Cybersecurity

Giải pháp phòng chống DDoS của Arbor phần 1

Written by ductri

Arbor Networks là đơn vị cung cấp giải pháp phòng chống tấn công DDoS hàng đầu thế giới. Hơn 70% ISP trên toàn cầu đang sử dụng giải pháp này (thống kê từ nhà cung cấp). Sự phổ biến của giải pháp khẳng định tính hiệu quả của việc phòng chống DDoS với những công nghệ tiên tiến dưới đây:

  • Network Behavior Analysis: lựa chọn các hoạt động mạng bình thường dựa trên phân tích thông tin từ công nghệ Flow (Cisco, Juniper, IPFIX,...) và gói dữ liệu thô. Sử dụng kết quả từ các phân tích này xác định các hành vi bình thường của mạng, từ đó so sánh theo thời gian thực dữ liệu mạng hiện tại với dữ liệu mẫu để phát hiện bất thường. Nhờ công nghệ này, khách hàng có thể phát hiện sớm các cuộc tấn công zero-day (chưa được ghi nhận từ trước) để kịp thời ngăn chặn không gây ảnh hưởng cho mạng lưới/khách hàng.
Mô hình tổng thể giải pháp chống ddos
  • Active Threat Level Analysis System (ATLAS): Công nghệ được xây dựng bao gồm sự tham gia của trên 230 nhà cung cấp dịch vụ đang sử dụng giải pháp của Arbor, với khối dữ liệu vô danh được chia sẻ lên tới 35Tbps. Với lượng dữ liệu khổng lồ này, nhóm nghiên cứu của Arbor phân tích và phản hồi lại cho các khách hàng về dấu hiệu tấn công. Với công nghệ độc đáo này, khách hàng có thể thấy chi tiết về mạng lưới của họ cũng như tổng quan về tình hình tấn công trên toàn cầu; cung cấp thông tin đầy đủ về cuộc tấn công DDoS, mã độc, botnet...
Mô hình tổng thể giải pháp chống ddos
  • Cung cấp thông tin về rủi ro theo thời gian thực: ATLAS Intelligence Feed (AIF) được cung cấp trên toàn bộ mạng lưới của Arbor theo thời gian thực, giúp khách hàng sử dụng giải pháp có thể liên tục cập nhật và phát hiện ngay các cuộc tấn công.
  • Cloud Signaling Coalition: Công nghệ hỗ trợ, mở rộng việc phát hiện và chống tấn công DDoS một cách sâu sắc. Với sự phối hợp của hai dòng sản phẩm Peakflow (đặt phía nhà cung cấp) và Pravail (đặt tại khách hàng, Datacenter,...), khi hệ thống của khách hàng phát hiện bị tấn công DDoS, thiết bị Pravail sẽ có thể gửi thông báo đến thiết bị Peakflow đặt tại nhà cung cấp ISP để hỗ trợ, chuyển luồng tấn công DDoS và do đó hệ thống của khách hàng sẽ trở về bình thường. Mô hình hoạt động như dưới đây:
Mô hình tổng thể giải pháp chống ddos

Mô hình tổng thể của giải pháp

Với năng lực và công nghệ của Arbor Networks, giải pháp phòng chống DDoS phù hợp với nhiều đơn vị, tổ chức khác nhau:

Mô hình tổng thể giải pháp chống ddos

Giải pháp gồm 2 thành phần:

  • Pravail APS: Đặt tại mạng của khách hàng để phòng chống DDoS nội bộ mạng của khách hàng
  • Peakflow: Đặt tại mạng của ISP có chức năng phòng chống DDoS cho hệ thống mạng của ISP và cung cấp dịch vụ cho toàn bộ khách hàng. Cung cấp giao diện để người dùng thao tác quản lý hệ thống hạn chế DDoS
  • Hai giải pháp này có thể giao tiếp với nhau dựa trên công nghệ Cloud Signaling Coalition

Mô hình triển khai đầy đủ

Dưới đây là một mô hình triển khai đầy đủ giải pháp Arbor Networks Peakflow SP với một nhà cung cấp dịch vụ (ISP).
Tại mỗi mạng sẽ đặt các thiết bị Peakflow SP với vai trò:

  • Tại mạng lõi, thiết bị có vai trò Core Traffic and Routing
  • Tại mạng biên, thiết  bị được cấu hình vai trò Edge Traffic and Routing
  • Thiết bị có vai trò Leader (Peakflow PI) sẽ quản lý, hiển thị thông tin từ các Peakflow SP khác.
  • Thiết bị Data Storage (Peakflow BI) mở rộng khả năng lưu trữ.

Quá trình giảm thiểu tấn công trên các ISP gồm các bước:

Bước 1: Phát hiện bị tấn công

Phát hiện tấn công ddos

Dữ liệu từ hệ thống bên ngoài tấn công DDoS mục tiêu là Enterprise B (nét đứt đậm màu đỏ). Thiết bị Peakflow SP CP kết nối với hệ thống mạng biên và lõi của ISP cũng sẽ nhận biết được luồng tấn công này thông qua NetFlow và thu thập dữ liệu SNMP.

Bước 2: Thông tin bất thường được chuyển đến TMS

Phát hiện tấn công ddos

Dựa trên ngưỡng baseline bình thường, Peakflow SP CP so sánh để nhận biết trạng thái hiện tại hệ thống có bị tấn công hay không. Thông tin về cuộc tấn công được Peakflow SP quảng bá BGP để chuyển luồng tấn công về cho thiết bị TMS (đường đứt màu xanh) xử lý. Sau đó, toàn bộ luồng dữ liệu đến EnterpriseB sẽ chuyển qua TMS

Bước 3: Chuyển hướng tấn công

Chuyển hướng tấn công ddos

TMS thực hiện lọc các dữ liệu tấn công và chỉ chuyển dữ liệu sạch đến mạng của khách hàng EnterpriseB. Người quản trị truy cập giao diện trên Peakflow SP để theo dõi quá trình, thông tin, trạng thái của quá trình hạn chế tấn công.

Bước 4: Lọc và chuyển tiếp dữ liệu sạch

DDOS Lọc và chuyển tiếp dữ liệu sạch

Người dùng có thể  chuyển luồng dữ liệu đến khách hàng về như cũ khi dấu hiệu tấn công đã kết thúc  qua giao diện điều khiển trên Peakflow SP.

Bài tiếp theo chúng ta sẽ tiếp tục tìm hiểu về Quá trình giảm thiểu tấn công cho client