Мрежа

DDoS Mitigation

graphic image

DDoS Mitigation помага на участниците в Public Peering да ограничат значително негативния ефект върху техните мрежи при наличие на големи DDoS атаки към тях.

Нашето техническото решение е фокусирано върху това да се достави полезният трафик на участника дори и портът му да е претоварен в резултат на масивна DDoS атака и загубата на пакети да е неизбежна. По този начин не е необходимо участниците да наемат още по-високоскоростни портове само за да са уверени, че връзката им с BIX.BG няма да бъде претоварена при голяма DDoS атака към тях.
graphic image

Видове DDoS атаки:

  • Low and slow DDoS – при сравнително малък трафик и много специфични пакети се засягат конкретни слабости в някои хостинг услуги, така че да ги претоварят (на protocol/application layer) и да им попречат да обслужват подадените заявки. Тези атаки са многообразни и към момента нямаме работещо решение, с което да помогнем на участниците срещу тях;
  • Volumetric DDoS – от много на брой хостове се изпраща огромно количество пакети (обичайно с голям размер и към един хост), като целта на атаката е да увреди цялата мрежа на участника или поне сегмент от нея.
    Ако не са взети мерки, негативният ефект при подобна атака ще зависи освен от обема на атаката и от това до каква степен мрежата (включително връзките към upstream доставчици и peers) е в състояние да пренесе този паразитен трафик, без да се претовари.

Особености на Volumetric DDoS:

  • За да генерира огромен трафик, атакуващата страна често използва така наречените Аmplification механизми, които ѝ позволяват със сравнително малко трафик, изпратен от тях, да предизвикат многократно по-голям трафик към атакуваната мрежа. BIX.BG разпознава тези пакети и ги маркира като потенциален DDoS.
  • DDoS атаките обичайно възникват внезапно, в рамките на 1-2 минути достигат максималния си капацитет и също така внезапно спират. Това показва, че всякакви защитни механизми предполагащи човешка намеса са напълно неприложими. Дори и варианти с автоматично прерутиране през Scrubbing център няма да са особено ефективни при кратковременни атаки.

Имплементация:

  • На вход: Всеки постъпил пакет се анализира през редица правила и в случай, че изглежда като потенциален DDoS, се маркира по определен начин. Тези правила постоянно се актуализират, така че да могат да се разпознават все повече видове DDoS атаки.
  • На изход: Пакетите маркирани като потенциален DDoS се обслужват с най-нисък приоритет. Ако една връзка се претовари, първо ще бъдат изхвърлени точно тези пакети, така че полезните пакети да бъдат доставени успешно. Това предпазва не само портовете на участниците, а и цялата мрежа на BIX.BG без оглед на мащаба на атаката.

Активиране:

DDoS Mitigation е активен за всички участници в Public Peering, без да се изисква допълнително заплащане.

Препоръки към участниците:

  • Да не се филтрира целия трафик маркиран като потенциален DDoS, защото може да се загуби полезен трафик;
  • Получените пакети от BIX.BG, които са маркирани с Priority Code Point (PCP) = 1, да се обслужват с най-нисък приоритет. По този начин при голяма DDoS атака и претоварвания на мрежата на участника, за да се запази полезния трафик ще бъдат изхвърли точно тези пакети;
  • В случай че свързаността между мрежата на BIX.BG и тази на участника е през трета страна и е с по-ниска скорост от тази на порта, е препоръчително третата страна също да обслужва пакетите маркирани с PCP = 1 с най-нисък приоритет;
  • При атака, вместо да се ползва BGP Blackholing, което блокира целия трафик към атакувания хост, участникът може да активира ограничение на ниска скорост само на пакети маркирани с PCP = 1 и destination IP на атакувания хост. Така ще се ограничи атаката, без да се спира свързаността на хоста към мрежата. За да се избегнат претоварвания вътре в мрежата на участника, е препоръчително ограничението да се сложи на устройството, което е директно свързано с мрежата на BIX.BG.

Предимства:

  • DDoS Mitigation сработва незабавно, така че е напълно ефективен дори при изключително кратки атаки;
  • BIX.BG маркира потенциалния DDoS съгласно IEEE P802.1p с PCP = 1, така че участниците биха могли сравнително лесно да приложат специфични ограничения за този трафик в техните мрежи;
  • Статистика в реално време е достъпна в my.BIX.BG.

Възможни неудобства:

Има минимална вероятност полезен трафик да бъде класифициран като потенциален DDoS, но това е без значение при условие че портът на участника не е претоварен;

Не се разпознават всички възможни DDoS атаки, като това важи предимно за новите типове атаки (Zero-day DDoS Attack).