурация модуля Guard
Ввод в маршрутизатор diversion hijacking receive-via-ip 192.168.100.1
в той же VLAN 200, diversion hijacking receive-via-vlan 100
что и интерфейс AGM diversion injection 192.168.1.0 255.255.255.0
R1
nexthop 192.168.200.3
192.168.200.3
Зона
192.168.1.0/24
Перенаправление и ввод на тот же
маршрутизатор
Обновление BGP для Guard установлен как следующий
изменения маршрутов трафика ВСЕЙ зоны переход для зоны
к устройству guard NOC
1 2
BGP
Следующий переход в зону

Internet установлен как R1
R1
Устройство Guard повторно вводит "очищенный"
PBR выполняется на интерфейсе R1
R1 для сравнения IP 3
адреса зоны и
устанавливает следующий
R1 пересылает трафик для
переход как R2 192.168.40.1 зоны в R2 на основе
настроек PBR 4
Ip access-list extended zoneA
Permit ip any 192.168.1.0 255.255.255.0
! R2
Route-map injectPBR permit 10
Match ip address zoneA
Set ip next-hop 192.168.40.1
Один и тот же маршрутизатор
Зона
! отведения и ввода
Route-map injectPBR permit 20 192.168.1.0
Interface gigabitethernet3/1/1
Ip policy route-map injectPBR
Короткое перенаправление и ввод GRE
Guard установлен как следующий переход для зоны
Internet
R1
1 Устройство Guard повторно вводит "очищенный"
Обновление BGP для R2 при помощи настроенного
изменения маршрутов трафика NOC туннеля GRE
ВСЕЙ зоны
к устройству guard
3
Настроенный
R3 туннель GRE в
выходной CPE
Зона
192.168.1.0
Длинное перенаправление (L3) и ввод
GRE
Атака
3
1
ВЕСЬ трафик к целевому объекту
перенаправляется в устройство guard
Настройка обновления BGP
Следующий переход для целевого объекта
к 192.168.254.1
PE
mbehring
RR NOC
Перераспределение
Guard в ядро 2 IP
(192.168.254.1) Ядро
"Очищенный" трафик вводится в
4 целевой объект по туннелю GRE 5
PE
Возврат трафика от целевого объекта
в интернет проходит в обычном режиме
Настроенный CPE
туннель GRE в
выходной CPE Целевой объект (192.168.1.1)
Перенаправление и ввод MPLS
Атака
1
BGP: Я - следующий переход
для 192.168.1.1
3
Перенаправление к 192.168.1.1
Guard
Перераспределение
в ядро MPLS 2
4
PE
mbehring
Ядро
"Очистка"
MPLS
VRF: Ввод
5 Повторный ввод очищенного
трафика на отдельном
интерфейсе ввода VRF
PE PE PE
"Очищенный" трафик
транслируется к целевому объекту
6 через входной PE
CPE CPE CPE
Целевой объект (192.168.1.1) 192.168.3.1
MPLS перенаправление / ввод –
использование LSP
Атака
Трафик для зоны, BGP обновляет
передается к следующему
узлу IP при помощи
таблицу только для
входных маршрутизаторов
1
MPLS / LSP на границе
2
Ядро MPLS
SUP 720 P
AGM
CC-PE NOC
P
P Маршрутизация зоны, измененной
только во входных точках.
"Очищенный" трафик направляется
P Маршрутизация ядра не меняется
3 обычным путем при помощи CC-PE
Трафик в направлении зоны передается

