Решение для защиты от DDoS-атак в НИКС

Специалистами Национальной исследовательской компьютерной сети России (НИКС) разработано и внедрено в эксплуатацию решение для защиты от сетевых атак, направленных на отказ в обслуживании (DDoS, Distributed Denial of Service), которое использует алгоритм выявления превышений эмпирически определенных пороговых значений метрик сетевого трафика.

Решение базируется на анализе собираемых данных NetFlow и обеспечивает возможность автоматической фильтрации вредоносного трафика на граничных маршрутизаторах с применением технологии BGP FlowSpec. Обнаруженные по заданным критериям сетевые аномалии с признаками DDoS-атаки преобразуются в фильтры межсетевого экрана на маршрутизаторах. В качестве критериев используются объем трафика в направлении IP-адреса, количество соединений с IP-адресом, количество соединений с любым сетевым портом на IP-адресе (в единицу времени). При детектировании DDoS-атаки автоматически существенно понижается пропускная способность соединения с атакуемым IP-адресом, а в отдельных случаях (при интенсивных атаках) - блокируется доступ к ресурсам НИКС из сетей атакующих. После завершения атаки установленные ограничения автоматически снимаются.

На сервере анализа данных NetFlow реализовано взаимодействие с граничными маршрутизаторами НИКС по протоколу BGP (на основе программного обеспечения BIRD2) с использованием технологии FlowSpec. Оповещения о DDoS-атаках отображаются на мониторе Центра управления сетью, а также направляются в виде SMS и электронных сообщений сетевым администраторам.

Система агрегации, обработки и визуализации статистических данных о DDoS-атаках базируется на программном обеспечении ElasticStack. Данные о DDoS-атаках в структурированном виде отправляются с сервера аналитики NetFlow на сервер статистики и визуализации, на котором компонента стека Logstash агрегирует, преобразует и отправляет подготовленные данные в поисковую компоненту Elasticsearch. Визуализация выполняется на основе подготовленных шаблонов компоненты Kibana и позволяет отображать диаграммы распределения количества атак по временным интервалам, атакуемым IP-адресам, а также интенсивности DDoS-атак по различным срезам.

На основании накопленной статистики можно заключить, что начиная с июля 2020 года разработанным решением в среднем детектируется и фильтруется около 100 DDoS-атак разной интенсивности и длительности в месяц.