Jak wybrać ochronę DDoS?

bezpieczeństwo
DDoS
Krzysztof Surgut
15.05.2015 Krzysztof Surgut

Atak DDoS spędził sen z oczu niejednego informatyka w firmach. Praktycznie niewiele jest sposobów ochrony przed atakami wolumetrycznymi. Stosowanie rozwiązań w postaci firewall’i czy UTM na niewiele się zdaje, gdy wielkość ruchu internetowego zaczyna być większa niż wydajność łącza internetowego. To nie koniec dylematów. Ilość różnych rodzajów i odmian ataków DoS i DDoS wciąż rośnie, a nie każdy z tych ataków objawia się wysyceniem łącza internetowego.

Jednak większość ataków DDoS to ataki wolumetryczne, których celem jest wysycenie technicznych możliwości łącza internetowego. Przykładowo, jeżeli serwery firmy podłączone są do Internetu łączem o możliwości technicznej przesyłu danych na maksymalnym poziomie 20 Mb/s, to nie uda nam się uzyskać większej wydajności takiego łącza bez pomocy operatora. Tym samym, gdy hakerzy uruchomią aplikacje generujące sztuczny ruch pakietów IP – większy od możliwości technicznych łącza – wówczas realny użytkownik/pracownik nie będzie mógł uzyskać połączenia z serwerem firmy. A wszystko dlatego, że pakiety IP nie będą mogły dotrzeć przez wysycone łącze internetowe do serwerów firmowych. W przypadku takiego ataku rozwiązania są dwa:

 

1. Zwiększyć możliwości techniczne łącza internetowego


Pozostaje tylko pytanie: Czy zwiększenie łącza o kolejne 20Mb/s rozwiąże problem? Raczej mało prawdopodobne. Z raportu Radware (firmy która jest liderem w zakresie ochrony przed atakami DDoS), z danych za 2014 r., wynika że:

  • 39% to ataki wielkości mniejszej niż 10Mb/s,
  • 32% to ataki wielkości mniejszej niż 1Gb/s,
  • 16% to ataki wielkości mniejszej niż 10Gb/s,
  • pozostałe 13% to ataki większe niż 10Gb/s.

To oznacza, że 61% wszystkich ataków DDoS, statystycznie wysyci łącza internetowe takiej firmy, nawet gdy podwoimy pasmo i zwiększymy jego możliwości do 40Mb/s. A to nie koniec złych wiadomości. W tym samym raporcie Radware (dane za 2014 r.) pokazano jak wygląda kwestia czasu trwania ataku DDoS.

Z roku na rok czasy trwania ataków wydłużają się. A to oznacza, że strategia “na przeczekanie” może mieć niemiłe konsekwencje. Coraz mniej jest krótkich ataków DDoS, a w dodatku 2014r. znacząco wzrosła liczba ataków “ciągłych”. To zła informacja dla serwisów internetowych wrażliwych na wysycenie łącza czy wysycenie mocy obliczeniowej serwerów.

Powyższe dane nie pozostawiają wątpliwości wszelkim serwisom e-commerce czy sklepom internetowym. W ich przypadku “przestoje” mają realne i policzalne konsekwencje finansowe. To samo dotyczy firm, których działalność mocno wspierana jest aplikacjami internetowymi. Każda godzina braku dostępu do platform firmowych znacząco obniża wydajność pracy i zwiększa frustrację pracowników.

Co zatem robić?

Poprzednia metoda ta jest mało skuteczna i raczej trudno taką usługę zamówić u operatora telekomunikacyjnego czy ISP.

Każda z firm oferująca łącze internetowe zainteresowana jest sprzedażą jak największej ilości pasma i to w dodatku najlepiej na umowę na czas określony, np. 12 miesięcy. Poza tym, o ile zwiększyć pasmo? No i czy warto płacić wyższe rachunki za łącze internetowe, skoro nie ma pewności, że kolejny atak DDoS także takie łącze internetowe nam zablokuje? Jest inne rozwiązanie problemu.

