Hệ thống Cisco cung cấp một giải pháp bảo vệ DDoS hoàn toàn dựa trên nguyên tắc phát hiện, chuyển hướng, xác minh và chuyển tiếp giúp đảm bảo việc bảo vệ tổng thể. Khi một cuộc tấn công DDoS thực hiện thì giải pháp chống DDoS của Cisco sẽ thực hiện các bước sau:
- Phát hiện tấn công DDoS
- Chuyển hướng lưu lượng dữ liệu dành cho các thiết bị mục tiêu đối với các ứng dụng Cisco cho việc xử lý
- Phân tích và lọc các luồng lưu lượng xấu từ những gói tin có luồng lưu lượng tốt, ngăn chặn lưu lượng truy cập độc hại từ tác động đến hiệu suất trong khi cho phép hoàn thành các giao dịch hợp pháp.
- Chuyển tiếp lưu lượng truy cập tốt để duy trì tính nghiệp vụ liên tục.
Giải pháp thiết lập của Cisco
Giải pháp Cisco cung cấp bảo vệ hoàn toàn chống lại tất cả cuộc tấn công DDoS, ngay cả khi chưa bao giờ được thấy trước đó. Với khả năng giảm thiểu hoạt động đó nhanh chóng phát hiện các cuộc tấn công và lưu lượng mạng nguy hiểm. Các giải pháp của Cisco cung cấp tùy chọn khả năng mở rộng loại bỏ bất kỳ điểm duy nhất của thất bại và không ảnh hưởng đến hiệu suất hoặc độ tin cậy của thành phần mạng hiện có.
Giải pháp của Cisco thiết lập bao gồm hai thành phần Cisco Traffic Anomaly Detector (TAD) XT và Cisco Guard XT, làm việc cùng nhau và cung cấp đầy đủ môi trường chống DDoS.
- Cisco Traffic Anomaly Detector XT: Hoạt động như một cảnh báo sớm, Cisco TAD XT cung cấp phân tích sâu sắc nhất tấn công DDoS phức tạp. the Cisco TAD XT giám sát lưu lượng mạng, tìm kiếm bất kỳ sự sai lệch từ hành vi “normal” hoặc baseline của cuộc tấn công DDoS. Khi cuộc tấn công được xác định, Cisco TAD XT cảnh báo của Cisco XT, cung cấp chi tiết báo cáo cũng như cảnh báo cụ thể để nhanh chóng phản ứng với các mối đe dọa. Ví dụ, Cisco TAD XT có thể quan sát thấy tỷ lệ các gói tin UDP từ một nguồn IP duy nhất là ra khỏi phạm vi, ngay cả khi các ngưỡng tổng thể không vượt quá.
- Cisco Guard XT—The Cisco Guard XT là nền tảng thiết lập giải pháp Cisco DDoS thực hiện tấn công hiệu suất cao, giảm nhẹ thiết bị ở nhà cung cấp dịch vụ ISP, trung tâm dữ liệu hoặc một doanh nghiệp lớn để bảo vệ cả tài nguyên mạng và dữ liệu trung tâm.
Khi Cisco Guard XT được thông báo rằng mục tiêu đang bị tấn công (cho dù từ một Cisco TAD XT hoặc một số thiết bị an ninh giám sát khác chẳng hạn như một phát hiện xâm nhập hoặc tường lửa), traffic dành cho các mục tiêu được chuyển hướng đến các Guard (hoặc Guards) liên kết với các thiết bị mục tiêu. Traffic sau đó được đưa vào phân tích qua năm giai đoạn nghiêm ngặt và quá trình lọc được thiết kế để loại bỏ tất cả các lưu lượng nguy hiểm trong khi cho phép các gói dữ liệu tốt tiếp tục đi qua mà không bị gián đoạn. Cisco Guard XT nằm liền kề với một router hoặc switch trên một giao diện mạng riêng biệt, giúp cho phép bảo vệ theo yêu cầu mà không cần ảnh hưởng đến lưu lượng dữ liệu của hệ thống khác. Tùy thuộc vào vị trí của
nó, Cisco Guard XT đồng thời có thể bảo vệ nhiều mục tiêu tiềm năng, bao gồm cả thiết bị định tuyến, máy chủ web, máy chủ DNS, và băng thông mạng LAN, WAN.
