1.1 Các chức năng chính
Hỗ trợ Carrier có thể quan sát được tình hình lưu lượng trên toàn mạng.
Hoạt động ở chế độ Flow-based, Passive. Thông thường hệ thống chỉ hoạt động ở chế độ Passive, không can thiệp vào luồng dữ liệu mạng. Khi phát hiện tấn công, luồng dữ liệu bị phát hiện “không sạch” sẽ được định tuyến đến các bộ phận “làm sạch” trước khi chuyển đến đích.
Các thành phần của hệ thống thực chất là các router giao tiếp với các router khác của mạng thông qua IP, định tuyến BGP nên có thể tương thích với thiết bị của nhiều nhà cung cấp thíêt bị (Vendor) khác nhau.
Peakflow có 3 module nhỏ
o Peakflow SP CP (Collector Platform)
- Thực hiện chức năng thu thập và phân tích dòng IP, BGP, SNMP
- Phân tích hoạt động bất thường
- Quản lý các thiết bị khác
o Peakflow SP FS (Flow Sensor)
- Tương tự như Peakflow SP CP nhưng đặt tại phía khách hàng
o Peakflow SP TMS (Threat Management System)
- Chỉ hoạt động khi CP phát hiện có nguy cơ tấn công
- Thực hiện chức năng chặn các thông tin không hợp lệ khi có yêu cầu từ Peakflow SP CP theo thời gian thực
Ưu điểm
Hoạt động ở chế độ Flow-based, Passive, không can thiệp vào luồng dữ liệu, không làm ảnh hưởng đến hiệu năng của hệ thống.
Dễ tương thích với các hệ thống router, đặc biệt là của các Carrier tại các Data Center.
Có các chế độ cảnh báo DDoS
Giám sát và phân tích các loại lưu lượng theo giao diện, người dùng.
Phân tích được các luồng lưu lượng theo giao thức (TCP, UDP, ICMP, BGP…)
Phân tích được các luồng lưu lượng theo các kiểu dịch vụ (HTTP, FTP, …)
Cảnh báo DDoS theo thời gian thực
Cảnh báo các loại sâu máy tính
Tự động phát hiện và quét các mã độc bằng TMS khi cần thiết rồi trả về router đích
Đã triển khai thử nghiệm và đánh giá tốt tại Viễn thông thành phố Hồ Chí Minh năm 2006, tại VDC năm 2007
Peakflow SP sẽ hoạt động theo các bước sau khi được triển khai
Peakflow SP thực hiện học các hoạt động của mạng của toàn bộ hệ thống bằng các luồng thông tin Flow, SNMP, BGP được gửi đến các đối tượng mạng (Network Object) qua các giao tiêp M160 Core router
Xây dựng Cơ sở dữ liệu quan hệ và tạo các mẫu lưu lượng (traffic baselines) liên tục trong hoạt động bình thường của toàn bộ hệ thống từ học dữ liệu. Bên cạnh đó, cơ sở dữ liệu của Peakflow SP còn được cập nhật liên tục (24x7x365) bằng các dịch vụ gia tăng của nhà cung cấp.
Giám sát và phát hiện các bất thường (nếu có) của toàn bộ hệ thống dựa trên các traffic baselines và thực hiện cập nhật cơ sở dữ liệu mới. Cảnh báo người điều hành mạng (Network Operator) và khuyến nghị các chính sách thích hợp để xử lý các bất thường của toàn bộ hệ thống. Người điều hành mạng có toàn quyền quyết định chấp nhận hoặc huỷ bỏ các khuyến nghị đó dựa trên hệ thống thực đang vận hành.
Giúp tạo các báo biểu chi tiết của toàn bộ hệ thống dựa trên các chính sách quản lý (xây dựng sẵn, định nghĩa mới) qua các kết xuất thông dụng (CVS, PDF, XML,…)
Đối với các nhà cung cấp dịch vụ mạng và Viễn thông, điều quan trọng nhất là cần xây dựng được tập các chính sách quản lý tài nguyên hạ tầng, chính sách kiểm toán khách hàng. SP cần hiểu rõ hơn các yêu cầu này để khai thác tối đa năng lực của Peakflow SP. (adsbygoogle = window.adsbygoogle || []).push({});
Nhược điểm
1.3 Peakflow SP với DoS
Peakflow SP hiển thị các dạng DoS đang cảnh báo (Ongoing DoS Alert), cảnh báo gần đây (Recent DoS Alert).
Peakflow SP phân loại các dạng cảnh báo DoS theo 3 cấp (Cao – High, Trung bình – Medium và Thấp – Low).