 

2. Skorzystać z usług mitigacji ataku DDoS


Tutaj pojawia się pytanie: W jaki sposób ocenić oferowane na rynku usługi ochrony przed atakami DDoS? Patrząc na statystyki opisujące ataki DDoS dość łatwo można określić parametr bazowy, który jest bardzo istotny przy wyborze firmy świadczącej usługi mitigacji – to możliwości systemu mitigacyjnego, tzw. pojemność.

KRYTERIUM #1  Pojemność systemu

Pojemność systemu mitigacyjnego to kluczowy parametr definiujący możliwości “tłumienia” ataków DDoS, których celem jest wyczerpanie zasobów (czy to pamięci, pasma lub mocy obliczeniowej procesora).Parametr pojemności definiuje wielkość maksymalnego ataku wolumetrycznego, przed jakim jest w stanie ochronić firma świadcząca usługę mitigacji.

Przykładowo, jeżeli systemy analizująco-obronne są w stanie przeanalizować ruch pakietów IP na poziomie 10Gb/s to pojawienie się ataku większego niż 10Gb/s wyczerpie możliwości ochrony takiej firmy.Jeżeli jeszcze założy się, że tego samego systemu używa się do ochrony więcej niż tylko jednej firmy, to sprawność i wydajność takiego systemu staje się mocno ograniczona.

To nie jedyny parametr, który pozwala na rozróżnienie jakości usług firmy świadczącej usługę ochrony przed atakiem DDoS. Z uwagi na to, że pojemność systemu to bardzo kosztowna część usługi, każda firma broniąca przed atakami DDoS bardzo racjonalnie musi gospodarować tym zasobem. Dlatego warto zwrócić uwagę w ofercie na …

KRYTERIUM#2  Liczba ataków

Wiele ofert gwarantuje w cenie ochronę przed 1 atakiem w miesiącu. Tutaj należy zadać pytanie usługodawcy:

A co w przypadku, gdy atak będzie większy, lub będzie trwał dłużej, lub gdy ataków będzie więcej w miesiącu niż wskazane w ofercie?

Niektóre z firm bardzo jednoznacznie wskazują, że opłata dotyczy jednego ataku, a każdy następy rozliczany jest według odrębnego cennika.

 

KRYTERIUM#3 Wielkość ataku DDoS


Bardzo często firma chroniąca przed atakami DDoS definiuje wielkość ataku, jaki odeprą w danej opłacie za ochronę. Najczęściej spotykaną wartości jest poziom  1Gb/s.

Co to oznacza w praktyce?

System ochronny przejmie ruch pakietów IP, w którym znajdują się również pakiety generowane sztucznie w celu wywołania efektu natłoku na atakowanym łączu.

A co się dzieje z danymi, kiedy wielkość ruchu pakietów IP jest większa niż 1Gb/s?

Tutaj odpowiedź jest zawsze taka sama: nie są analizowane i od razu kierowane są “do masy”, czyli nigdy nie docierają do chronionego systemu komputerowego.

Jakie są tego konsekwencje?

Wyobraźmy sobie łącze 20Mb/s, na które skierowany został atak 2Gb/s, a jednocześnie firma ma aktywną usługę ochrony dla analizy ruchu pakietów IP nie większej niż 1Gb/s.

Jakie są tego skutki?

Gdyby rozkład pakietów od realnych klientów/pracowników był równomierny i na każdy 1 pakiet rzeczywistego ruchu przypada 100 pakietów ruchu sztucznego (związanego z atakiem). To po analizie takiego strumienia 2Gb/s, w rzeczywistości do firmowych serwerów dotarłaby jedynie połowa tych pakietów, które powinny dotrzeć. Druga połowa zostałaby odrzucona przez system ochrony, jako niepodlegający analizie.

