Защита от DDoS: настройка сетевого оборудования для безопасности

Для кого эта статья:

• Сетевые инженеры
• Специалисты по информационной безопасности

• Руководители IT-отделов предприятий

  Пока одни компании подсчитывают убытки от очередной DDoS-атаки, другие работают в штатном режиме, сохраняя бесперебойный доступ к своим сервисам даже под шквалом вредоносного трафика. Разница между ними — правильно настроенные сетевые устройства. В 2023 году средний ущерб от одной успешной DDoS-атаки составил $139 000, а максимальная мощность атак достигла рекордных 3,4 Тбит/с. Но при грамотной конфигурации вашего сетевого оборудования даже такой поток можно рассеять как морской бриз. Готовы превратить свою инфраструктуру в неприступную крепость? 🛡️

Хотите обеспечить не только защиту сетевого оборудования, но и безопасность всего программного обеспечения вашей компании? Курс тестировщика ПО от Skypro научит вас выявлять уязвимости еще на этапе разработки, проводить нагрузочное тестирование и обнаруживать бреши в безопасности, которыми могут воспользоваться злоумышленники. Это идеальное дополнение к защите сетевого периметра — двойной щит для вашего бизнеса!

Современные DDoS атаки: что должен знать сетевой инженер

DDoS-атаки (Distributed Denial of Service) превратились из простого инструмента интернет-хулиганов в изощренное оружие кибервойны. Сегодня атаки становятся многовекторными, комбинируя различные методики для обхода традиционных средств защиты. Вместо грубой силы атакующие всё чаще используют медленные, "незаметные" атаки на уровне приложений (Layer 7), которые трудно отличить от легитимного трафика. 🕵️

Основные типы современных DDoS-атак, которые должен распознавать каждый сетевой инженер:

• Объемные атаки (Volumetric) — направлены на исчерпание пропускной способности канала. Включают UDP-флуд, ICMP-флуд, амплификационные атаки (DNS, NTP, SSDP).
• Протокольные атаки (Protocol) — нацелены на исчерпание ресурсов сетевых устройств и брандмауэров. Примеры: SYN-флуд, фрагментированные пакеты, Ping of Death.
• Прикладные атаки (Application) — используют уязвимости на уровне приложений. Самые коварные: HTTP-флуд, Slowloris, RUDY (R-U-Dead-Yet).

Важно понимать, что мощность DDoS-атак растет экспоненциально. Если в 2020 году впечатляющей считалась атака на 100 Гбит/с, то сегодня мы регулярно фиксируем атаки мощностью свыше 1 Тбит/с.

Александр Соколов, CISO финтех-компании

Летом 2022 года наш платежный сервис подвергся многовекторной DDoS-атаке, которая начиналась как классический SYN-флуд, но быстро эволюционировала в сложную комбинацию с HTTP-флудом. Первые 10 минут наши стандартные средства защиты справлялись, но затем система мониторинга показала аномальную активность на уровне приложений.

Мы выжили только благодаря заранее настроенной глубокой фильтрации пакетов на граничных маршрутизаторах и динамическим правилам на WAF. Критичным оказалось наличие резервных каналов с автоматическим переключением — атакующие перегрузили основной канал до 95% емкости, но система BGP-маршрутизации перенаправила трафик через резервные линии.

После этого случая мы внедрили геораспределенную инфраструктуру с балансировщиками нагрузки в разных ЦОДах и настроили динамические черные списки на основе анализа поведения. Такой подход позволил нам отражать последующие атаки мощностью до 800 Гбит/с без простоев.

Понимание природы современных атак — это только первый шаг. Далее мы рассмотрим конкретные настройки различных сетевых устройств, которые позволят вам создать эффективную многоуровневую защиту.

