Anti-DDoS >


DDoS Mitigaatio




DDoS-hyökkäyksen mitigaatio



Hyökkäyksen estäminen, oikeutetun liikenteen kulun hyväksyminen


Mitigaatio on termi, jota käytetään tarkoitettaessa niitä toimintatapoja, joita käytetään riskin aiheuttamien kielteisten vaikutusten häivyttämiseksi. DDoS-hyökkäyksiä vastaan käytettynä mitigaatio merkitsee oikeudettoman liikenteen suodattamisen ja imuroinnin VACin kautta, samalla päästäen oikeiden pakettien jatkaa kulkuaan.


VAC koostuu useista laitteista, jotka kukin hoitavat tietyn osa-alueen suojatakseen palveluita tietyltä tai usealta erilaiselta hyökkäykseltä kuten DDoS ja Flood. Hyökkäystyypistä riippuen voidaan käyttää yhtä tai useampaa strategiaa kullakin VACin muodostavalla laitteella.



VAC:n osat

Reitittimet
Runkoverkko
Reitittimet
Palvelinkeskus


Toiminnot - upstream-palomuuri :


  • UDP-fragmentti
  • Pakettien koko
  • TCP-, UDP-, ICMP-, ja GRE-protokollien autorisointi
  • Kaikkien muiden protokollien esto

Toiminnot - palomuuriverkko :


  • IP-osoitteen tai IP-aliverkon autorisointi tai esto
  • Protokollan autorisointi/esto:
    • IP (kaikki protokollat)
    • TCP
    • UDP
    • ICMP
    • GRE
  • Salli/estä TCP/UDP portti tai porttialue
  • SYN/TCP:n autorisointi/esto
  • Kaikkien muiden pakettien kuin SYN/TCP autorisointi/esto


Toiminnot - Tilera :


  • Väärin muodostettu IP-otsake
  • Väärä Checksum IP
  • Väärä Checksum UDP
  • ICMP-rajoitus
  • Väärin muodostettu UDP datagrammi
  • DNS Amp.

Toiminnot - Arbor :


  • Väärin muodostettu IP-otsake
  • Vaillinainen fragmentti
  • Väärä Checksum IP
  • Duplikoitu fragmentti
  • Liian pitkä fragmentti
  • Liian lyhyt IP / TCP / UDP / ICMP -paketti
  • Väärä Checksum TCP/UDP
  • Kelpaamattomat TCP Flags
  • Kelpaamaton sekvenssinumero
  • Zombien tunnistus
  • TCP SYN -autentikointi
  • DNS-autentikointi
  • Huonosti muotoiltu DNS-kysely
  • DNS rajoitus