Co istotne, jeżeli co drugi pakiet IP zostanie odrzucony przez system ochronny przed atakami DDoS, to automatycznie zadziałają mechanizmy potwierdzające dotarcie poszczególnych ramek warstw wyższych protokołu TCP/IP i nastąpi ponowne nadanie tych samych informacji. W ten sposób naturalnie zostanie zwiększony ruch pakietów IP w kierunku serwerów firmowych, co spowoduje lekkie zwiększenie strumienia pakietów IP poddawanych analizie – powstanie w ten sposób taki rodzaj małego ataku wtórnego DoS. W rzeczywistości rozkład pakietów od realnych klientów/pracowników i pakietów sztucznie wyemitowanych przez hakerów nie rozkładają się równomiernie, przez co efekt ograniczenia pasma ataku jeszcze bardziej może skomplikować poprawne działanie aplikacji internetowych firmy.

Może się okazać, że większość ruchu realnego od klientów/pracowników znajdować się będzie w tej drugiej, nieanalizowanej części strumienia IP. Wtedy ochrona przed atakiem DDoS przypomina efekt “wylania dziecka z kąpielą”. Nie o taki efekt ochrony chodzi każdemu, kto chciałby być odpornym na tego typu działania hakerskie.

 

KRYTERIUM#4 Maksymalny czas ataku


To dość istotny parametr dla …. usługodawcy. Jeżeli mamy system obronny o ograniczonych możliwościach czy wydajności, to bardzo istotne jest “uwspólnienie” takiego zasobu i świadczenie w tym samym czasie usługi dla więcej niż jednego klienta. W rzeczywistości, czasami drobnym maczkiem, dopisana jest definicja odpieranego ataku, w której jest informacją, że maksymalny czas ataku nie będzie dłuższy niż np.72h.

72 godziny to 3 doby. Wydawać się może, że to bardzo dużo czasu. Warto jednak przyglądnąć się wykresowi z artykułu „Jak wybrać ochronę DDoS? cz.1„. Znajduje się tam wykres pokazujący tendencje do wydłużania się czasów ataków DDoS. Z tego prostego zestawienia firmy Radware wynika, że ponad 30% ataków DDoS trwa zdecydowanie dłużej niż 3 doby. Trwa nawet dłużej niż tydzień.

Co nam po usłudze, kiedy broniąca nas firma powie:

“Przepraszamy, ale kontrakt przewidywał odpieranie ataku jedynie przez 3 dni!”.

To tak, jakby w średniowieczu, do obrony zamku przyjechała drużyna rycerzy i po trzech dniach odpierania naporu wroga powiedziała, że teraz to musi odpocząć i dopiero w następnym miesiącu będzie znów gotowa na 3-dniowy bój. Ta średniowieczna analogia wymusza kolejne kryterium oceny oferty ochrony przed atakami DDoS.

 

KRYTERIUM#5 Niezawodność


Dobre systemy wykrywające cyberataki to bardzo wyrafinowane technologicznie systemy informatyczne, które wykorzystują najbardziej zaawansowane systemy analizy matematycznej, a także mechanizmy sztucznej inteligencji. Każda nowatorska technologia ma swoją cenę i to najczęściej dość wysoką. Cena systemu do analizy ruchu pakietów IP wraz z logiką wykrywania ataków zmusza firmy świadczące usługi ochrony do szukania kompromisów. Jeden z kompromisów dotyczy odporności na awarie, czyli niezawodności działania systemu ochrony antiDDoS.

Bardzo wiele firm świadczy usługę na pojedynczym systemie (serwerach), którego awaria sprawia że klienci są bezbronni. Nie ma systemów informatycznych, które działają zawsze i wszędzie. Co jakiś czas zdarzyć się może sytuacja, która zatrzyma działanie każdego programu komputerowego. Systemy do ochrony przed atakami DDoS nie są tutaj żadnym wyjątkiem. A to oznacza, że przynajmniej raz w roku może zaistnieć sytuacja, gdy system ochrony przestanie spełniać swoją funkcję.

