DDoS攻撃に対する保護の実装の微妙な違い

彼らが言うように、真実と偽りは小さなものです。 より正確には、真実はこれらの存在下にあり、偽りはそれらの不在下にあります。 この記事は、「ddos攻撃に対する保護」を実装する際のいくつかのニュアンスに専念しています。

インターネットには「ddos攻撃」や「それらに対する防御」に関する非常に多くの理論があるので、これらの側面については説明しません。 記事はこのトピックに関する彼の考えを表明しようとしました。







そのため、私の会社での新しいサービス「ddos攻撃に対する保護」の実装中に、推論のチェーンを示唆するニュアンスに遭遇しました。



1.インフラストラクチャへの保護の実装は、実際、この世でまったく新しいため、依然としてかなり高価です。 これは、インフラストラクチャにddos攻撃保護センターを実装し始めたときに最初に直面したことです。 それは常に数千万ルーブルの問題です。 またはそれ以上。 さらに、問題を研究するとき、近い将来、これらのコストは決して「反発」されないことが明らかになります。 これらのコストを平準化する問題が解決されない場合、このニュアンスはこの方向のすべてのアクティビティを停止する可能性があり、他のニュアンスが発生します。



-これらの費用のすべてが余裕があるわけではないため、「ddos攻撃に対する保護」などのサービスの提供の必要性、または「保護センターの必要な特性」、特に公共部門の多くの大企業は、 入札を保護するときに使用します特定の会社。 時々、要件を見て、その数字がなんとなく奇妙であると理解します。 たとえば、「保護センターのスループットは180ギガビット/秒です」などの要求に直面していました。 なぜ正確に180なのか? 50ではなく、100ではなく、500ではなく、180ですか? この図はどのような理由で導き出されましたか? これまでのところ、同僚は、特定の事業者がネットワークコアのまさにそのようなスループットを持っているという事実に目を向けていません。 ところで、「ヘッドによって署名された自由形式の証明書」を提供することによってこの可能性を確認する必要があり、フィルタリングされたトラフィックのチャネルは1 Gbit / sで要求されました。



-既知の方法でこれらのコストを最小限に抑える場合、会社は深刻な予約をするだけでネットワークインフラストラクチャに対するddos攻撃に対する完全な保護を提供できます。 誰かを介してエージェントスキームについて話していることもあれば、OSIの第4レベルまでの保護について話していることもあります。 正直に言うと、「...によってのみトラフィックフィルタリングを実装しています」、または「パートナーシップスキームに従ってサービスを提供します」。 もちろん、これは心配することはありません。 しかし、有名なジョークが言うように:「スプーンは見つかったが、堆積物は残った」。 つまり、これらのローン契約のように、重要なものはすべて「細かく書かれ、最後に」書かれています。



-すべてのコストが受け入れられる場合、このサービスのプロバイダーが大容量でのみ機能することは有益です。 120 Mb / sのシミュレートされたdos-attackで確認したとき、ある深刻な会社では、統計に異常が記録されていなかったという事実に直面しました。 質問に対して、なぜそうなのか、彼らはすべての異常をフィルタリングするが、1Gb / sから始まる統計に攻撃を記録すると述べられました。 つまり、クライアントが20 Mb / sでインターネットにアクセスできる場合、攻撃については通知されません。 一方で-それだけでうまくいけば。 一方で、クライアントが何を支払うのか理解できないため、それほどではありません。



2.潜在的な顧客のうち、受け取りたいものを正確に理解している人はほとんどいません。 私はかつて、この問題について大手銀行のIT部門の責任者と連絡を取りました。 「ddos攻撃に対する保護」の枠組み内で、彼が何を受け取るべきかを確実に知る必要があるように思われます。 答えは少しわかりにくいです。「ここでグーグルで調べたところ、Harbor Peak Flow製品があります(広告だから本名を書いていません)。できることは同じです。」

このニュアンスの興味深い結果。

潜在的なクライアントの1人は、現在持っているものに満足していなかったため、ddos保護サービスプロバイダーを変更しようとしていました。 誰も質問に明確な答えを出すことができませんでしたが、何が正確に合わないのか。



3.サービス「ddos攻撃に対する保護」は、サービス「インターネットへのアクセス」または「通信チャネル」への追加と見なされる必要があります。 すべての着信トラフィックは、保護センターを通過する必要があります。これは、ネットワークへのアクセスが提供されるときに基本的に確保されます。 このニュアンスには興味深い結果があります。 説明します。 リソース(サイトなど)が不正アクセスの複数の試行から保護されている場合、暗号化されたトラフィックに関しては、暗号化キー(証明書)を第三者(管轄区域の保護センター)に転送する必要があります。暗号化の意味。