Базовая настройка брандмауэра в сети 192.168.1.0

Брандмауэр — первая линия обороны от DDoS-атак. Правильная конфигурация файрвола в локальной сети 192.168.1.0 позволит отсечь значительную часть вредоносного трафика еще на подступах к вашим серверам. Рассмотрим пошаговую настройку с конкретными примерами. 🔥

Для начала определим основные принципы настройки брандмауэра:

• Принцип наименьших привилегий — блокируйте весь трафик по умолчанию, разрешая только необходимые соединения;
• Глубокая инспекция пакетов — анализируйте не только заголовки, но и содержимое пакетов;
• Rate limiting — ограничивайте количество соединений с одного IP-адреса;
• Stateful inspection — отслеживайте состояние соединений для выявления аномалий.

Рассмотрим базовую настройку брандмауэра на примере Linux-сервера с iptables в сети 192.168.1.0:

1. Установка политики по умолчанию — DROP для входящих пакетов:

   iptables -P INPUT DROP
   
   

2. Разрешение установленных соединений:

   iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
   

3. Разрешение локального трафика:

   iptables -A INPUT -i lo -j ACCEPT
   
   

4. Защита от SYN-флуда для web-сервера (ограничение новых соединений):

   iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
   
   

5. Блокировка подозрительных ICMP-пакетов:

   iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT
   
   

6. Защита от сканирования портов:

   iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
   
   

7. Настройка защиты от фрагментированных пакетов:

   iptables -A INPUT -f -j DROP
   
   

8. Блокировка известных вредоносных IP-адресов (пример):

   iptables -A INPUT -s 123.45.67.89 -j DROP
   
   

Для корпоративных сетей рекомендуется использовать аппаратные решения, такие как Cisco ASA или Fortinet FortiGate. Пример базовой настройки Cisco ASA для защиты от DDoS:

access-list outside_in extended deny ip any any fragments
access-list outside_in extended permit tcp any host 192.168.1.100 eq 80
access-list outside_in extended permit tcp any host 192.168.1.100 eq 443

class-map DDoS-ATTACK
 match access-list outside_in

policy-map global_policy
 class DDoS-ATTACK
  police input 1000000 conform-action transmit exceed-action drop

service-policy global_policy global

Важно помнить, что для сети 192.168.1.0/24 также необходимо настроить защиту изнутри, поскольку зараженные устройства внутри периметра могут стать источниками атак:

iptables -A FORWARD -s 192.168.1.0/24 -p udp --dport 53 -m limit --limit 3/second -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p udp --dport 53 -j DROP

Этот набор правил ограничивает DNS-запросы из внутренней сети, предотвращая их использование в DNS-амплификационных атаках.

Игорь Петров, руководитель отдела ИБ

Помню случай, когда наш клиент, крупный интернет-магазин, жаловался на периодические сбои в работе. Анализ показал, что это была не классическая DDoS-атака, а боты, имитирующие поведение пользователей. Они медленно открывали соединения, проводили много времени на страницах и никогда не совершали покупок — классический пример Low and Slow атаки.

Мы внедрили многоуровневую защиту. На уровне брандмауэра настроили rate limiting по количеству одновременных соединений с одного IP (не более 15) и ограничили время жизни неактивных сессий до 300 секунд. Добавили правило, ограничивающее количество HTTP-запросов с одного IP до 100 в минуту.

Но ключевым элементом стала настройка WAF с поведенческим анализом. Мы создали профиль нормального пользователя на основе данных за месяц и настроили автоматическую блокировку адресов, чье поведение отклонялось от нормы. Например, если посетитель просматривал более 50 страниц без единого действия (добавление в корзину, клик по баннеру), он попадал в черный список на 4 часа.

Результат превзошел ожидания — нагрузка на серверы снизилась на 43%, а конверсия выросла, так как мы отсекли "мертвый" трафик.

Конфигурация маршрутизаторов для отражения DDoS атак

Маршрутизаторы — это критически важные компоненты вашей сетевой инфраструктуры, которые могут стать как уязвимой точкой, так и мощным инструментом защиты от DDoS-атак. Правильная конфигурация маршрутизаторов позволяет фильтровать вредоносный трафик непосредственно на границе сети, снижая нагрузку на внутренние системы. 🛰️

Основные механизмы защиты на уровне маршрутизаторов:

• ACL (Access Control Lists) — фильтрация трафика на основе IP-адресов, портов и протоколов;
• uRPF (Unicast Reverse Path Forwarding) — проверка источника пакетов для борьбы с IP-спуфингом;
• Rate limiting — ограничение скорости определенных типов трафика;
• BGP Flowspec — динамическая фильтрация на основе характеристик потока;
• Blackhole routing — перенаправление вредоносного трафика в "черную дыру".

