Разработчик программного обеспечения для контроля и анализа трафика VAS Experts исследовал возможности флагманского продукта «СКАТ DPI» для защиты центров обработки данных от кибератак. Результаты подтвердили эффективную работу платформы по обнаружению и нейтрализации DDoS-атак типа TCP SYN flood.

DDoS-атаки типа TCP SYN flood направлены на истощение ресурсов сервера. Они эксплуатируют механизм установки соединений в протоколе TCP, известный как трехстороннее рукопожатие (three-way/triple handshake).

Для «СКАТ DPI» было смоделирована ситуация TCP SYN flood-атаки с Perpetrator (хоста-вредителя) с разными подменными source-адресами. Тестирование показало успешное перенаправление всего трафика, как легитимного, так и вредоносного, предназначенного для клиента-жертвы. При этом весь вредоносный трафик атаки TCP SYN flood до 360 Мбит/с был успешно заблокирован, а легитимные защищаемые сервисы между клиентом и жертвой работали корректно. При снятии трафика с устройства TCP-сессии, относящиеся к защищаемым ресурсам, которые были установлены через него в процессе атаки, разрывались. В то время как с сессиями, установленными через фильтр, но не относящимся к защищаемым портам, разрыв не происходил.

«Для центров обработки данных критически важными задачами являются защита от кибератак и поддержание стабильной работы сетевой инфраструктуры. ЦОД сталкиваются с множеством угроз, включая DDoS-атаки типа TCP SYN flood, которые могут привести к перегрузке серверов и нарушению работы сервисов. Тестирование и реальные кейсы показывают, что «СКАТ DPI» эффективно справляется с подобными угрозами. Платформа уже широко используется центрами обработки данных и облачными провайдерами в России и за рубежом», – сказал директор по развитию VAS Experts Артем Терещенко.

В DDoS-атаке TCP SYN flood злоумышленник отправляет множество SYN-запросов к целевому серверу, используя сеть из большого количества зараженных устройств (от персональных компьютеров и серверов до IoT девайсов и игровых консолей), также известную как ботнет. При этом злоумышленнику не нужно скрывать IP-адреса каждого устройства в сети. Сервер отвечает на каждый запрос сегментом SYN-ACK и ожидает подтверждения ACK от клиента. Поскольку подтверждение не приходит, сервер держит соединение открытым в течение определенного времени (обычно несколько секунд), пока не истечет тайм-аут. Так как количество одновременных соединений ограничено, сервер быстро заполняет свой пул соединений, что делает его недоступным для легитимных пользователей.

Короткая ссылка