Разработчик программного обеспечения для контроля и анализа трафика VAS Experts показал, как автоматизация выявления и реагирования на ботнет-атаки позволяет сократить время обработки инцидентов с нескольких часов до нескольких минут. На примере одного из операторов связи компания продемонстрировала механизм обнаружения аномального UDP-трафика и автоматического применения защитных мер с помощью платформы СКАТ AntiDDoS.  

Система QoE Analytics (модуль анализа качества услуг интернет-провайдера) в составе решения СКАТ AntiDDoS зафиксировала резкий рост UDP-сессий на внутреннем IP-адресе одного из абонентов. Автоматический анализ трафика выявил признаки UDP Flood-атаки: большое количество коротких UDP-сессий, минимальное число пакетов в каждом потоке и концентрацию нагрузки на одном целевом порту. Это позволило определить, что источником нагрузки является ботнет из множества зараженных устройств.

После выявления аномалии платформа автоматически сформировала список IP-адресов с подозрительной активностью и применила правила фильтрации на узлах DPI (глубокой инспекции пакетов) в сети. В результате оператор смог ограничить вредоносный UDP-трафик до того, как нагрузка начала влиять на других абонентов и производительность CG-NAT-инфраструктуры. Ограничения распространялись только на аномальный трафик и автоматически снимались после нормализации сетевой активности.

«Одной из проблем для операторов связи остается заражение абонентских устройств —  домашних роутеров, IP-камер и другого оборудования с устаревшими прошивками. После заражения они становятся частью ботнетов и начинают генерировать большое количество коротких UDP-сессий. В условиях CG-NAT это быстро приводит к исчерпанию NAT-портов и росту нагрузки на сеть, поскольку один публичный IP-адрес используется сразу несколькими абонентами. В итоге страдают и источники такого трафика, и другие пользователи, и каналы самого оператора. Поэтому операторам важно иметь инструменты, которые могут быстро выявлять такие аномалии и ограничивать их влияние на сеть», — рассказал Артем Терещенко, исполнительный директор VAS Experts.

Справочно:

VAS Experts — разработчик программного обеспечения для контроля и анализа трафика. Компания присутствует на IT-рынке с 2013 года. За время ее существования было произведено более 2000 инсталляций в России и за рубежом. Продукцией VAS Experts пользуются интернет-провайдеры, операторы связи, поставщики IPTV и другие компании в области телекоммуникаций. Многофункциональность решений позволяет применять его в корпоративном сегменте: для организации публичного Wi-Fi, оптимизации и реорганизации сетей, контроля сетей на объектах.