Kiến trúc hệ thống Cisco MVP
Các giải pháp thế hệ tiếp theo của Cisco Guard XT DDoS dựa trên một quá trình xác minh cấp bằng sáng chế kiến trúc (MVP) duy nhất tích hợp một loạt các kiểm tra, phân tích, và thực thi các kỹ thuật để xác định và tách biệt lưu lượng nguy hiểm từ traffic hợp pháp. Quá trình thanh lọc này bao gồm năm phần hoặc thông qua các bước sau:
- Filtering: Môđun này bao gồm các bộ lọc DDoS cả tính và động. Bộ lọc tính, trong đó khối traffic không cần thiết từ nạn nhân bị tấn công, là người dùng có thể cấu hình, và đến từ Cisco với giá trị mặc định cài sẵn. Dynamic filter được chèn vào bằng các bộ phận khác trên cơ sở quan sát hành vi và phân tích chi tiết về lưu lượng traffic, cung cấp thông tin cập nhật thời gian thực hoặc tăng mức kiểm tra áp dụng cho các nghi ngờ hoặc các khối nguồn và dòng chảy đã được xác nhận là độc hại.
Hình 2.1. Kiến trúc hệ thống Cisco MVP
- Active verification: Module này xác nhận rằng các gói tin vào hệ thống đã không bị giả mạo. Cisco Guard XT sử dụng nhiều cơ chế xác thực mã
nguồn độc đáo, để ngăn chăn các gói tin giả mạo đến nạn nhân. Các module kiểm tra hoạt động cũng có một số cơ chế để giúp đảm bảo xác định đúng traffic hợp pháp, hầu như loại bỏ nguy cơ các gói tin hợp lệ được bỏ đi.
- Anomaly recognition: Module này giám sát tất cả lưu lượng truy cập và không dừng lại bởi bộ lọc hoặc các module kiểm tra hoạt động và so sánh nó với hành vi cơ bản ghi nhận theo thời gian, tìm kiếm những sai lệch đó sẽ xác định nguồn gốc của gói tin độc hại. Nguyên tắc cơ bản đằng sau các hoạt động của module này mô hình traffic có nguồn gốc từ “black hat” daemon cư trú tại một nguồn khác đáng kể từ mô hình được tạo ra bởi các nguồn hợp pháp trong quá trình hoạt động bình thường. Nguyên tắc này được sử dụng để xác định nguồn gốc tấn công và chủng loại, cũng như để cung cấp hướng dẫn để ngăn chặn traffic, thực hiện phân tích chi tiết hơn về dữ liệu đáng ngờ.
- Protocol analysis: Module này để xác định các cuộc tấn công ứng dụng cụ thể chẳng hạn như các cuộc tấn công lỗi HTTP. Phân tích giao thức để phát hiện giao thức truyền lỗi bao gồm cả việc truyền không đầy đủ hoặc lỗi.
- Rate limiting: Module này cung cấp tùy chọn thực thi khác và ngăn chặn dòng chảy hỏng khó chống lại từ mục tiêu trong khi nhiều giám sát chi tiết đang diễn ra. Các module thực hiện traffic cho mỗi luồng tạo hình, nguồn tiêu thụ quá nhiều tài nguyên (ví dụ, băng thông hoặc kết nối) cho thời gian quá dài. Điều quan trọng cần lưu ý rằng, giữa cuộc tấn công, Cisco Guard XT là trong chế độ (đang học), thụ động giám sát mô hình traffic và lưu lượng cho các nguồn tài nguyên khác nhau bảo vệ hành vi bình thường và thiết lập một hồ sơ cá nhân cơ bản. Thông tin này sau đó được sử dụng để nắm tình hình về chính sách và lọc cả hai được biết và cả chưa biết, các cuộc tấn công chưa từng thấy trong hoạt động mạng thời gian thực.
Cisco DDoS bảo vệ linh hoạt, khả năng mở rộng các kịch bản triển khai để bảo vệ các trung tâm dữ liệu (máy chủ và các thiết bị mạng), các liên kết ISP, và các backbones (định tuyến và máy chủ DNS)
Providers
Cisco Guard XT có thể được triển khai tại một số điểm trong cơ sở hạ tầng của nhà cung cấp, chẳng hạn như tại mỗi điểm, để bảo vệ các bộ định tuyến, liên kết và khách hàng. Triển khai cũng có thể tại các bộ định tuyến biên để bảo vệ cho khách hàng. Các cơ chế phát hiện có thể được đặt tại nhà cung cấp hoặc trên các cơ sở hạ tầng của khách hàng. Các giải pháp của Cisco khả năng mở rộng để bảo vệ mạng tại nhà cung cấp và nhiều trung tâm dữ liệu khách hàng từ thượng nguồn hỗ trợ triển khai các yêu cầu cung cấp dịch vụ.
Hình 2.2. Cisco phát triển phòng vệ
Enterprises and Data Centers
Trong trung tâm dữ liệu doanh nghiệp, Cisco Guard XT được triển khai tại các lớp phân phối trong trung tâm dữ liệu, bảo vệ các liên kết tốc độ thấp
và các máy chủ. Cisco Guard XT có thể được kết nối đến switch và nó có thể hỗ trợ một cấu hình dự phòng.
