защита от DOS/DDOS-атак
ЗАЩИТА
от DOS/DDOS-атак
продукт
Защита сетевого оборудования на L-4, L-5, L-6 OSI
TCP/SYN-флуд, атаки на истощение ресурсов (exhausting)
Защита от переполнения канала на L-3 OSI
UDP-флуд, атаки с амплификацией (усилением)
Защита приложений на L-7 OSI
Защита от DDoS-атак на прикладном уровне сетевой модели OSI эффективна против таких угроз, как HTTP/S-флуд (GET, POST, Slowloris, Cache-bypass), WordPress XMLRPC-флуд и их разновидностей
Защита от ботов
Предотвращение бот-активности с помощью DNS/JS проверки, BOT-сигнатуры и анализ поведения браузеров
Как устроено
Защита ресурсов
Защита от DDoS-атак на прикладном уровне сетевой модели OSI эффективна против таких угроз, как HTTP/S -флуд (GET, POST, Slowloris, Cache-bypass), WordPress XMLRPC-флуд и их разновидностей
Сеть фильтрации
Алгоритмов защиты с использованием BGP FlowSpec (RFC 5575) и фильтрующего аппаратно-программного комплекса
Анализ трафика
Трафик анализируется сенсором SmartFlow. На основе результатов анализа происходит динамическая подстройка алгоритмов защиты с использованием BGP FlowSpec (RFC 5575) и фильтрующего аппаратно-программного комплекса
Собственная интеллектуальная система
Очистка трафика построена на принципе самообучения, схожая с AI-системами, и позволяет выстраивать противодействие киберугрозам индивидуально для каждого ресурса, в зависимости от типа и вида атаки
Система ловушек (honeypot)
CyberFlow в режиме реального времени получает информацию о новых векторах атак (в т.ч., из даркнета) и создаёт оригинальные сигнатуры для их отражения
Личный кабинет
Пользователь может отслеживать статистику трафика, время и коды ответа бэкенда, статистику заблокированных IP-адресов, список атак и прочее

Защита IP-транзита
Защита IP-транзита от DDoS-атак основана на шаблонах правил фильтрации, состоящих из комплекса автоматических алгоритмов, которые начинают очистку трафика после срабатывания при превышении порогов детектирования
Пороги детектирования — рассчитываемые интеллектуальной системой CyberFlow типы и виды трафика в процессе DDoS-атаки

Подключение
- GRE-ТУННЕЛЬ
- ФИЗИЧЕСКИЙ СТЫК
Виды отражаемых атак
- TCP/SYN-флуд (SYN, ACK, RST, FIN, PUSH)
- Флуд DNS-запросами и DNS NXDOMAIN
- Атаки фрагментацией Teardrop TCP
- Connection-флуд
- ICMP/Ping-флуд и атаки ICMP-фрагментации
- Атаки Hit and Run
- UDP-флуд (DNS, NTP, IP fragment, Chargen, QOTD, QNP, Kad, Steam Protocol, NetBIOS, 0 source port, TFTP, SNMP, LDAP, SSDP, memcached)
Мы также производим очистку UDP/TCP-трафика по множественным параметрам содержимого пакетов (payloads), с детальной настройкой UDP/TCP протоколов для каждого профиля защиты и очистку SIP-трафика
Защита Web-сервисов

