Obecnie dokonywanych jest 20 razy więcej ataków DDoS niż w 2007 r. Do Internetu podłączonych jest ponad 30 mln komputerów zombie, które tylko czekają na rozkaz unieruchomienia danej witryny czy internetowego łącza przedsiębiorcy, a skala pojedynczego ataku może sięgać nawet 200 Gb/s. Niestety, zdecydowanie łatwiejszy – nawet dla zwykłego Kowalskiego – stał się też dostęp do takiej „usługi”. Wystarczy pobrać odpowiednie narzędzie, wykupić dostęp do właściwej liczby komputerów zombie i zainicjować atak.

Pierwotnie celami ataków DDoS były sieci operatorskie lub infrastruktura IT dużych centrów danych, natomiast dzisiaj zaatakowane mogą być każdego rodzaju usługi – portale aplikacyjne, witryny e-handlu, poczta elektroniczna, serwisy z filmami czy grami lub serwery DNS. W czasie ataku z reguły blokowana jest cała przepustowość internetowego łącza przedsiębiorstwa, przez co niemożliwe staje się normalne wykonywanie zadań przez pracowników oraz świadczenie usług klientom. Finalnie prowadzi to do utraty zysków, a także – co chyba najważniejsze – do utraty reputacji i zaufania klientów.

 

Skuteczna walka z atakami

Huawei stworzył rozwiązanie umożliwiające przeciwdziałanie skutkom ataków DDoS, które mają na celu blokowanie warstwy aplikacyjnej (wykorzystującym zarówno protokół IPv4, jak i IPv6) oraz ochronę przed ponad 200 rodzajami złośliwych kodów, zawierających konie trojańskie, robaki czy aplikacje do tworzenia komputerów zombie. Zapewnia ono bezpieczeństwo sieci i ciągłość pracy centrów danych przedsiębiorstw oraz usług świadczonych przez operatorów telekomunikacyjnych i przez dostawców e-commerce.

Stworzone przez Huawei urządzenia z rodziny Anti-DDoS skanują każdy pakiet przechodzący przez sieć. Obrona uruchamiana jest natychmiast, gdy tylko zostanie zaobserwowany atak (średni czas reakcji – ok. 2 sekund). Przepustowość systemu skanującego, w zależności od modelu, wynosi od 2 Gb/s do aż 1,44 Tb/s. W rozwiązaniach tych stosowanych jest wiele technik, m.in. filtrowanie we wszystkich siedmiu warstwach sieci, analiza behawioralna pakietów oraz monitorowanie sesji. Producent zapewnia także dodatkowy moduł DNS cache, który udrażnia cały system w momencie długotrwałego i intensywnego ataku na serwery DNS.

 

W urządzeniach zabezpieczających marki Huawei wykorzystany został system analizy reputacyjnej V-ISA. Zapewnia on nie tylko ochronę przeciwko znanym rodzajom ataków typu DDoS, ale także jest w stanie identyfikować ruch sieciowy z różnego typu urządzeń (set-top-box, terminali, nietypowych systemów klienckich) w celu wyeliminowania ewentualnych fałszywych informacji o ataku.

 

Konstrukcja rozwiązania

W ofercie Huawei są dwie rodziny urządzeń AntiDDoS1000 (modele AntiDDoS1650 i AntiDDoS1680) oraz AntiDDoS8000 (modele AntiDDoS8030, AntiDDoS8080 i AntiDDoS8160). Urządzenia z rodziny 8000 są modularne – wersja 8030 może składać się z dwóch modułów Service Processing Unit, 8080 – z siedmiu, a 8160 – z czternastu.

Poszczególne urządzenia różnią się wydajnością: systemy z rodziny 1000 są w stanie przetworzyć do 10 mln pakietów na sekundę (Mp/s) i od 5 do 10 Gb/s ruchu sieciowego, a każdy moduł SPU urządzeń z rodziny 8000 – do 60 mln pakietów na sekundę (maks. odpowiednio: 90, 420 i 840 Mp/s) oraz 160 Gb/s ruchu sieciowego (maks. odpowiednio: 120, 720 i 1440 Gb/s).

Wybrani użytkownicy rozwiązań Huawei Anti-DDoS

Equinix to globalny dostawca usług kolokacji, które realizuje w swoich ponad 100 centrach danych. W Holandii, gdzie dostawca świadczy także usługi zarządzanego hostingu i zarządzanych sieci, konieczne okazało się zapewnienie skutecznej i automatycznie działającej ochrony przed atakami DDoS. Wcześniej, gdy atak na jednego z klientów, unieruchamiał całą sieć dostawcy, jednocześnie uniemożliwiał świadczenie usług innym klientom. Administratorzy „odłączali” wówczas danego klienta od infrastruktury sieciowej, aby działalność pozostałych nie była zakłócona. Nie rozwiązywało to jednak problemu, ponieważ zasoby zaatakowanego klienta nadal nie były aktywne. Po przeprowadzeniu testów Proof-of-Concept Equinix wybrał rozwiązania Anti-DDoS firmy Huawei jako najszybsze w działaniu i najłatwiejsze w zarządzaniu.

Nexusguard z San Francisco specjalizuje się w dostarczaniu bazujących na chmurze usług przeciwdziałania skutkom ataków DDoS. W lutym 2016 r. ogłosiła, że łączy w hybrydę swoje autorskie rozwiązanie z urządzeniami Anti-DDoS firmy Huawei. W ramach hybrydowego rozwiązania Nexusguard w siedzibie klienta będą instalowane urządzenia Huawei w celu odpierania mniejszych ataków, a w przypadku większego ataku ruch przekierowywany będzie do znacznie większej infrastruktury, stworzonej na bazie urządzeń tego producenta w centrach danych Nexusguard. Szczególne uznanie przedstawicieli firmy Nexusguard zyskała bardzo mała liczba fałszywych alarmów generowanych przez urządzenia Huawei oraz możliwość ochrony przed bardzo wieloma rodzajami ataków DDoS.

Serverius, holenderski dostawca usług internetowych, od ponad roku wykorzystuje rozwiązania Anti-DDoS firmy Huawei do zagwarantowania dostępności danych ponad tysiąca klientów. Jak podkreślają przedstawiciele firmy, przez ten czas odparto dziesiątki tysięcy ataków, wśród których wolumen najbardziej rozległego sięgał 200 Gb/s. Serverius prowadzi także placówkę demonstracyjną, w której prezentuje systemy Huawei Anti-DDoS zarówno swoim klientom, jak i innym przedsiębiorstwom oraz dostawcom usług z całej Europy Zachodniej.

 

Rozwiązanie Huawei Anti-DDoS składa się z trzech głównych komponentów: modułu wykrywającego, oczyszczającego i zarządzającego. Nieustannie współpracują one ze sobą, wymieniając się informacjami, i są objęte spójnymi regułami polityki bezpieczeństwa.

Moduł zarządzający (ATIC Management Center) to mózg całego rozwiązania Anti-DDoS. Umożliwia użytkownikowi dostosowywanie do własnych potrzeb reguł polityki wykrywania i czyszczenia ruchu w sieci, a następnie przekazuje wszystkie parametry konfiguracyjne do modułów wykrywającego i oczyszczającego. Zapewnia też pełne raporty z wykonanej pracy. Moduł wykrywający (Detecting Center) pełni rolę „anteny” całego rozwiązania. Analizuje wszystkie pakiety na podstawie reguł polityki bezpieczeństwa dostarczanych przez moduł zarządzający, identyfikuje i wykrywa ruch typu DDoS, a następnie przekazuje informacje o tym fakcie do modułu zarządzającego. Natomiast zadaniem modułu oczyszczającego (Cleaning Center) jest „przesiewanie” całego ruchu zgodnie z algorytmami, w które wyposażone jest rozwiązanie Anti-DDoS.

 

Anti-DDoS na wynajem

Oferowane przez Huawei rozwiązanie Anti-DDoS zostało skonstruowane tak, aby jego właściciel mógł wynajmować jego zasoby swoim klientom w razie potrzeby. Korzystają z tego najczęściej operatorzy internetowych centrów danych, którzy zyskują zarówno gwarancję dostępu klientów do ich usług, jak i dodatkowe przychody ze świadczenia usług anty-DDoS.

W ramach wynajmowania zasobów z urządzeń Huawei mogą korzystać równolegle nawet dziesiątki tysięcy użytkowników. Każdy z nich może samodzielnie konfigurować reguły polityki bezpieczeństwa oraz otrzymywać indywidualnie generowane raporty opisujące przebieg ataku i sposób, w jaki mu przeciwdziałano.

Ponadto Huawei oferuje rozwiązanie Anti-DDoS do wynajęcia działające w całości w chmurze. Jest to jedyne rozwiązanie zabezpieczające użytkowników przed atakami o bardzo dużej skali, które przekraczają wydajność wykupionego od operatora łącza. Rozwiązanie Anti-DDoS może również działać w sposób hybrydowy – mniejsze ataki filtrować lokalnie na dostarczonym sprzęcie producenta, a większe w centrum danych dostawcy usługi.

Dodatkowe informacje:

Paweł Wachelka,
IP Product Manager Enterprise Networking

Solutions, Huawei Enterprise, tel. 605 174 269,

Pawel.Wachelka@huawei.com

Artykuł powstał we współpracy z firmą Huawei Enterprise.