Рассмотрим пример конфигурации маршрутизатора Cisco для защиты от распространенных типов DDoS-атак:

1. Настройка базовых ACL для фильтрации вредоносного трафика:

   ip access-list extended ANTI-DDOS
    deny ip any any fragments
    deny tcp any any eq 80 established fin
    deny tcp any any eq 80 established syn
    deny tcp any any eq 80 established rst
    deny tcp any any eq 80 established psh
    deny tcp any any eq 80 established ack
    deny tcp any any eq 80 established urg
    permit ip any any
   
   

   interface GigabitEthernet0/0
    ip access-group ANTI-DDOS in
   
   

2. Включение uRPF для предотвращения IP-спуфинга:

   interface GigabitEthernet0/0
    ip verify unicast source reachable-via rx
   
   

3. Настройка rate limiting для ICMP-трафика:

   ip access-list extended ICMP-FILTER
    permit icmp any any
   
   

   class-map match-all ICMP-TRAFFIC
    match access-group name ICMP-FILTER
   
   

   policy-map RATE-LIMIT
    class ICMP-TRAFFIC
     police 8000 1500 exceed-action drop
   
   

   interface GigabitEthernet0/0
    service-policy input RATE-LIMIT
   
   

4. Защита от TCP SYN-флуда с помощью TCP Intercept:

   ip tcp intercept list TCP-SYN-FILTER
   ip tcp intercept mode intercept
   ip tcp intercept watch-timeout 10
   
   ip access-list extended TCP-SYN-FILTER
    permit tcp any host 192.168.1.100 eq www
   
   

5. Настройка BGP Flowspec для динамического блокирования аномального трафика (для пограничных маршрутизаторов):

   router bgp 65000
    address-family ipv4 flowspec
     neighbor 10.0.0.2 activate
     neighbor 10.0.0.2 route-reflector-client
   
   

   Пример правила Flowspec для блокирования UDP-флуда:

   route-map FLOWSPEC-ACTIONS permit 10
    match ip address prefix-list CUSTOMER-PREFIXES
    set traffic-rate 0
   
   ip prefix-list CUSTOMER-PREFIXES permit 192.168.1.0/24
   
   

6. Настройка черных дыр (Blackhole Routing) для перенаправления атак большого объема:

   ip route 192.0.2.1 255.255.255.255 null0
   
   route-map BLACKHOLE permit 10
    match community 666:666
    set ip next-hop 192.0.2.1
   
   router bgp 65000
    address-family ipv4
     neighbor 10.0.0.2 route-map BLACKHOLE in
   
   

Для сети 192.168.1.0/24 особенно важно настроить исходящую фильтрацию, чтобы предотвратить участие ваших устройств в DDoS-атаках:

ip access-list extended OUTBOUND-FILTER
 deny udp 192.168.1.0 0.0.0.255 any eq 19
 deny udp 192.168.1.0 0.0.0.255 any eq 7
 deny udp 192.168.1.0 0.0.0.255 any eq 17
 permit ip 192.168.1.0 0.0.0.255 any

interface GigabitEthernet0/1
 ip access-group OUTBOUND-FILTER out

Помните, что конфигурация маршрутизаторов должна регулярно обновляться в соответствии с актуальными угрозами и изменениями в вашей сетевой инфраструктуре. Использование автоматизированных систем управления конфигурациями (Ansible, Puppet) позволяет оперативно вносить изменения во все устройства при обнаружении новых векторов атак.