Стабильность
Безопасность
Антибот
Защита
WAF защита web-приложений

Web Application Firewal позволяет:
Обеспечить защиту от первой десятки угроз безопасности, определенных проектом безопасности открытого веб-приложения OWASP TOP 10, включая:
- Внедрение кода
- Некорректная аутентификация и управление сессией
- Межсайтовый скриптинг (XSS)
- Небезопасные прямые ссылки на объекты
- Небезопасная конфигурация
- Отсутствие контроля доступа к функциональному уровню
- Подделка межсайтовых запросов (CSRF)
- Использование компонентов с известными уязвимостями
Стресс-тестирование
Зачем?
- Выявление и устранение потенциальных слабостей инфраструктуры веб-сервиса в условиях предельного нагрузочного тестирования DDoS-атаками.
- Устранение возможных издержек на экстренное восстановление системы после кибератак и связанных с простоем финансовых потерь.
- Разработка стратегии противодействия различным типам DDoS-атак в режиме реального времени.
- Оценка необходимости масштабирования ИТ-активов с учетом реальных угроз и различных сценариев их использования.
- Повышение общей устойчивости к DDoS-атакам через планирование процедуры реагирования на инциденты и смягчения последствий атак.
Как это работает
В процессе стресс-тестирования моделируются в безопасной среде условия, при которых легитимные (правомерные) пользователи частично или полностью теряют доступ к целевым ресурсам — сайту, серверу и т.д.
Демонстрация может быть проведена как на базе как инфраструктуры клиента, так и на ресурсной базе Net One.
Типы и особенности атак
SYN-флуд
Атака происходит через отправку большого количества SYN-запросов (на подключение по протоколу TCP) в сторону целевого объекта в достаточно короткий срок. Включает: SYN ACK reflecton flood, TCP ACK flood, TCP fragmented attack
UDP-флуд
Атака происходит через отправку большого количества UDP-пакетов в сторону целевого объекта. Включает: DNS/NTP/SSDP amplification, UDP fragment flood
HTTP/S-флуд
Атака происходит через генерацию массы HTTP/GET или POST-запросов на веб–сервер/приложение с целью вызвать отказ в обслуживании. Включает: POST/GET bot attack, SlowLoris
ICMP-флуд
Атака происходит через отправку большого числа ICMP-пакетов в сторону целевого объекта. Включает: Smurf attack, Ping of Death
GRE-флуд
GRE (Generic Routing Encapsulation, «универсальная инкапсуляция при маршрутизации») — протокол туннелирования трафика, который используется для перегрузки целевого сервера нелегитимным сетевым трафиком
DNS/NTP-амплификация
Канальная атака, которая происходит через отправку запроса уязвимому DNS-серверу с IP-адресом атакуемого сервера. В итоге атакуемый сервер получает ответ в размере, превышающим его канальную ёмкость и становится недоступен для легитимных запросов
Volumetric-флуд
Объемная атака, нацеленная на переполнение полосы пропускания веб-приложения. Происходит через направление больших объемов ложного сетевого трафика на инфраструктуру хостинга
Спуфинг
Спуфинг (от анл. spoof, «обман») или IP-спуфинг — сетевая атака, при которой мошенник подменяет свой реальный IP-адрес, для дальнейшей отправки ложных пакетов с якобы доверенного адреса или внесения нарушений в схему маршрутизации целевого веб-ресурса
IPsec-флуд
Объемная сетевая кибератака с амплификацией (усилением), направленная на протокол IPsec
Пентест
Тестирование на проникновение
Пентест - анализ безопасности компьютерных систем и сетей путем симуляции атаки со стороны злоумышленника. Цель пентеста — выявление уязвимостей и их последующее устранение для повышения общего уровня защищенности инфраструктуры предприятия. В ходе проведения пентеста используется комплекс подходов, стратегий, инструментов и моделей, используемых потенциальными нарушителями
Как это работает
Черный ящик
Испытатели безопасности не обладают информацией о внутренней структуре компании и опираются на внешние данные для проведения атак
Белый ящик
Пентестеры обладают полным набором сведений о системе, включая исходный код, структуру и документацию
Серый ящик
Синтез черного и белого подходов
Методологии и стратегии
- Cетевые устройства (маршрутизаторы, коммутаторы, фаерволы, беспроводные точки доступа)
- Серверы (Веб-серверы, почтовые серверы, серверы баз данных, файловые серверы)
- Веб-приложения (сайты, веб-службы, API, клиентские приложения)
- Клиентские системы (рабочие станции, ноутбуки, мобильные устройства)
Время
Срок исполнения — 2-3 недели. Наши тестировщики выводят результаты в письменных отчетах и предоставляют вашей команде рекомендации, необходимые для эффективного устранения любых обнаруженных проблем
Команда
Наши специалисты имеют опыт поддержки сетей, систем и хостов. Они используют эти знания, чтобы не просто «взломать» цель, а сосредоточиться на критических проблемах в защите и предоставить действенные рекомендации по их устранению.
Преимущества
Высокая доступность
Точки присутствия во всех ключевых ЦОД России
Надежные апстримы
Апстримы (upstreams — реальные IP-адреса, выделяемы сервисам) для системы защиты предоставляют крупнейшие операторы связи с поддержкой технологии FlowSpec
Оптимальная пропускная способность
Стыки с апстримами на основных и резервных узлах очистки с пропускной способностью 400 Гбит/с и выше
40+
Быстрый старт в 40+ дата-центрах московского региона
2500+
Инфраструктура CyberFlow обладает технической возможностью подавления атак ёмкостью 2500+ Гбит/сек
CyberFlow успешен даже в случаях сложных распределенных кибератак — когда большинство популярных решений малоэффективны
Без передачи ключей шифрования
Не требует дополнительных издержек для внедрения