Có 4 giai đoạn cần triển khai để xử lý một tấn công dạng DoS gồm:
o Phát hiện (Detection).
o Phân tích (Analysis).
o Truy tìm nguồn gốc (Track back).
o Đề ra hướng xử lý (Mitigation).
Peakflow SP phát hiện những tấn công DoS và cung cấp thông tin chi tiết của tấn công đó gồm: phân loại theo mức độ nghiêm trọng, ngày giờ tấn công theo thời gian thực, hướng tấn công, giao thức mạng dùng để tấn cống và đặc biệt xác định được tầm ảnh hưởng của tấn công đó.
Sau phân tích là xác định nguồn xuất phát của tấn công DoS, định danh được các giao tiếp mạng trên router nào tham gia vào tấn công DoS.
Chọn và cho phép người quản trị lọc (filtering) những nguồn tham gia tấn công được chỉ định bằng địa chỉ IP cụ thể.
Tùy hệ thống thiết bị chuyên dụng như router, firewall, filtering đã được thiết lập, Peakflow SP giúp tạo các ACLs (danh sách quản lý truy nhập), Ratelimits (các bộ lọc định mức lưu lượng dữ liệu) hoặc theo các cơ chế xử lý chuyên biệt khác nếu được trang bị như Blackholeing, Sinkholing hoặc thiết bị Delicated Filtering.
Xác định mức độ nghiêm trọng của một cảnh báo mức cao (High), Người quản trị hệ thống ngay lập tức có thể xác định chi tiết của dạng tấn công DoS đó:
o Xác định được đặc tính của loại tấn công DoS hiện tại.
o Thông tin chi tiết của tấn công đó gồm: lớp mạng của nguồn tấn công (Source Network), lớp mạng đích của tấn công đang nhắm tới (Destination Network). Thông số cổng giao tiếp nguồn và đích.
o Giao thức thực hiện tấn công và chi tiết của nó.
o Đặc biệt Peakflow SP cung cấp biểu đồ thể hiện mức độ lưu lượng của tấn công DoS hiện hành so với mức lưu lượng mong muốn của hệ thống.
Khả năng nhận định chính xác mức độ nguy hiểm của tấn công DoS sẽ ảnh hưởng đến thành phần tài nguyên hệ thống
o Cho thấy cụ thể lưu lượng ảnh hưởng trên từng thành phần của hệ thống so với lưu lượng mong muốn của hệ thống trước khi có tấn công DoS.
o Người quản trị có thể xem chi tiết những ảnh hưởng cụ thể theo thành phần tài nguyên hệ thống.
o Giúp xác định hướng và đường đi của tấn công DoS và nhanh chống có giải pháp đáp ứng kịp thời trước khi tấn công gây ra nhiều tổn thất trên nhiều tài nguyên.
Phản ứng truớc tấn công DoS. Peakflow xác định được các địa chỉ nguồn cụ thể cùng tham gia vào tấn công các địa chỉ đích cùng các nhóm cổng giao tiếp
o Nhóm cổng nguồn (Source Ports), đích (Destination Ports)
o Giao thức (Protocol) và đặc biệt là các giao tiếp vào / ra trên tấn công DoS (Input/Output Interfaces).
o Người quản trị cần xác định lượng dữ liệu nào sẽ phải ngăn chặn thông qua tính năng Filter (một dạng Mitigation) của Peakflow SP. Peakflow SP sẽ giúp tạo ra các ACLs và Ratelimits thích hợp và khuyến nghị người quản trị sử dụng.
Người quản trị sẽ toàn quyền quyết định (chấp nhận, thay đổi hoặc hủy bỏ các khuyến nghị của Peakflow SP) và chịu trách nhiệm trước ngữ cảnh của tấn công DoS xác định
o Peakflow SP tự động tạo ra các khuyến nghị (ACL hay Ratelimit) phù hợp với các thiết bị hiện có trên hệ thống đã được học.
o Các khuyến nghị sẽ do Người quản trị toàn quyền quyết định. Peakflow SP không tự động áp đặt các khuyến nghị này vào hệ thống.
o Đối với một số cách thức xử lý chuyên dụng thông qua các thiết bị chuyên nghiệp như Blackhole, Sinkhole hay Delicated Filtering cho các tấn công DoS, Peakflow SP hỗ trợ nhận biết qua cấu hình chỉ định của Người quản trị. Điều này giúp xây dựng hạ tầng an ninh mạng vững chắc trước các dạng tấn công DoS ngày càng nguy hiểm. (adsbygoogle = window.adsbygoogle || []).push({});