Настройка балансировщиков нагрузки и защитных систем

Балансировщики нагрузки — не просто инструмент для распределения трафика между серверами. При правильной настройке они становятся мощным элементом защиты от DDoS-атак, способным абсорбировать значительные объемы вредоносного трафика. В сочетании со специализированными защитными системами они образуют надежный щит для вашей инфраструктуры. ⚖️

Рассмотрим основные стратегии настройки балансировщиков нагрузки:

• Распределение по географии — направление трафика на ближайшие к пользователю серверы с возможностью изоляции атаки;
• Проверки здоровья (Health Checks) — автоматическое исключение перегруженных серверов из пула;
• Анализ поведения пользователей — выявление аномальных паттернов запросов;
• Установка лимитов соединений — ограничение количества одновременных подключений с одного источника;
• Layer 7 фильтрация — анализ и блокировка вредоносных HTTP-запросов.

Пример настройки NGINX как балансировщика нагрузки с элементами защиты от DDoS:

http {
    # Ограничение количества соединений
    limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
    limit_conn conn_limit_per_ip 20;

    # Ограничение скорости запросов
    limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;

    # Ограничение размера тела запроса
    client_body_buffer_size 1k;
    client_header_buffer_size 1k;
    client_max_body_size 1k;
    large_client_header_buffers 2 1k;

    # Настройка таймаутов
    client_body_timeout 10;
    client_header_timeout 10;
    keepalive_timeout 5 5;
    send_timeout 10;

    # Настройка серверов
    upstream backend {
        server 192.168.1.101:80 max_fails=3 fail_timeout=30s;
        server 192.168.1.102:80 max_fails=3 fail_timeout=30s;
        server 192.168.1.103:80 max_fails=3 fail_timeout=30s backup;
    }
    server {
        listen 80;
        server_name example.com;

        location / {
            limit_req zone=req_limit_per_ip burst=10 nodelay;
            proxy_pass http://backend;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            # Проверка на наличие User-Agent
            if ($http_user_agent = "") {
                return 403;
            }

            # Блокировка определенных методов запросов
            if ($request_method !~ ^(GET|HEAD|POST)$) {
                return 444;
            }
        }
    }
}

Интеграция балансировщика с WAF (Web Application Firewall) значительно усиливает защиту. Пример настройки ModSecurity для NGINX:

# Включение ModSecurity
modsecurity on;
modsecurity_rules_file /etc/nginx/modsecurity/main.conf;

# В файле main.conf:
# Базовые правила
SecRuleEngine On
SecDefaultAction "phase:1,log,auditlog,deny,status:403"

# Защита от SQL-инъекций
SecRule REQUEST_COOKIES|REQUEST_COOKIES_NAMES|REQUEST_FILENAME|REQUEST_HEADERS|REQUEST_HEADERS_NAMES|REQUEST_BODY|REQUEST_LINE "(?i:(\b(select|update|insert|delete|drop|alter|create|rename|describe|union)\b))" \
    "id:1000,phase:2,deny,status:403,log,msg:'SQL Injection Attempt'"

# Защита от XSS
SecRule REQUEST_COOKIES|REQUEST_COOKIES_NAMES|REQUEST_HEADERS|REQUEST_HEADERS_NAMES|REQUEST_BODY|REQUEST_LINE "(?i:<script[^>]*>)" \
    "id:1001,phase:2,deny,status:403,log,msg:'XSS Attempt'"

# Защита от сканирования
SecRule REQUEST_HEADERS:User-Agent "(?i:(nikto|sqlmap|arachni|nessus|openvas|grendel-scan|hydra))" \
    "id:1002,phase:1,deny,status:403,log,msg:'Scanner Detected'"

Для крупных инфраструктур рекомендуется использовать специализированные решения для защиты от DDoS, такие как Cloudflare, Akamai или Imperva. Интеграция таких сервисов выполняется на уровне DNS, перенаправляя весь входящий трафик через "очищающие" центры.

Помимо настройки самих балансировщиков, важно правильно сконфигурировать инфраструктуру за ними:

• Geo-распределение — размещение серверов в разных географических локациях;
• Anycast — использование одного IP-адреса для нескольких точек присутствия;
• CDN — кэширование статического контента для снижения нагрузки на основную инфраструктуру;
• Auto-scaling — автоматическое масштабирование инфраструктуры при росте нагрузки.

В контексте сети 192.168.1.0/24 важно обеспечить защиту внутренних балансировщиков от атак, которые могут проникнуть через периметр. Рекомендуется настроить внутренние ACL и мониторинг аномальной активности:

# Пример правила iptables для защиты внутреннего балансировщика
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.10 -p tcp --dport 80 -m state --state NEW -m limit --limit 20/minute --limit-burst 100 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.10 -p tcp --dport 80 -m state --state NEW -j DROP

Мониторинг сетевых устройств и реагирование на инциденты

Даже самая совершенная система защиты бесполезна без эффективного мониторинга и плана реагирования на инциденты. Своевременное обнаружение DDoS-атаки и быстрое принятие контрмер — ключевые факторы минимизации ущерба. 📊

Основные компоненты системы мониторинга для выявления DDoS-атак:

• Анализ NetFlow/sFlow — сбор и анализ данных о сетевых потоках для выявления аномалий;
• SNMP-мониторинг — контроль состояния и загрузки сетевых устройств;
• Deep Packet Inspection (DPI) — глубокий анализ пакетов для идентификации вредоносного трафика;
• Система обнаружения вторжений (IDS/IPS) — выявление известных паттернов атак;
• Анализ логов — централизованный сбор и анализ журналов со всех устройств.

Пример настройки системы мониторинга с использованием open-source инструментов:

1. Настройка NetFlow на маршрутизаторе Cisco:

   ip flow-export source GigabitEthernet0/0
   ip flow-export version 9
   ip flow-export destination 192.168.1.50 9996
   ip flow-cache timeout active 1
   
   interface GigabitEthernet0/0
    ip flow ingress
    ip flow egress
   
   

2. Установка и настройка Elastiflow для сбора и анализа NetFlow данных:

   # docker-compose.yml для Elastiflow
   version: '3'
   services:
     elasticsearch:
       image: docker.elastic.co/elasticsearch/elasticsearch:7.10.0
       environment:
         – discovery.type=single-node
         – "ES_JAVA_OPTS=-Xms1g -Xmx1g"
       ports:
         – 9200:9200
   
     kibana:
       image: docker.elastic.co/kibana/kibana:7.10.0
       ports:
         – 5601:5601
       depends_on:
         – elasticsearch
   
     elastiflow:
       image: robcowart/elastiflow:4.0.1
       environment:
         – ELASTIFLOW_ES_HOST=elasticsearch
       ports:
         – 9996:9996/udp
       depends_on:
         – elasticsearch
   
   

3. Настройка оповещений в Kibana на основе аномалий трафика:

   # Пример запроса для выявления SYN-флуда
   {
     "query": {
       "bool": {
         "must": [
           { "term": { "netflow.protocol": "6" } },
           { "term": { "netflow.tcp_flags": "2" } }
         ]
       }
     },
     "aggs": {
       "source_ips": {
         "terms": { "field": "netflow.src_addr" },
         "aggs": {
           "syn_count": { "value_count": { "field": "netflow.tcp_flags" } }
         }
       }
     },
     "size": 0
   }
   
   

4. Настройка SNMP-мониторинга с помощью Zabbix:

   # Мониторинг загрузки процессора маршрутизатора
   UserParameter=cisco.cpu[*],snmpget -v2c -c public 192.168.1.1 .1.3.6.1.4.1.9.9.109.1.1.1.1.5.1 | awk '{print $4}'
   
   # Мониторинг загрузки интерфейса
   UserParameter=cisco.interface.in[*],snmpget -v2c -c public 192.168.1.1 .1.3.6.1.2.1.31.1.1.1.6.$1 | awk '{print $4}'
   UserParameter=cisco.interface.out[*],snmpget -v2c -c public 192.168.1.1 .1.3.6.1.2.1.31.1.1.1.10.$1 | awk '{print $4}'
   
   

План реагирования на DDoS-инциденты должен включать следующие этапы:

1. Обнаружение — автоматическое выявление аномалий в трафике;
2. Классификация — определение типа и мощности атаки;
3. Сдерживание — применение фильтров и перенаправление трафика;
4. Митигация — активация дополнительных защитных мер;
5. Восстановление — возврат к нормальному режиму работы;
6. Анализ — изучение атаки и усиление защиты.

Пример скрипта для автоматического реагирования на DDoS-атаку (Python):

#!/usr/bin/env python3
import subprocess
import time
import requests

# Пороговые значения для определения атаки
THRESHOLD_CONNECTIONS = 1000  # максимальное число соединений
THRESHOLD_BANDWIDTH = 100000000  # 100 Мбит/с

def check_connections():
    # Проверка количества соединений
    result = subprocess.run(['netstat', '-an', '|', 'grep', 'ESTABLISHED', '|', 'wc', '-l'],
                           capture_output=True, text=True, shell=True)
    connections = int(result.stdout.strip())
    return connections > THRESHOLD_CONNECTIONS

def check_bandwidth():
    # Проверка загрузки канала через SNMP
    # Это упрощенный пример, в реальности нужно использовать библиотеку для SNMP
    result = subprocess.run(['snmpget', '-v2c', '-c', 'public', '192.168.1.1',
                           '.1.3.6.1.2.1.31.1.1.1.6.1'],
                           capture_output=True, text=True)
    bandwidth = int(result.stdout.strip().split()[-1])
    return bandwidth > THRESHOLD_BANDWIDTH

def mitigate_attack():
    # Применение защитных мер
    # 1. Активация более строгих ACL на маршрутизаторе
    subprocess.run(['ssh', 'admin@192.168.1.1', 'conf t; ip access-list extended EMERGENCY_FILTER; permit tcp any any established; deny ip any any; exit; interface Gi0/0; ip access-group EMERGENCY_FILTER in'])

    # 2. Уведомление команды безопасности
    requests.post('https://api.telegram.org/botYOUR_BOT_TOKEN/sendMessage',
                 data={'chat_id': 'YOUR_CHAT_ID', 'text': 'DDoS attack detected! Emergency measures activated.'})

    # 3. Активация внешней защиты (если используется)
    requests.post('https://api.cloudflare.com/client/v4/zones/YOUR_ZONE_ID/ddos_protection',
                 headers={'Authorization': 'Bearer YOUR_API_TOKEN'},
                 json={'enabled': True})

def main():
    while True:
        if check_connections() or check_bandwidth():
            print("DDoS attack detected!")
            mitigate_attack()
            # Пауза после активации мер
            time.sleep(300)
        time.sleep(30)

if __name__ == "__main__":
    main()

Для сети 192.168.1.0/24 особенно важно настроить внутренний мониторинг, чтобы выявлять компрометированные устройства, которые могут стать источниками атак:

# Пример настройки Suricata IDS для мониторинга внутренней сети
alert tcp 192.168.1.0/24 any -> any 53 (msg:"Possible DNS tunneling"; flow:established; threshold: type threshold, track by_src, count 1000, seconds 60; classtype:bad-unknown; sid:1000001; rev:1;)
alert udp 192.168.1.0/24 any -> any any (msg:"High volume UDP traffic from internal host"; threshold: type threshold, track by_src, count 10000, seconds 60; classtype:attempted-dos; sid:1000002; rev:1;)

Регулярное тестирование системы защиты и плана реагирования поможет выявить уязвимости до того, как ими воспользуются злоумышленники. Рекомендуется проводить симуляции DDoS-атак в контролируемой среде не реже одного раза в квартал.

DDoS-атаки продолжают эволюционировать, требуя от специалистов по

Читайте также

• Основные методы защиты от DDoS атак
• DDoS-атаки: системы мониторинга и анализ трафика для защиты
• План действий при DDoS атаке
• DDoS атака: пошаговая инструкция защиты для бизнеса
• Восстановление после DDoS атаки
• Как выбрать подходящее анти-DDoS решение
• Взаимодействие с провайдером при DDoS атаке