Czy firma świadcząca usługę ochrony jest przygotowana na taki scenariusz?

Zabezpieczenie się przed taką sytuacją jest proste, choć kosztowne. Wystarczy zdublować system ochrony oraz posiadać dedykowane narzędzie, które będzie monitorować poprawność działania systemu podstawowego, a w przypadku awarii przekieruje ruch do analizy do systemu zapasowego (najlepiej automatycznie!). Scenariusz wydaje się być bardzo prosty, jednak z uwagi na wielkości ruchu pakietów IP liczony w Gigabit/s, cały proces wymaga dużo bardziej wyrafionwanych systemów – tak zwanych balanserów. Balansery powinny automatycznie przekierować strumień pakietów IP do systemu zapasowego.

Najbardziej niezawodne systemy posiadają także zdublowane systemy balanserów, aby poradzić sobie w przypadku wystąpienia awarii również tego elementu systemu ochrony przed cyberatakami. W przypadku innych metod ochrony zawsze należy dowiadywać się o scenariusze działania na wypadek awarii systemu ochronnego danej firmy mitigującej ataki DDoS.

 

KRYTERIUM#5 Odporność na ataki DDoS


Istnieje szereg systemów antiDDoS, które nie są odporne na różnego typu ataki hakerskie skierowane na nie same. Tym samym stają się same ofiarą takich ataków – dotyczy to zwłaszcza “domorosłych” rozwiązań. One nie mają wdrożeń w różnych miejscach na świecie i pojawiły się stosunkowo niedawno. Przypomina to formację wojskową, jaką jest artyleria. Idealna do walki i wspierania wojska, jednak sama zaatakowana bezpośrednio jest praktycznie bezbronna.

Jaka architektura?

Dlatego warto dowiedzieć się czy system ochronny przed cyberatakami posiada architekturę, która daje gwarancję działania nie tylko w przypadku awarii sprzętu czy software, ale warto zapytać jakie posiada mechanizmy ochrony przed atakiem na sam system ochrony DDoS. A co ważniejsze, jakie ma referencje, jakie firmy czy instytucje chroni i jak długo jest na rynku. Paradoksalnie, niejednokrotnie zdarzyło się, że hakerzy przejęli na chwilę kontrolę nad systemem obronnym – tylko dlatego, że zaatakowali ten system, a nie łącza z systemami informatycznymi, które system chronił.

Brakiem takiej odporności na tak skierowane ataki, najczęściej padają nowopowstałe systemy ochronne lub systemy informatyczne sklecone z różnych elementów, które pierwotnie służyły do czegoś całkiem innego. To tak zwany syndrom wieku niemowlęcego, gdzie twórcy skupiają się na wytworzeniu mechanizmów ochrony przed atakami, zapominając, że ich własnych system także wymaga ochrony przed różnego typu innymi atakami (np. z wewnątrz sieci). Skoro zaczynamy wnikać coraz bardziej w filozofię działania systemów ochronnych to czas przyglądnąć się innemu ważnemu parametrowi…

 

KRYTERIUM#6 Jednoczesność


Jednoczesność, czyli zdolność systemu ochronnego do analizy i ochrony przed różnego typu atakami w tym samym czasie. To kolejny ważny wskaźnik dojrzałości platformy chroniącej przed atakami DDoS.

Nie wszystkie systemy potrafią analizować ruch pakietów IP i w tym samym czasie dokonywać jednoczesnej analizy, w celu wykrycia różnego typu ataków. Te najlepsze są w stanie wykrywać ataki, analizując ponad 120 wektorów potencjalnych cyberataków i wykrywać każdy z nich w tym samym momencie. To kryterium jest o tyle istotne, że działania hakerów są wielowymiarowe. Nie stosują wyłącznie jednego, prostego mechanizmu ataku.