4.修正されたddosの異常は非常に頻繁ですが、比較的短命です。 統計によると、保護システムは主にオペレータトラフィックの異常を修正し、最大30分間持続します。 企業のトラフィックでは、それらの数は少なくなります。 これらの異常に対処し始めると、通常、「アクションのパレットの法則」という絵が浮かび上がります。異常の80%は攻撃とは関係ありません。



-問題の原因は、クライアントのネットワークインフラストラクチャにあります。 または、そのようなネットワークの特徴的な機能です(「これはバグではありません-これは機能です」)。 つまり、クライアントのネットワークインフラストラクチャは、そのアクティビティまたはネットワークの問題が保護センターによって異常として記録され、センターが通知するようなものです。 このカテゴリは、特にその中のユーザーがいくつかのvpnチャネルを介して作業している場合、地理的に分散したすべてのローカルネットワークに安全に帰属できます。

-たとえば、ウイルスによって開始された発信アクティビティ(クライアントは攻撃されていませんが、彼は誰かです)。 ここでは、クライアントのリソースはまだddos攻撃の参加者であると想定できますが、ターゲットとしてではありません。

-ネットワークゲームプレーヤーの活動。 まず第一に、当センターはWoWトラフィックを異常に記録しました。

-マルチキャストトラフィックDVR。 通常、これは別の問題です。 特に、アクセスがすべての人に配布される「パブリック」レジストラの場合。 トラフィックをブロックすることはできませんが、誰がこのデバイスにサービスを提供しているかを理解することはほとんど不可能です。

この場合の異常の主なタイプは、udp-floodまたはtcp-syn-floodです。 これらの問題を理解し始めると、すべての種類の「ホワイトリスト」と例外を作成することにより、保護センターの作業を構成する必要があります。クライアントはすべてがうまくいくことを保証し、「この」異常は「何かそこでは、「今後」修正しないでください。」



このニュアンスの結果は、本質的に最終的な次のとおりです。







5.サービスを導入する過程で、「このサービスがまだ必要なのは誰か」という質問が繰り返し発生しました。 正直なところ、それに対する多くの要求はありません。 どうやら「雷が打つまで-男は自分自身を渡りません」。 最も可能性が高いのは、実際のddos攻撃を受けるまで、このような脅威について考える人はほとんどいないことです。 その後、実際の攻撃が非常に深刻であることがすぐに明らかになり、それが犯罪と見なされることは何の意味もありません。 彼らは常に何らかの理由で、主に、明らかに、政治的理由、競合他社の命令、またはネットワーク保護のハッキング時に攻撃します。 つまり、いずれにせよ、これは組織の主要な活動の論理的な結果です。 私の意見では、誰かが、たとえばオンラインの衣料品店をただ攻撃することはまずありません。 初心者のハッカーの実験、または「悪のバイヤーの復ven」については確かに語ることができますが、これらの攻撃の重大度はほとんど重要ではありません。 したがって、私の意見では、ddos攻撃の潜在的なターゲットは次のとおりです。



-リソースのハッキングなど、同時並行ターゲットをマスクするため:

銀行、他の金融機関、企業の金融部門のネットワークリソース。

州または商業秘密に関連する組織のネットワークリソース。

-アクティビティを整理するには:

政党、政治活動に関連する政府組織のネットワークリソース(選挙など)。

法執行機関のネットワークリソース。

-アクセスを妨害する目的:

新聞、雑誌、その他のニュースメディアリソース。

犯罪情報を公開する組織。

競合他社に対する活動を「強く妨害」する組織。

結果が事前に決定されている入札およびオークションのネットワークリソース。

-フーリガニズムの目的で-基本的にあらゆるリソース。

正直なところ、ハイシーズンにツアーオペレーターのサイトが攻撃された場合にのみ示される「フーリガン主義」について...



通信事業者がこのサービスを販売する場合、「ddos攻撃に対する保護センター」が必要です。 それ以外の場合、通信事業者は最初にそれを保護するリソースを持っています。 スタッフは何をすべきかを知っており、いくつかのトランクチャネルがあり、スループットは小さくありません。 はい、通信事業者を攻撃することはあまり意味がありません。 それでも、一部の旅行代理店が攻撃し、通信事業者も攻撃を受ける場合は、いつでもアップリンク事業者の同僚にソースを「ブラックホール化」するように依頼できます。



PS記事を書くときに、 新しい記事が登場しました。 考えて、このケースはどのカテゴリに持ち込むことができますか? 最も可能性が高いのは2番目-活動を混乱させる試みです。 もちろん、銀行はドスハッキングよりも論理的ですが...銀行のSBの回答から判断すると、失敗した試みのようです。



All Articles