PE PE PE
при помощи обычных MPLS/LSP,
т.к. маршрут к зоне
в ядре не меняется
4 CPE CPE CPE
192.168.1.1 192.168.3.1
Перенаправление / ввод MPLS
Режим строгой защиты устройства Guard
Атака
1
Трафик, предназначенный для защищаемого
ресурса, перенаправлен к Возврат трафика от устройства guard в
устройству guard устройство в сети Internet осуществляется
при помощи таблицы глобальной маршрутизации
5
Guard
"Очистка"
PE
mbehring
Ядро Возвращаемый трафик от защищаемого
MPLS
устройства в устройство proxy guard IP
направляется при помощи таблицы
4
Устройство Guard прерывает сессию глобальной маршрутизации
и открывает новую сессию с адресом IP
источника = адресу Proxy
2
PE PE PE
Сессия передачи от устройства guard к Соединение PE-CE
защищаемому устройству проводится на в таблице глобальной маршрутизации
3 интерфейсе ввода и
маршрутизируется при помощи VRF: Ввод
CPE CPE CPE
Целевой объект (192.168.1.1) 192.168.3.1
Сравнение ядра IP и MPLS
Ядро IP Ядро MPLS
Перенаправление Ввод Перенаправление Ввод
Устройство BGP устанавливает Предварительно BGP устанавливает Интерфейс ввода - это

Guard устройство guard в определенные туннели устройство guard в часть отдельной
качестве настройки GRE, которые качестве настройки “вводной VRF”, в
следующего начинаются на следующего перехода таблице маршрутизации
перехода для ВСЕХ устройстве и в зону для ОБОИХ которой находится
устройств ядра и заканчиваются на устройств PE и Guard- защищаемая зона.
периферии выходном CE PE
Модуль AGM BGP устанавливает Заранее определенные BGP устанавливает VLAN ввода - это часть
устройство guard в туннели GRE / mGRE, устройство guard в отдельной “вводной
качестве настройки которые начинаются на качестве настройки VRF”, в таблице
следующего устройстве SUP-720 и следующего перехода маршрутизации которой
перехода для ВСЕХ заканчиваются на в зону для ОБОИХ находится защищаемая
устройств ядра и выходном CE устройств PE и Guard- зона.
периферии 7609
Устройство BGP обновляет только Прямой ввод в ядро

или модуль к входной PE. MPLS,
Маршрутизация зоны т.к.маршрутизация
больше ни на что не меняется только на
влияет. перенаправление из
Перенаправление маршрутизатора
трафика на guard с
помощью LSP
Обзор режима произвольного
обращения для центров фильтрования
• Определение произвольного обращения (anycast): Технология
адресации, указывающая анонсирование не уникального IP-адреса из
нескольких точек источников с целью обеспечения высокой
доступности, выживаемости и / или балансировки нагрузки
профилирования трафика на основе выбора маршрута
• CC использует произвольный адрес для оповещения о кратчайшем
переходе к атакуемой зоне
• Произвольный (Anycast) адрес присваивается:
Интерфейсу loopback устройства Guard
Интерфейсу loopback Супервизора интегрированного шасси AGM
• Преимущества
Легкость выполнения - использует маршрутизатор переключения для
анонсирования единственного адреса BGP для перенаправления трафика
Балансировка нагрузки – исходящие маршрутизаторы проводят рекурсивный
поиск anycast-адреса для определения ближайшего CC для направления
вредоносного трафика из разных входных точек
Резервирование – исходящие маршрутизаторы автоматически пересчитывают
маршрут к следующему ближайшему CC, если ближайший CC вышел из строя
• Считается, что все CC, использующие anycast-оповещение, защищают
единый набора зон
Длинное перенаправление с
использованием Anycast-адреса IP
Обмен Обмен
Кратчайший путь к SP1 SP2 Кратчайший путь к
192.168.254.1 192.168.254.1
- CC1 - CC2
ASBR ASBR
RR
CC 1 Следующий CC 2
переход к
192.168.1.1 -
192.168.254.1
NOC
192.168.254.1 192.168.254.1
PE
PE
Туннель CE
GRE
CE Клиент
Целевой
объект
192.168.1.1
Длинное перенаправление с
использованием Anycast-адреса IP
Точка Точка
обмена обмена
Asia Перенаправление к CC,
EU
ближайшему к точке обмена
192.168.254.1
ASBR
CC-A ASBR 192.168.254.1
NOC
CC-EU
RR
CC-SA
CC-NA
192.168.254.1 ASBR
Избегает обратного
ASBR 192.168.254.1
транзита вредоносного
трафика к ядру Базовое
резервирование
Точка Точка
обмена обмена
SA NA
Отдельное шасси, несколько AGM, одна зона
Входящий трафик
4
распределен по нагрузке
Internet
между AGM 1 и AGM 2
CISCO 7609
3 SUP 720 AGM 1
Трафик для зоны,
направлен к lo0
2 Lo 0
Статические маршруты, 1
2 статических маршрута
распределенные в в зону установлены
BGP со следующим переходом
для зоны установлены на lo0
AGM 2
GRE
Повторный ввод трафика