Hình 2.3. Cisco Guard XT được triển khai tại các lớp phân phối
2.1.2. Giải pháp chống DDoS của Abor Peakflow SP Solution for DDoS Protection
Các Peakflow SP (“Peakflow SP”), giải pháp tích hợp thông tin tình báo mạng lưới rộng và phát hiện bất thường với quản lý mối đe dọa để xác định và ngăn chặn mạng và DDoS tầng ứng dụng các cuộc tấn công. Peakflow SP TMS thiết bị mạng cung cấp quan trọng, thành phần traffic của các giải pháp Peakflow SP. Peakflow SP TMS có thể được triển khai để cung cấp nội tuyến “luôn luôn” bảo vệ. Không giống như các sản phẩm khác, nó cũng hỗ trợ một kiến trúc giảm nhẹ được gọi là (diversion/reinjection). Trong chế dộ này, chỉ có các dòng traffic mạng tấn công DDoS được chuyển hướng đến Peakflow
SP TMS thông qua bản cập nhật định tuyến do giải pháp SP Peakflow. Peakflow SP TMS chỉ loại bỏ lưu lượng truy cập độc hại từ dòng chảy và chuyển tiếp lưu lượng truy cập hợp pháp đến đích dự định. Đây là thuận lợi lớn cho các nhà cung cấp dịch vụ, các doanh nghiệp lớn và lưu trữ lớn, các nhà cung cấp điện toán đám mây. Nó cho phép duy nhất nằm ở trung tâm Peakflow SP TMS để bảo vệ liên kết multiple và nhiều trung tâm dữ liệu. Nó là kết quả trong nhiều hơn nữa hiệu quả sử dụng giảm nhẹ và hoàn toàn bảo mật không xâm nhập. Thiết bị nội tuyến phải kiểm tra tất cả lưu lượng truy cập tất cả các thời gian trên các liên kết theo dõi. Peakflow SP TMS chỉ cần kiểm tra lưu lượng được chuyển hướng tới nó để đáp ứng với một cuộc tấn công vào mục tiêu cụ thể.
Hình 2.4. Peakflow SP TMS chỉ cần kiểm tra lưu lượng được chuyển hướng
Trung tâm dữ liệu và các mạng công cộng hiện tại nhiều mục tiêu cho các cuộc tấn công DDoS. Các mục tiêu bao gồm các thiết bị cơ sở hạ tầng (ví dụ, các bộ định tuyến router, switch, load balancers), hệ thống tên miền (DNS), dung lượng băng thông và ứng dụng quan trọng như Web, thương mại điện tử, voice và video. Thậm chí các thiết bị bảo mật như tường lửa là mục tiêu của tấn công. Các giải pháp Peakflow SP cung cấp toàn diện nhất và thích ứng khả năng phát hiện mối đe dọa trong ngành công nghiệp, được thiết kế để bảo vệ các nguồn tài nguyên đa dạng từ phức tạp, các cuộc tấn công pha trộn. Những khả năng này bao gồm phát hiện bất thường thống kê, phát hiện giao thức bất thường, phù hợp với dấu vân tay và phát hiện bất thường thuộc tính. Peakflow SP liên tục học hỏi và thích nghi trong thời gian thực, cảnh báo cho các nhà khai thác để tấn công cũng như những thay đổi bất thường trong mức nhu cầu và mức dịch vụ.
Surgical Mitigation
Chìa khóa để giảm thiểu hiệu quả là khả năng nhận diện tấn công DDoS quy mô lớn ảnh hưởng đến không chỉ là nạn nhân dự định, nhưng cũng có khách hàng không may mắn khác, những người có thể được sử dụng dịch vụ mạng và chia sẻ. Để giảm thiệt hại tài sản thế chấp này, dịch vụ các nhà cung cấp và các nhà cung cấp lưu trữ thường xuyên đóng tất cả các lưu lượng dành cho trang web nạn nhân, do đó hoàn thành các cuộc tấn công DDoS. Cho dù đó là một cuộc tấn công khối lượng cao sử dụng hết dung lượng băng thông hoặc một cuộc tấn công nhằm mục tiêu tìm kiếm để đưa xuống một trang web, Peakflow SP TMS có thể cô lập và loại bỏ các traffic tấn công và không ảnh hưởng hợp pháp người sử dụng. Phương pháp bao gồm việc xác định và danh sách đen các host độc hại, IP dựa trên địa điểm giảm nhẹ, dựa trên giao thức lọc bất thường, loại bỏ gói tin bị thay đổi và giới hạn tốc độ (để quản lý một cách hiệu quả và mềm dẻo nhu cầu không độc hại). Giải pháp giảm thiểu
có thể được tự động và biện pháp đối phó có thể được kết hợp để giải quyết các cuộc tấn công pha trộn.