Bardzo często cybeprzestępcy stosują jednocześnie wiele różnych metod włamania się do sieci komputerowych. Szukają słabych punktów, otwartych portów, backdoor’ów, standardowych haseł oraz innych słabych stron. Nie każdy z systemów ochrony jest tak wszechstronny, aby przeanalizować wszystko, skojarzyć i wyłowić ze strumienia pakietów IP te sesje i działania, które są rzeczywistym atakiem.

Sposób działania hakerów bardzo przypomina działania sił zbrojnych

Współczesne armie wyposażone są w różnego typu formacje, które potrafią działać w różnych warunkach i wykorzystywać różne rodzaje taktyk. Podobnie jest w przypadku cyberataków. Różnego rodzaju ataki mogą być prowadzone jednocześnie. Bardzo wiele firewall’i nie jest odporna na wielowymiarowe ataki cybernetyczne, ponieważ ich moc obliczeniowa jest ograniczona. Tym samym zajęte wyławianiem jednego typu ataku, praktycznie nie są w stanie przeanalizować pozostałych danych, aby sprawdzić, czy nie jest w tym samym czasie prowadzony atak na całkiem innym protokole, warstwie czy porcie.

Warto nadmienić w tym miejscu o ograniczeniach czysto ludzkich. Na rynku jest sporo firm, które świadczą usługi monitorowania sieci oraz odpierania ataków cybernetycznych. Abstrahując od umiejętności oficerów bezpieczeństwa, dla każdej z tych firm istotne jest pytanie:

Ile jednoczesnych, różnego typu ataków jest w stanie odeprzeć taki dyżurujący zespół?

Jeżeli nowoczesne systemy ochroną są w stanie monitorować 120 wektorów ataków cybernetycznych, to ile w tym samym czasie może zidentyfikować i odeprzeć pojedynczy oficer bezpieczeństwa w takiej firmie? Raczej niewiele, w porównaniu do wyrafinowanych systemów analitycznych, wspieranych sztuczną inteligencją, zaawansowanym aparatem matematycznym czy innymi technikami behawiorystycznymi.

Warto zastanowić się, czy usługa bazująca wyłącznie na umiejętnościach ludzkich, to nie jest za mało w zakresie zapewnienia odporności na ataki cybernetyczne. W tym miejscu pojawia się szeroka rzeka zagadnień, związanych z analizą strumienia pakietów IP.

 

KRYTERIUM #7 Czas wykrycia ataku


Skuteczność ochrony przed skutkami ataku cybernetycznego wprost zależy od czasu potrzebnego na jego wykrycie. Im dłuższy jest czas wykrycia ataku, tym większe szkody może dokonać haker czy automaty hakerskie. Tylko zautomatyzowane, inteligentne i wielowymiarowe systemy ochrony są w stanie zidentyfikować konkrety typ ataku, bądź też wykryć anomalię mogącą oznaczać próbę ataku nowego typu.

Dlatego pomińmy na razie kwestię oficerów bezpieczeństwa i ich doświadczenia w zakresie wyławiania prób ataku, a skupmy się na metodach analizy strumieni IP. Bardzo wiele systemów analizujących pakiety IP bazuje na próbkach netflow (standardów tej techniki jest wiele i nie będę się nią teraz zajmował). Warto też dowiedzieć się, jak długi czas jest potrzebny, w którym system ochrony przed cyberatakami dokona analizy i wykrycia danego typu ataku. Niektóre z systemów operują wyłącznie na próbkach netflow wysyłanych przez urządzenia sieciowe. Analiza takich próbek statystycznych, zamiast wszystkich pakietów ruchu IP, bardzo mocno wydłuża czas wykrycia ataku (zwłaszcza ataków DDoS, które nie wysycają możliwości technicznych łącza internetowego).

