Как работает услуга

Основные сведения об услуге

Услуга “Защита сети” предназначена для интернет-провайдеров, дата-центров, хостинг-компаний и корпоративных клиентов с собственной автономной системой. Наша защита блокирует и минимизирует последствия даже самых сложных DDoS-атак на вашу сеть.

Как работает услуга

Алгоритм работы:

• установка подключения;
• поднятие BGP-сессии, в которой вы анонсируете нужные IP-префиксы;
• приём анонсов, фильтрация и перенаправление к вам очищенного трафика.

Способы подключения защиты:

• IPIP/GRE-туннель;
• IX;
• физическое подключение к сети StormWall на одной из наших площадок.

Варианты защиты:

• включение постоянной защиты с пропуском всего входящего трафика через наши фильтры;

В этом случае все сети заказчика будут под постоянной защитой (DDoS-атака никогда не застанет врасплох), но при этом гибкость управления входящим трафиком будет ограничена.

• подключение защиты вручную - будут анонсированы не все, а лишь необходимые сети заказчика;

При этом анонсированы будут не все сети заказчика, а лишь те из них, которые нуждаются а защите в определенный момент времени. Например, если вы ожидаете атаку, либо она уже началась, то сможете вручную направить анонс сети в StormWall (убрав его с других провайдеров).

• автоматизация анонсирования защищаемых сетей при начале атаки с помощью DDoS-сенсора;

Сенсор, устанавливаемый на стороне клиента, сразу после выявления начала атаки автоматически переключает атакуемую сеть в режим защиты и убирает эту сеть с незащищенных провайдеров. После завершения атаки он возвращает ее обратно.

• развертывание DDoS-сенсора на сети клиента.

Сенсор сможет получать информацию о трафике с помощью NetFlow, sFlow или Mirror/SPAN и интегрируется с вашим граничным маршрутизатором или группой маршрутизаторов с помощью BGP, отправляя сигналы о постановке на защиту с использованием BGP Community. Возможно развертывание на виртуальной машине.

Сценарии работы DDoS-сенсора:

[Если DDoS-сенсор находится на стороне клиента]

1. Сенсор определяет начало атаки на один или несколько IP-адресов;

2. Затем сенсор запускает анонс атакуемой сети через StormWall;

3. После этого сенсор снимает атакуемую сеть с незащищенных провайдеров.

[Независимо от наличия сенсора на стороне клиента]

4. Сенсор на стороне StormWall (система FlowSense) определяет, на какие IP-адреса идет атака, и перенаправляет трафик, идущий на эти адреса, на фильтрацию;

5. Атака отсекается фильтрами StormWall;

6. По завершении атаки трафик перестает направляться через фильтры и идет напрямую.

[Если сенсор находится на стороне клиента]

7. Анонс сети возвращается на его провайдеров и снимается со StormWall.

Для фильтрации трафика применяется тройная фильтрация (Triple Filter), для поиска аномалий и автоматического определения типа атаки – технология FlowSence, для защиты от сбоев на сетевых узлах StormWall – технология Global Session.