при помощи PBR/GRE
Зона
5
192.168.1.0/24
Равенство маршрутов для балансировки нагрузки и резервирования

Отдельное шасси, один AGM на зону
3 CISCO 7609
Internet
Трафик для зоны 1,
направлен к AGM1SUP 720 AGM 1
2
Статические маршруты,
2 статических маршрута
распределенные в
BGP со следующим переходом 1
в зону установлены
установлен на VLAN IP
AGM 2
GRE
Зона 2 Зона 1
Повторный ввод трафика

при помощи PBR/GRE
4
Без балансировки нагрузки и резервирования

Одна зона - несколько центров
Internet
SUP 720 2 SUP 720
направленный к ближайшему
ресурсу CC
AGM 1 Lo 1 Lo 1 AGM 1
AGM 2 192.168.9.254 192.168.9.254 AGM 2
Многоточечный
GRE
Anycast-адрес,
опубликованный как
1
следующий переход в зону
Трафик повторно введен

в многоточечную GRE
3 Туннель заканчивается в
выходном CE зоны
Зона
Балансировка нагрузки и
192.168.1.0/24 резервирование
Несколько зон - несколько центров
Internet
SUP 720 2 SUP 720
направленный к ближайшему
ресурсу CC
AGM 1 Lo 1 Lo 1 AGM 1
AGM 2 192.168.9.254 192.168.9.254 AGM 2
Anycast-адрес,
опубликованный как 1 Anycast-адрес, 1
следующий переход в зону опубликованный как
Многоточечная следующий переход в зону
GRE
Трафик повторно введ

в многоточечную GRE
Зона Зона
3 Туннель заканчиваетс
выходном CE зоны
192.168.2.0/24 192.168.1.0/24
Модели внедрения
Предложения по отражению атак DDoS
• Значительное увеличение объема обслуживания
Отражение, а не просто обнаружение
Специализированные политики
Отражение широчайшего набора атак
Точность и прозрачность
Автоматизация для обеспечения быстроты реакции
• В центре фильтрования могут сосуществовать разделяемые и

выделенные ресурсы
• SP отвечает за управление и отчетность
Ручная или специальная система, использующая выходные отчеты Guard XML
Пользовательские порталы (например, Arbor) под контролем устройств Guard
• SP отвечает за планирование пропускной способности, разделения

нагрузки на разделяемые сервисы между клиентами
• Контракт - соглашение на один год или несколько лет
Скидки при заключении контракта на несколько лет
Описания моделей обработки атак DDoS
Имя сервиса Описание сервиса КЛЮЧЕВЫЕ характеристики
Защита полосы пропускания • Дополнительные услуги высокого уровня

на участке "последней • Фокусируется на доступности сети, обеспечения непрерывности
Управляемая защита мили" предприятия и
сетей от атак DDoS бизнеса
ресурсов центров обработки
данных (веб-серверы, DHCP, • Предложение многоступенчатого сервиса на основе
DNS-серверы и пр.) “производительности фильтрования” в выделенной или
разделяемой модели
• Клиент поддерживает контроль без вмешательства в работу
• Постепенное наращивание количества дополнительных услуг
Управляемая защита Защита ресурсов • Фокусируется на обеспечении непрерывности бизнеса
хостинга от атак DDoS предприятий, размещенных • Готовое или дополнительное предложение для разделяемых
в центрах обработки данных моделей
• Полностью обрабатывается провайдером хостинга
Управляемая защита Обеспечивает соединений • Постепенное наращивание количества дополнительных услуг
точки обмена данными от коммерческой системы • Фокусируется на фильтровании соединений коммерческих
атак DDoS защиты от DDoS для систем
нижележащих ISP
• Дополнительный параметр A la carte входит в комплект
широкополосных сервисов
• Полностью обрабатывается поставщиком услуг
Защита инфраструктуры • НЕ является прямой дополнительной услугой
сети поставщика услуг • Фокусируется на защите критичной инфраструктуры
Инфраструктура защиты предназначена для
от атак DDoS маршрутизации (точки обмена, периферии провайдеров и
обеспечения постоянного и маршрутизаторов ядра)
надежного сервиса
• Снижает эксплуатационные затраты путем снижения
нежелательного трафика по дорогостоящим транс-океанским
каналам связи
• Снижает влияние сопутствующего ущерба
Управляемая защита сетей от атак DDoS
Ключевые преимущества
и свойства
• Новая модель сервиса SP
• Защита от переполнения полосы

