Защита от DDoS атак


В своей основе DDoS атаки могут быть разделены на 3 класса:

  • деструктивные атаки;
  • ресурсоемкие атаки;
  • атаки на пропускную способность.

Модуль анализа протоколов (PAM) от IBM ISS обеспечивает защиту и обнаружение для всех этих типов атак.


Деструктивные DDoS атаки
Данный вид атак нарушает нормальное функционирование устройств и приложений.
Защита от IBM ISS для этого типа атак в первую очередь обеспечивается декодированием того, что точно определяет и блокирует уязвимые сервисы или системы.
Блокирование данных атак происходит через сброс проблемных пакетов (UDP), прекращение проблемных TCP сессий (сброс пакета и отсылка команды TCP reset на источник и адресат), и опционально может быть еще улучшено с помощью создания динамических правил блокировки (что-то подобное правилам Файрвола) для блокировки последующих проблемных пакетов в потоке.


Ресурсоемкие DDoS атаки
Такие атаки значительно снижают производительность устройств и приложений.
SYNFlood, TCP_Connection_Flood, UDP_Flood_DoS, DNS_Malformed_Flood, Stream_DoS, ICMP_Flood, Malformed_Packet_Storm, HTTP_lotsOfURLs, … все подобные атаки точно определяются Модулем Анализа Протоколов (PAM), что предотвращает возможность негативного воздействия данного типа DDoS атак.
Важно, что динамические правила блокировки могут заблокировать 100% последующих пакетов основываясь на (комбинации) IP адресе и портах источника/адресата или может быть сконфигурирован для разрешения определенного количества данного трафика, следовательно, оберегать сервисы от изоляции и обеспечивать их непрерывную работу даже во время DDoS атаки.


Атаки на пропускную способность
Атаки, направленные на перегрузку пропускной способности сети.
SYNflood и UDP flood атаки относятся и к этой категории, PAM обеспечивает декодирование для защиты от этого вида атак, а встроенные правила блокировки предотвращают их последствия.
ПРИМЕЧАНИЕ: Начиная с того момента когда IP адрес источника атаки раскрыт, IPS фиксирует его как "0.0.0.0" для подчеркивания ненадежной природы источника данного адреса и предотвращает перегрузку консоли управления информацией с поддельными адресами источников. Дополнительно, PAM имеет встроенную систему защиты, называемую "событийный коррелятор", против "перегрузки списка событий", коррелирующий подобные события в единую запись предупреждения, которая и попадает на консоль управления.

Основное преимущество технологий защиты от DDoS атак от IBM ISS заключается в основанной на исследованиях технологии, включенной в Модуль Анализа Протоколов (PAM). Также, для определения ресурсоемких атак и атак, направленных на снижение пропускной способности, PAM предлагает около 2700 декодеров для определения атак на уровне сети или приложений, на базе анализа протоколов и их аномалий.
Служба IBM X-Force обладает самой большой в мире Базой Данных по уязвимостям и постоянно работает над расширением возможностей PAM на основе собственных исследований. Также, имея уникальную возможность исследовать реальные события и потоки у клиентов Managed Security сервисов, специалисты IBM имеют более реальное представление о текущих угрозах. В итоге, так как системы IPS работают в in-line режиме, определение и предотвращение атак происходит в реальном времени и не требует применения сторонних механизмов.