2.1.3. Giải pháp DDoS của Huawei
High Detection Ratio — DPI for Defeating DDoS
Deep packet inspection (DPI): Để phát hiện chính xác và xác định traffic DDoS, Huawei giải pháp chống DDoS giới thiệu “bảy lớp lọc”, mà có hiệu quả xác định và bảo vệ chống lại toàn diện các mối đe dọa an ninh hiện đại bao gồm scan và sniffing, các cuộc tấn công gói tin bị thay đổi, cũng như các cuộc tấn công vào traffic và mức độ lớp ứng dụng .
Hình 2.5. Giải pháp chống DDoS của Huawei
Wide-ranging IPv6 defense: Huawei giải pháp chống DDoS cung cấp tất cả IPv4 cho IPv6, và hỗ trợ IPv4 và IPv6 với nhau để cho phép an toàn và chi phí thấp trong quá trình chuyển đổi IPv4 sang IPv6.
Rapid Response — Second Latency
Second-level detection: Phát hiện dòng chảy trên là kém hơn với một chiều dài độ trễ vì nó cần phải phân tích một lượng lớn các bản ghi. Giải pháp chống DDoS sử dụng công nghệ của Huawei sẽ sử dụng tính năng nắm bắt
các cuộc tấn công trong thời gian thực, phát hiện traffic tấn công chỉ trong vài giây.
Second latency: Trung tâm phát hiện và làm sạch đồng bộ hóa tình trạng phiên với kết quả thu được. Việc đồng bộ hóa duy trì dịch vụ liên tục trong khi đảm bảo một phản ứng nhanh (với 10 giây) để tấn công.
The detecting center and cleaning center synchronize Robust Reliability: The highest Realiability
Reliable platform: Giải pháp chống DDoS của Huawei được trang bị sức mạnh cũng như 1 + 1 MPUs và 3 + 1 SFUs. Các bộ phận dự phòng đảm bảo độ tin cậy định tuyến cấp lõi. Ngoài ra, VRP các ngành công nghiệp hàng đầu của giải pháp này có 4 triệu live-network , tiếp tục nâng cao nền tảng tin cậy.
System reliability: Giải pháp chống DDoS của Huawei cung cấp thời gian trung bình giữa thất bại (MTBF) là 500 nghìn giờ và độ tin cậy hệ thống 99,9999% bằng cách tận dụng cân bằng tải SPUs và liên kết cũng như sao lưu hai hệ thống mạng.
Industry's Easiest OAM Easy Operation — High ROI
Differentiated defense: Huawei giải pháp chống DDoS cung cấp phù hợp chính sách quốc phòng cho các phân khu theo xếp hạng và dịch vụ. Ngoài ra, các giải pháp an ninh cho phép dựa trên sự kiện tấn công truy tìm và thu thập chứng cứ.
Customizable policies: Huawei giải pháp chống DDoS cho phép từng vùng tùy chỉnh chế độ bảo vệ, chế độ traffic, chính sách CAR, danh sách đen và danh sách trắng.
Self-service report: Khách hàng có thể truy vấn hơn 10 báo cáo từ xa để tìm hiểu về mạng lưới traffic hiện tại và các cuộc tấn cống. Các báo cáo là hữu ích trong cuộc tấn công truy tìm và thu thập chứng cứ. Huawei có thể gửi email cho từng vùng phù hợp với báo cáo định kỳ, có thể được xuất ra file định dạng exel hay pdf.
Application Scenarios
Security Defense at the MAN Egress
Customer challenges
− Hàng loạt các cuộc tấn công traffic từ mạng backbone vào khu vực mạng đô thị (MAN), gây tắc nghẽ liên kết trên MAN. Do đó, các hãng phải đầu tư nhiều băng thông mở rộng và trải nghiệm người dùng có thể xấu đi.
− Tấn công traffic tầng ứng dụng gây ra các máy chủ mục tiêu để từ chối dịch vụ. Kết quả là, người dùng khiếu nại rất nhiều và một số có thể bỏ đăng ký, và hãng bị thiệt hại kinh tế rất lớn.
Solution strengths
− Quyền cư trú ở MAN, với hiệu suất làm sạch 200G để ngăn ngừa tắc nghẽn liên kết.
− Bảo vệ chống lại hơn 30 loại tấn công, bao gồm cả tấn công từ chối dịch vụ (DDoS).
Hình 2.6. Industry's Easiest OAM Secure Operation at the MAN Egress
Customer challenges
− Hàng loạt các cuộc tấn công bằng traffic từ mạng đường trục vào MAN, gây rắc nghẽn liên kết trên MAN. Do đó, các hãng phải đầu tư nhiều hơn trong việc mở rộng băng thông và trải nghiệm người dùng có thể xấu đi.
− Tấn công traffic tầng ứng dụng gây ra đối với các máy mục tiêu bằng