Защитный профиль

Что такое защитный профиль, как защищает ваш ресурс, почему профилей может быть несколько.

Что это

Защитный профиль — это набор правил фильтрации трафика на сетевом уровне (L3/L4), применяемых к вашим подсетям для защиты от DDoS-атак.

Проще говоря, это логика очистки: какие пакеты считать легитимными, какие вредоносными, и что с ними делать.

Как работает

Технически, профиль — это конфигурационный файл. Его копии лежат на нодах очистителя. Когда ваш трафик проходит через очиститель, тот обращается к файлу, чтобы узнать, как именно нужно фильтровать пакеты.

Профиль может быть один или несколько. Например, если для вашего DNS и корпоративного VPN нужны разные правила фильтрации, создадим отдельный профиль для каждого.

Защита сети Servicepipe. Работа защитного профиля

Из чего состоит

В каждом профиле указаны две вещи:

  • Подсети / набор IP. Список адресов, которые очиститель будет защищать с помощью правил этого профиля.

  • Цепочка правил. Набор правил фильтрации трафика, выполняемых очистителем. Каждое из них содержит условие (параметры трафика: протокол, порт, размер пакета и другие) и действие — что сделать с пакетом, который совпал с условием (пропустить к вашим серверам, сбросить или применить к соединению TCP- либо DNS-аутентификацию).

Когда применяется

Профиль используется во время DDoS-атаки.

В обычное время трафик проходит напрямую к вашим серверам, минуя очиститель. Как только мы фиксируем атаку, маршрут перестраивается: трафик попадает на очиститель, там фильтруется с помощью правил профиля и только потом отправляется на ваш ресурс.

Пока нет DDoS-атаки, никакие механизмы очистки не работают — в том числе чёрные списки и blackhole.

Как создаётся

Защитный профиль создаём и настраиваем мы. От вас требуется только заполнить опросник, который пришлют наши инженеры.

Минимум данных, нужный для подключения защиты — список ваших подсетей и отдельных IP. Если больше ничего не указать в опроснике, мы создадим профиль, включив в него:

  • Указанные подсети и IP

  • Стандартный набор правил

Стандартный набор правил — это политика фильтрации, которую мы выработали за более чем 10 лет защиты клиентов от DDoS-атак. Туда заложены правила против распространённых векторов атак, с которыми регулярно приходится сталкиваться на практике. Такой набор способен защитить ресурс даже без дополнительной настройки. Мы регулярно обновляем его по мере появления новых практик злоумышленников.

Если заполните опросник подробнее, настроим защиту индивидуально под ваш сервис. Дополнительная информация помогает учесть особенности архитектуры и трафика, поэтому чем больше деталей вы укажете, тем точнее будет защита и ниже риск ложных блокировок.

Что входит в стандартный набор правил

Наши стандартные правила фильтрации включают в себя:

  • Сброс входящего фрагментированного трафика.

  • Сброс всех протоколов, кроме TCP, UDP, ESP, AH, ICMP, GRE.

  • Блокировку пакетов, в которых порт отправителя и порт получателя находятся в диапазоне 0–1023. Исключения: 123 → 123 (NTP), 500 → 500 (IPsec).

  • Сброс входящего ICMP-трафика. Исключения: ICMP Echo Request и ICMP Echo Reply.

  • Сброс входящего ICMP-трафика с длиной пакета более 200 байт.

  • Сброс входящего трафика по вектору NTP Amplification.

  • Сброс входящего трафика с потенциально уязвимых UDP-портов (17, 19, 80 и других).

  • Сброс входящего трафика, направленного к потенциально уязвимым UDP-портам (0, 22, 80 и другим).

  • Сброс входящего DNS-трафика, направленного с порта 53 и длиной пакета более 1000 байт.

  • Сброс входящего DNS-трафика, направленного к порту 53 и длиной пакета более 1000 байт.

  • Сброс входящего трафика, направленного с системных портов к портам 4444, 8080, 8443 и 8088.

  • Сброс TCP-пакетов с флагами SYN, SYN-ACK, RST и длиной пакета более 100 байт.

  • TCP SYN Authentication — противодействие TCP SYN-флудам посредством аутентификации клиента.

  • DNS Authentication — противодействие DNS-флудам посредством аутентификации клиента.

    Блокировку SRC IP на 300 секунд при превышении 2000 UDP-пакетов в секунду.

  • Блокировку SRC IP на 300 секунд при превышении 50 TCP SYN-пакетов в секунду.

Мы намеренно даём общее описание и не раскрываем все правила в деталях — так злоумышленники не смогут использовать эту информацию, чтобы готовить атаки на ваши сервисы.

Как работают правила

Правила фильтрации — это основа защитного профиля. В них мы задаём условия, при которых трафик считается легитимным или подозрительным, и указываем, что с ним делать.

Пример реального правила: если входящий IP-пакет фрагментирован, отбросить его.

Почему это правило существует: фрагментированные пакеты часто используют в DDoS-атаках, чтобы запутать анализ трафика и обойти защиту. В обычной работе сервисов такой трафик почти не встречается, поэтому его можно безопасно блокировать.

Правило состоит из связки «условие + действие». Условие описывает параметры трафика: протокол, IP и ASN отправителя, порты, размер пакета, фрагментацию пакета, TCP-флаги, содержимое payload, принадлежность источника к белым и чёрным спискам и другие. Действие — что очиститель сделает с трафиком, который совпал с условием. Возможно одно из трёх действий:

  • Пропустить пакет на ваш сервер

  • Сбросить пакет

  • Применить к соединению TCP- либо DNS-аутентификацию.

Правила бывают строгими и пороговыми. Строгие срабатывают сразу при совпадении условия. Пример: если пакет фрагментирован, он будет мгновенно отброшен. Пороговые реагируют только при превышении лимитов — например, если один IP шлёт подозрительно много однотипных пакетов, трафик от него на время блокируется.

Правила в профиле объединены в цепочку — порядковый список. Очиститель прогоняет каждый пакет по этому списку: проверяет совпадение с первым правилом, затем со вторым, потом с третьим и так до тех пор, пока не найдёт подходящее. Как только находит, применяет указанное в правиле действие.

Во время обработки трафика очиститель может поставить пакету метку. Метка — маркер определённого вида трафика. Например, IP_FRAG значит фрагментированный трафик. В статистике защитного профиля вы можете посмотреть графики: сколько приходило на очиститель трафика, помеченного разными метками.

Как изменить профиль

Мы вносим доработки проактивно. Когда появляется новая распространённая техника атак, мы разрабатываем против неё правила и добавляем их в профили всех клиентов. Так защита постоянно эволюционирует и адаптируется к практикам злоумышленников.

Также мы отслеживаем, как защита работает у каждого клиента. Если видим, что во время атаки часть вредоносного трафика не была отсечена, корректируем профиль и усиливаем фильтрацию.

Если у вас есть пожелания к политике фильтрации, свяжитесь с нами одним из способов:

  • Чат в Telegram

  • tech-support@servicepipe.ru

  • +7 (499) 288-72-81

  • Создание тикета через панель управления

Мы внесём изменения в профиль по вашему запросу — усилим или, наоборот, смягчим отдельные правила с учётом особенностей вашего сервиса.