14.03.2016

DDoS Mitigation Arbor Peakflow SP and Juniper MX [ flowspec / blackhole ]

Добрый день !

Защита од DDoS атак, методом FlowSpec. Настройка связки Arbor Peakflow SP CP (Collector Platform) и маршрутизатора Juniper MX 480, без использования TMS.
Хотел бы немного поделится информацией по поводу тестов и проведенных исследований и общения с крутыми спецами из Arbor Networks, в рамках данной связки.

Немного олдовой картинки :)


Немного подумав, можно преподнести эту связку следующим образом:

Если заглянуть последний WISR (Worldwide Infrastructure Security Report), то можно обнаружить интересную статистику.

А именно:
  • 65% всех атак - атаки на переполнение емкости каналов связи. Это различные Amplification - DNS, NTP, SNMP, и т.п.
  • остальные 35% приблизительно поровну State-exhaustion (TCP Flood_ы) и Application-layer (HTTP flood_ы, LOIC, HOIC, Slowloris, и т.п.) атаки
  • при этом 56% опрошенных нами клиентов видят многовекторные атаки, т.е. практически одномоментный в профиле трафика могут присутствовать все три или любые из двух типов атак. Эта статистика из года в год приблизительно одинакова.
Дело в том, что: