Защита от DoS и DDoS-атак

В систему СКАТ DPI встроена защита от DoS-атак (Denial of Service – отказ в обслуживании) и DDoS-атак (Distributed Denial of Service – распределенный отказ обслуживания) – это разновидности атак на компьютерные системы, при которых пользователи не могут получить доступ к предоставляемым системой ресурсам или этот доступ затруднен.

Преимущества использования решения по защите от DoS и DDoS-атак

Производительность до 20 млн пакетов в секунду в зависимости от конфигурации

Защита от TCP SYN Flood и fragmented UDP Flood

Защита от DDoS (LOIC и т. п.) на основе теста Тьюринга (Human Detection)

Динамическое управление полосой – общей и до отдельного IP

Приоритизация по протоколам общей полосы и отдельного IP

Как работает защита

Атака осуществляется либо с одного компьютера злоумышленника, либо из целой сети (ботнет) устройств, причем это могут быть любые девайсы, имеющие доступ в Интернет (роутер, телевизор, планшет и т. п.). Пользователь может не знать о совершаемой с его устройства атаке. Защиту удаленных ресурсов и приложений в таком случае должно выполнять оборудование оператора связи.

Решение для операторов СКАТ DPI имеет встроенную защиту от DoS и DDoS-атак. Система обрабатывает весь проходящий через нее трафик и отбрасывает нелегитимный. Таким образом, вам поступает уже отфильтрованный входящий трафик.

Схема работы решения по защите от DoS и DDoS-атак

Особенности

Использование теста Тьюринга (странички с CAPTCHA) для защиты от DDoS

Данный компьютерный тест определяет, кем является пользователь системы – человеком или компьютером.

При превышении порогового значения, например комфортного для сайта количества запросов в секунду, активируется защита и пользователю необходимо ввести информацию из CAPTCHA для подтверждения своей непричастности к сети ботнет, только после этого доступ к сайту будет разрешен.

После подтверждения пользователь заносится в «белый список» и больше не подвергается проверкам.

TCP SYN Flood защита от DoS

Атака SYN Flood вызывает повышенный расход ресурсов атакуемой системы. Отказ в обслуживании наступает при потоке SYN-flood 100 000 – 500 000 пакетов в секунду. В то же время даже гигабитный канал позволит злоумышленнику направить на атакуемый сайт поток до 1,5 миллионов пакетов в секунду.

СКАТ DPI обнаруживает атаку по превышению заданного порога не подтвержденных клиентом SYN-запросов, самостоятельно, вместо защищаемого сайта отвечает на SYN-запросы и организует TCP-сессию с защищаемым сайтом после подтверждения запроса клиентом.

Fragmented UDP Flood защита от DoS

Данный тип атаки осуществляется фрагментированными udp-пакетами, обычно короткого размера, на сборку и анализ которых атакуемая платформа вынуждена тратить много ресурсов.

Защита осуществляется путем отбрасывания неактуального для защищаемого сайта набора протоколов или жесткого ограничения их по пропускаемой полосе.

Преимущества решения СКАТ

Это программное DPI решение может быть установлено на любое серверное оборудование и в будущем перенесено на другой сервер с возможностью обновления
лицензии.

Детектирование более 6000 протоколов

Поддержка схем работы: «в разрыв», с асимметрией по исходящему трафику, с зеркалированием трафика

Установка на любое имеющееся у оператора оборудование

Управление абонентами с динамической IP-адресацией, с множеством IP-адресов

Возможно масштабирование решения для обработки трафика до 3,84 Тбит/сек

Бесплатное тестирование

Отзывы клиентов

Однозначно могу сказать, что найти более гибкое и эффективное телеком-решение крайне сложно. A в сочетании с внимательной службой поддержки клиентов, пожалуй, невозможно.
В целом, после принятия «философии» СКАТ внедрение прошло безболезненно. Cпасибо инженерам и разработчикам VAS Experts за терпеливое и тщательное объяснение принципов работы BRAS и подсказки, как лучше настроить функционал.
Стоимость СКАТ DPI оказалась ниже новых устройств от Juniper или CISCO, а реализация была очень быстрой. Сложностей при настройке не возникло. Мы планируем расширение сети в следующем году. Положительные результаты внедрения и модернизации СКАТ DPI в 2018 году не оставляют сомнений в том, что смена производителя DPI, BRAS и CG-NAT не требуется.
Мы не столкнулись с какими-то особыми проблемами во время внедрения СКАТ DPI. Те непонятные моменты с конфигурацией, которые возникали, быстро исправляли с помощью техподдержки VAS Experts.
В компании VAS Experts очень грамотные специалисты техподдержки: разъясняют любые вопросы, помогают с настройкой ПО, разбираются в возникающих непредвиденных ситуациях и находят из них выход.
Основная задача, которую мы решаем используя СКАТ DPI, – высокая стоимость внешнего канала, у нас это по сути монополия государства. Поэтому в первую очередь мы реализовали приоритизацию трафика. Блокировку запрещённых сайтов можно было осуществлять по IP-адресу, как это делают многие крупные государственные провайдеры, но мы выбрали блокировку по домену с помощью СКАТ DPI, что показало большую эффективность и надежность.
Раньше у нас были SCE, CGN. Сейчас у нас две «коробки», которые работают в хорошем смысле как комбайны, и умеют сокращать все действия до минимального набора сущностей. Спасибо инженерам VAS Experts за обеспечение быстрой и динамичной работы.

Оставьте запрос

Заполните форму
Мы свяжемся с вами, обсудим ваши задачи, предоставим доступ к документации и ответим на вопросы.
Выберите решение
Определим исходную ситуацию: объем трафика, доступное оборудование, необходимую функциональность.
Протестируйте
Наши инженеры установят программное обеспечение в вашу сеть и помогут с настройками. Договор — только после успешного тестирования.
Мы используем файлы cookies для оптимизации функциональности сайта и улучшения качества услуг. Нажимая «Принять», вы даете согласие на работу с этими файлами. Чтобы узнать больше, пожалуйста, прочтите нашу Политику конфиденциальности.