KRYTERIUM #8 Sposób analizy ruchu

Wbrew pozorom, to chyba jeden z najbardziej istotnych parametrów definiujących jakość działania systemu ochrony przed cyberatakami. O ile każda z firm wymienia długą listę różnych rodzajów ataków, to bardzo ważne jest – w jaki sposób następuje wykrycie takiego ataku.Aby uruchomić procedurę ochrony trzeba najpierw wiedzieć, … że jest się atakowanym. Ogromna większość systemów analizujących ruch pakietów IP bazuje na zbieraniu i obróbce danych pochodzących z kolektorów NetFlow.

NetFlow – protokół stworzony przez Cisco. Pozwalaja on na gromadzenie statystyk związanych z ruchem pakietów IP. Obecnie występuje w wielu wersjach i rodzajach, stworzonych przez poszczególne firmy, produkujące urządzenia sieciowe (sFlow, IPFIX, jFlow).

Analizując dane dostarczone przez NetFlow, administrator sieci może ustalić takie rzeczy, jak źródła i przeznaczenia ruchu, dokładną datę nadania/odebrania pakietu danych, klasy usług oraz przyczyn zatorów. Ilość gromadzonych informacji zależy od wersji protokołu.

Czym różni się analiza NetFlow od kompletnej analizy strumieni pakietów IP?

Pełna analiza strumienia pakietów IP polega na przeglądnięciu zarówno danych z ramki danego pakietu jak również pola danych pakietu. Informacja zawarta w paczce NetFlow przekazuje dużo mniej informacji. Przykładowo wersja NetFlow v.5 posiada informacje o:

  • Kierunek pakietu (wysyłka/odbiór)
  • Źródłowym adresie IP
  • Docelowym adresie IP
  • Wersji protokołu IP
  • Numer portu źródlowego dla pakietów UDP czy TCP, czy innych protokołów
  • Docelowy numer portu dla pakietów UDP czy TCP, rodzaj i kod dla ICMP, czy innych protokołów
  • Rodzaju usługi

NetFlow v.9 posiada zdecydowanie więcej informacji, np. liczniki wysłanych i odebranych danych, MAC adresy źródłowe i docelowe, oraz wiele innych.

NetFlow a analiza strumieni pakietów IP. Przykład z życia

Dla lepszego zrozumienia różnic pomiędzy NetFlow a analizą strumieni pakietów IP, podam przykład z życia. Przyjmijmy, że strumień pakietów IP to obszerny artykuł w gazecie. Analiza tekstu artykułu wymaga pewnych zasobów uwagi czytelnika, czasu i pełnego zrozumienia treści artykułu (co wymaga przeczytania całości tekstu). NetFlow to rodzaj streszczenia artykułu w gazecie. Streszczenie zawiera informacje o tym, z jakiej gazety jest to tekst, kiedy został opublikowany oraz kto go napisał. Sama treść artykułu z gazety uległa jednak pewnej degradacji. Streszczenie zajmuje dużo mniej tekstu niż cały artykuł, jednak tak mocne uproszczenie problematyki zawartej w artykule sprawia, że wiele detali zostało zatraconych.

Widać zatem, że już sama wersja protokołu NetFlow mocno ogranicza ilość danych, które mogą być analizowane, co w konsekwencji może prowadzić do braku możliwości wykrycia niektórych typów ataków DDoS. Na tym nie koniec ograniczeń.

Pomimo tego, że standardowy NetFlow został zaprojektowany do przetwarzania wszystkich pakietów IP przechodzących przez obserwowany interfejs, to w pewnych warunkach, np. dla łączy o dużej przepływności, jest to zbyt kosztowne. Dlatego też, w takich wypadkach, tylko jeden pakiet z n jest przetworzony, w którym n to szybkość próbkowania (w praktyce określona jest w konfiguracji źródła próbek NetFlow, np. routerze). A to oznacza, że przy wskaźniku próbkowania 1.000 tylko co tysięczny pakiet będzie reprezentowany przez próbkę protokołu NetFlow, a tym samym tylko taka mocno zdegradowania informacja będzie stanowić bazę do analizy i wykrywania ataków.

