Защита от сетевых атак по протоколу BGP FlowSpec

Компания РАСКОМ предоставляет своим клиентам комплекс инструментов по защите сетей от различных атак и их последствий. Защита осуществляется за счет использования расширения протокола BGP FlowSpec и позволяет клиенту существенно снизить вредоносное действие атаки на свою сеть.

В дополнение к этому клиенту предоставляется комплекс услуг по блокировке нежелательного трафика на сети РАСКОМ для предотвращения распространения его на сеть Клиента:

блэкхолинг (BGP-blackhole community);
настройка фильтрации трафика на интерфейсе абонента по запросу;
личный кабинет для самостоятельного управления правилами фильтрации FlowSpec;
подключение к BGP FlowSpec контроллеру для фильтрации в автоматическом режиме;
статистика работы правил FlowSpec.

Техническая реализация

В качестве дополнительной меры защиты от атак на сетях РАСКОМ внедрен дополнительный протокол BGP FlowSpec (RFC5575). Он позволяет отсечь трафик тех протоколов и/или типов пакетов, которые не используются в сети клиента и которые используются в атаке DDoS.

Фильтрация трафика атаки осуществляется на уровне канальной и аппаратной мощности магистральной сети РАСКОМ на всех наших магистральных маршрутизаторах. Указанный трафик в правилах, пересылаемых по BGP FlowSpec, либо уничтожается, либо ограничивается по полосе (rate-limit). Остальной трафик (не указанный в правилах BGP FlowSpec) проходит без изменений.

Услуга BGP FlowSpec доступна во всех точках присутствия IP сети РАСКОМ:

Услуга доступна в следующих странах:

Российская Федерация

Чехия

Польша

Латвия

Литва

Беларусь

Швеция

Финляндия

Дания

Германия

Франция

Великобритания

Нидерланды

США

Китай

Личный кабинет клиента

Для выставления правил фильтрации клиенту предоставляется WEB-интерфейс в своем личном кабинете тем клиентам, у которых нет возможности отправлять правила по протоколу BGP FlowSpec из своей сети, а так же если их сеть не использует BGP маршрутизацию.

В кабинете также доступна статистика использования правил фильтрации, по которой можно оценить эффективность мероприятий по защите.

BGP blackhole

В качестве дополнительной меры защиты от сетевых атак используется также и стандартный механизм - BGP blackhole community (блэкхолинг). Механизм BGP-Blackhole (Destination-based RTBH) реализован c помощью bgp-community для префиксов /32. При обнаружении вредного трафика (атаки) на определенный хост (IP-адрес) в сети клиента возможно проанонсировать по BGP в РАСКОМ префикс этого хоста (/32) со специальным blackhole-community 20764:6666. Тогда трафик на указанный хост будет уничтожен на границе сети РАСКОМ всеми магистральными роутерами.

Техническая Поддержка услуги и установка ACL

Техподдержка осуществляется по письму в ЦУС РАСКОМ на noc@rascom.ru (телефон +7(812)702-25-00). Возможна установка фильтра (ACL) по src/dst ip/proto/port на интерфейс подключения.

Ссылка на презентацию услуги BGP FlowSpec - защита от сетевых атак

Для обсуждения технических и экономических условий предоставления услуги необходимо обратиться в Службу продаж РАСКОМ по телефонам +7(812)303-91-70 или +7(495)748-11-00.

Для письменного запроса условий предоставления услуги нужно воспользоваться формой обратной связи.