канала "последней мили"
• Дополнительные гарантии
корпорациям непрерывности
бизнес-процессов
• CPE на базе детектора Cisco

Detector обеспечивает
мгновенный запуск устройства
защиты Guard
• Связка NetFlow + Peakflow SP

обеспечивает провайдеру
мгновенный запуск устройства
защиты Guard
• Защита по подписке или по

требованию при помощи
устройства защиты Guard
• Специализированные отчеты об
Корпорации атаках, выдаваемые
устройством Guard на порталы
SP, такие как Peakflow MS
Управляемая защита хостинга от атак
DDoS
и свойства
• Новая модель предоставления
услуг для провайдеров хостинга
• Защищает критические
управляемые веб-серверы и
серверы приложений
• Обнаружение вблизи от
ресурсов, подвергаемых атаке
• Детектор Cisco Detector

обеспечивает обнаружение
аномалий с использованием
глубокого анализа пакетов
• Отражение атаки в ближайшей

точке вхождения
• Устройства Guard
устанвливаются вблизи точек
входа
• Защита по подписке или по

требованию при помощи
устройства защиты Guard
Управляемая защита точки обмена данными
от атак DDoS
AS 123 AS 234
и свойства
Порог обмена
• Новая модель сервиса SP
Центр Arbor
фильтрования Peakflow SP
• Входящий ISP принимает
соединение, свбодное от
DDoS
• Максимально расширяется
Ядро SP полоса благонадежного
Внеполосное
трафика
Arbor
Peakflow Поставщик
управление
SP услуг • Связка Netflow + Arbor
Peakflow SP обеспечивает
видимость и связность
Торговый сети
Порог обмена
сервис
• Простота входа для
носителей, обладающих
"Загрязненный"
Загрязненный" трафик инфраструктурой защиты
"Очищенный"
Очищенный" трафик
Входящий ISPAS 234 от атак DDoS
Экспорт пакетов NetFlow
Активация Guard
SSH • Снижает количество атак
DDoS в сети internet
Инфраструктура защиты от атак DDoS
и свойства
• Защита инфраструктуры от атак
DDoS
Обмен по
транс-океанским • Используется совместно с NFP
для планирования отражения
каналам связи атак, регулирования,
управления и обслуживания
• Снижает количество прямых
атак на жизненно важные места
в сети (точки обмена,
AS 123 AS 234 маршрутизаторы ядра,
Порог обмена периферию провайдеров)
Центр • Защищает критические серверы

Arbor в центрах обработки данных SP,
Peakflow
SP такие как DNS, HTTP, SMTP
серверы
Ядро SP • Снижает влияние
Внеполосное сопутствующего ущерба в сети
управление Arbor
Peakflow
SP
• Снижает эксплуатационные
затраты (снижение
Центр обработки Загрязненный" трафик нежелательного трафика по
"Загрязненный"
данных SP "Очищенный"
Очищенный" трафик дорогостоящим транс-
Экспорт пакетов NetFlow океанским каналам связи)
Центр обработки данных SP Активация Guard
SSH
Заключение
• Преступная экономика - все еще
остается и вызывает возрастающую
тревогу
• Технология Clean Pipes - это
упреждающий подход к защите
инфраструктуры, предназначенный для
повышения доступности сетей
• Мы должны снизить время реакции и
уменьшить окно уязвимости для защиты
каналов связи и предоставляемых услуг
• Технология Cisco Clean Pipes
предназначена для защиты болевых
точек сетей клиентов и дает новые
выгоды для поставщиков услуг
• Технология Cisco Clean Pipes - это
ключевой управляемый сервис
безопасности, который должен
укреплять партнерство между
предприятием и SP
Ссылки CCO
• Решение Cisco для защиты от атак DDoS

http://www.cisco.com/go/nfp
• Устройства защиты Guard, AGM и Detector
http://www.cisco.com/en/US/products/hw/vpndevc/index.html
• Cisco NFP
http://www.cisco.com/go/nfp
• Arbor Peakflow SP
http://www.arbor.net

DDoS Prevention Final Show

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

DDoS Prevention Final Show

Загружено:

Авторское право:

Доступные форматы

Технология Clean Pipes –

Решение для защиты от атак DDoS

• Распространенность атак DDoS

"За последние восемь месяцев мы увидели, что нарастает

• Все основные направления бизнеса испытывают атаки DDoS

Возможности технологии “Clean Pipes”

Определение решения для защиты от DDoS

• Основные клиенты и сегменты рынков

9 Новый вид дополнительных услуг: Возможность предложить новый сервис

9 Логичное соответствие управляемому сервису – На предприятиях

NFP для инфраструктуры,

Направление фильтрования Упреждающее

Повторный ввод "очищенного" трафика

Безопасность BGP RACL, iACL, CoPP

Поставщик услуг хостинга

Точка Устройство сбора

Инфраструктура должна быть надежно

ACL Входные и выходные Блокировка Может запрещать

Ограничения скорости Подавление Блокировка Применяется на каждом

uRPF Запретить пакеты от Проверка адреса Не блокирует атаки с

Sinkhole-подсети Привлекает трафик, Возможность Невозможно

Входное и выходное Обеспечение и учет Способность Невозможно

• Что такое обнаружение?

Â Легитимное и неправильное использование трафика управления

Интеграция этих компонентов позволяет усилить

• Зона - это элемент сети (сервер, несколько

Настройка предельных значений:

После проведения анализа трафика детектор отбрасывает трафик

Ключ SSH - единовременный обмен

Детектор подает команду 3

• Поддерживает до 90 активных зон

Комплексный / полный Выборочный

• Детектор необходимо размещать перед МСЭ и IDS

Пользовательский Нет данных Доступно в зависимости от конкретного клиента

Может поддерживать контроль данных Может поддерживать до 10,000 потоков/с на

Анализ проводится на каждом установленном

• Для сервиса защиты от атак DDoS

• Для защитной структуры SP

• Устройство(а) сбора Peakflow разделяют данные с устройством

• Только 1 долю выборки можно определить на

• Обзор модуля защиты Guard и модуля

Устройство защиты Модуль расширения

Опознавание Да Да. Отличается от супервизора

NTP Использует собственные NTP Основан на NTP супервизора

Туннелирование GRE для Исходит от устройства Исходит от MSFC

Применение антиспуфинга Обнаруживает аномальную

Благонадежный и вредоносный трафик

Динамические и Активная Статистический Анализ Ограничения

Атаки поглощения полосы пропускания

• Базовые данные - это профиль поведения трафика в обычных

• Бесперебойная защита и запоминание:

• В предыдущих версиях зоны в Guard и в Detector находились

• В предыдущих версиях единственное

• Из трафика, проходящего через Guard (или Detector)

• Некоторые атаки DDoS имеют относительно

• В предыдущих версиях гибкий фильтр позволял пользователю

• ОПЦИИ SIP - Алгоритм анти-спуфинга:

• Устройство защиты Guard Appliance и

На основе версии 4.0, производительность AGM равна ~90%

Капитальные Высокие Низкие Очень низкие

Модели защиты от Управляемая сеть Управляемая сеть Управляемая сеть

• Изменение направления можно активировать при помощи

Представление BGP Идентификация и