Jaka jest konsekwencja zamykania informacji zawartych w pakietach IP w próbki NetFlow?

Próbki NetFlow są rodzajem „esencji informacyjnej” reprezentującej istotne dane związane z ruchem pakietów IP, jednocześnie próbka NetFlow zajmuje zdecydowanie mniej miejsca niż pakiet, który ona opisuje.

Ogólnie można powiedzieć, że poświęcając „Szczegóły” uzyskujemy „Ogóły”, które zdecydowanie łatwiej przesyłać i analizować.

NetFlow to rodzaj streszczenia np. artykułu w gazecie. W zależności jak mocno uprościmy i skrócimy takie streszczenie, tak mocno zdegradujemy wydźwięk i treść artykułu w gazecie.

Można przyjąć, że zastosowanie protokołu NetFlow pozwala ograniczyć ilość analizowanych danych o ok. 500 razy. A przy zastosowaniu wskaźnika próbkowania większego niż 1 – oszczędność w ilości danych, które podlegają analizie, zaczyna rosnąć geometrycznie.

Jednak każda oszczędność ma swoje … koszty!

Pozbywając się pewnej ilości informacji, pobierając i analizując co któryś pakiet, zwiększamy znacząco bezwładność analizy ruchu pakietów IP. Tym samym wykrycie cyberataku zdecydowanie się wydłuża. Efekt takiego działania można przyrównać do wyrzucania ze streszczenia tekstu artykułu w gazecie poszczególnych liter w wyrazach. Im większy będzie wskaźnik próbkowania, tym więcej liter będziemy wyrzucać z tekstu. Co stanie się w przypadku, gdy zbyt dużo liter zostanie wyrzuconych?

Czytelnik będzie zdecydowanie dłużej czytał taki tekst i próbował zgadnąć brakujące litery, a tym samym odgadnąć treść streszczenia artykułu w gazecie. Im większy współczynnik próbkowania tym coraz dłużej będzie trwało „odkodowanie” zawartej w tekście informacji. Oczywiście, jeżeli współczynnik próbkowania będzie zbyt duży, czyli wyrzucimy z tekstu zbyt dużo liter, wówczas żaden czytelnik nie będzie w stanie odczytać zawartej w treści informacji, a tym samym nie dowie się o czym był artykuł w gazecie.

Więcej o próbkach protokołu NetFlow

Podobnie jest w przypadku próbek NetFlow. Próbki protokołu NetFlow są streszczeniem opisującym ruch pakietów IP. Jeżeli będziemy przesyłali do analizy co którąś próbkę NetFlow (zwiększymy współczynnik próbkowania) to zaczniemy degradować treść streszczenia opisującego ruch pakietów IP.

Im większy jest współczynnik próbkowania, tym bardziej zaczyna wydłużać się czas wykrycia ataku. Przy zbyt dużym współczynniku próbkowania okaże się, że system analityczny będzie miał zbyt mało danych, aby wychwycić pewne reguły i zakwalifikować dany strumień pakietów IP jako cyberatak.

Dla porównania system Radware (używany przez DataSpace), który analizuje ruch pakietów IP (zamiast próbek NetFlow), jest w stanie wykryć cyberatak w czasie nie dłuższym niż 18 sekund. Ten sam cyberatak analizowany przy zastosowaniu danych z protokołu NetFlow i średnim wskaźniku próbkowania wykryty zostanie po parudziesięciu minutach, a przy zwiększeniu wskaźnika próbkowania może się okazać, że w ogóle nie zostanie taki atak wykryty.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
General
Jak wybrać ochronę DDoS?
General
Atak DoS ma ponad 40 lat! Pierwszym był...
   /   General   /   Jak wybrać ochronę DDoS?