Home Technische Artikel Stonefish – Automatisieren der DDoS-Abwehr an der Peripherie
Applications

Stonefish – Automatisieren der DDoS-Abwehr an der Peripherie

About The Author

Outline

Wenn wir ein großes globales Netzwerk betreiben, das Tausende von Webanwendungen und Streaming-Mediendiensten unterstützt, ist die Abwehr von DDoS-Angriffen (Distributed Denial-of-Service) Teil unseres täglichen Betriebs. Eine ausfallsichere und intelligente Plattform zur DDoS-Abwehr ist für den Betrieb unseres Netzwerks und für die von ihm abhängigen Webservices von entscheidender Bedeutung.

Um diesen Schutz zu gewährleisten, haben wir Stonefish entwickelt, unsere Plattform zur Erkennung und Abwehr von DDoS, die verhindert, dass Layer-3/4-Angriffe die Webanwendungen unserer Kunden beeinträchtigen. Stonefish ist die erste Verteidigungsschicht in Edgios ganzheitlicher Sicherheitslösung an der Peripherie. Sie arbeitet rund um die Uhr, analysiert Millionen von Paketen pro Sekunde, bewertet sie auf Bedrohungen und ergreift bei Bedarf automatisch Maßnahmen, und von unserem Support-Team überwacht werden, damit sie bei Bedarf zusätzliche Analysen und Maßnahmen zur Schadensbegrenzung in Echtzeit durchführen können.

In Verbindung mit Edgio Web and API Protection (WAAP) bietet Edgio einheitliche mehrschichtige Sicherheit, die auf jedem Server in unserem gesamten Edge-Netzwerk ausgeführt wird. Edgio WAAP umfasst Zugriffssteuerungsregeln (ACL), API-Sicherheit, DDoS-Schutz auf Anwendungsebene, erweiterte Bot-Verwaltung, benutzerdefinierte Sicherheitsregeln sowie verwaltete Sicherheitsregeln. Jede Anforderung wird von diesen hoch entwickelten Sicherheitsebenen mit minimaler Latenz verarbeitet. Wir sind stolz darauf, unseren Kunden diese Lösung als zentrale Anlaufstelle zur Erkennung und Abwehr von Layer 3/4- und 7-Angriffen für alle Webanwendungen hinter unserer Plattform zur Verfügung zu stellen und gleichzeitig die Leistung und Zuverlässigkeit ihrer Website über eine einzige Kontrollstelle zu verbessern.

Ziele Für Das Design Von Stonefish

Stonefish ist eine Plattform zur DDoS-Abwehr, die speziell zum Schutz unseres Netzwerks und unserer Infrastruktur sowie all unserer kritischen Kundenservices entwickelt wurde, die darauf ausgeführt werden. Wir haben unseren DDoS-Sicherheitsstapel unter Verwendung einer Mischung aus Open Source- und benutzerdefinierter Software entwickelt , die an jedem Point of Presence (POP) ausgeführt wird. So können wir eine hochgradig skalierbare und automatisierte DDoS-Plattform bereitstellen, die die Fähigkeit unseres Support-Teams zur DDoS-Abwehr verbessert.

Wir haben Steinfische entworfen, um:

  • Erkennen und filtern Sie fehlerhaften Datenverkehr innerhalb von Sekunden.
  • Schützen Sie sich vor einer Vielzahl von DDoS-Angriffen, von volumetrischen Angriffen bis hin zur Erschöpfung von Zuständen, über die OSI-Schichten 3 und 4 hinweg (Layer 7-Angriffe werden von unserem ganzheitlichen WAAP abgedeckt).
  • Nutzen Sie unsere bestehende Netzwerkarchitektur in Kombination mit softwaredefinierten Erkennungs- und Risikominimierungsrichtlinien.
  • Bereitstellung über eine cloudbasierte zentrale zentrale zentrale Zentrale (mit Verwaltungs-APIs verfügbar)
  • Aktualisieren Sie Regeln effizient und durchsetzen Sie Richtlinien weltweit in nahezu Echtzeit in allen unseren POP-Systemen, zusätzlich zu Regeln, die automatisch im laufenden Betrieb als Reaktion auf Angriffe erstellt werden.

Unsere Bemühungen führten zu einem vollautomatisierten System, das die meisten DDoS-Angriffe erkennt und blockiert, was für mehr Sicherheit und Sicherheit sorgt.

Steinfischarchitektur

Mit einem softwaredefinierten Ansatz für Stonefish können wir unsere DDoS-Abwehr in unserer verteilten Infrastruktur unterbringen, sodass jeder POP in unserem globalen Netzwerk als Scrubbing Center fungieren kann, das fehlerhaften Datenverkehr erkennen und filtern kann. Stonefish ist mit einer modularen Softwarearchitektur ausgestattet, die es uns ermöglicht, dem System problemlos Funktionen hinzuzufügen, um eine sich ständig weiterentwickelnde Bedrohungslandschaft ohne den Einsatz spezieller Hardware abzuwehren.

Stonefish nutzt unser massives globales Anycast-Netzwerk. Das global verteilte Anycast-Netzwerk ermöglicht es uns, schädlichen Datenverkehr an den nächsten POP weiterzuleiten. Auf diese Weise können wir jeden Angriff an der Peripherie in der Nähe der Quelle des Angriffs abwehren, bevor er das Netzwerk und das Rechenzentrum eines Kunden erreichen kann. Die Abwehr erfolgt nahtlos, sodass Kunden meist nicht merken, dass sie angegriffen werden. Unsere Dienste sind hingegen immer aktiv und verwenden Werte wie die Quell-IP-Adresse/-Port, Ziel-IP/-Port und Paketfelder, um potenzielle Angriffe zu identifizieren und zu stoppen, bevor sie Schaden anrichten können.

Sampling und Scoring

Der gesamte eingehende Netzwerkverkehr wird von Stonefish abgetastet und analysiert. Ein Bewertungssystem wird verwendet, um den Schweregrad der böswilligen Absicht zu bestimmen und fehlerhaften Datenverkehr automatisch zu blockieren. Die Ergebnisse der Analyse werden auch an unser SOC rund um die Uhr gesendet und ausgewertet, wenn weitere Maßnahmen erforderlich sind. So funktioniert es.

  1. Ein Client sendet eine Anforderung für Inhalte an eine internetbasierte Anwendung.
  2. Unser Router empfängt die Anforderung und leitet sie an unsere Load Balancing-Infrastruktur weiter.
  3. Ein Beispiel des Datenverkehrs wird von den Load Balancern an Stonefish gesendet.
  4. Stonefish analysiert und bewertet den Verkehr.
  5. Wenn schädlicher Datenverkehr identifiziert wird, sendet Stonefish Anweisungen an den Load Balancer, den Datenverkehr basierend auf dem von Stonefish identifizierten Signal zu löschen.
  6. Das SOC von Edgio wird über einen Angriff benachrichtigt und wird weitere Maßnahmen ergreifen.

Verbesserung des Steinfisches

Wir haben kürzlich unsere verteilte Such- und Analysemaschine auf Elasticsearch erweitert, die jetzt das „Gehirn“ von Steinfischen antreibt. Elasticsearch-Daten werden kontinuierlich auf Änderungen an Paketmetriken über eine benutzerdefinierte Softwareanwendung analysiert. Unsere Software ruft Bewertungen für Zeitintervalle ab und vergleicht sie mit früheren Intervallen, um anomale oder außerhalb des zulässigen Bereichs liegende Änderungen festzustellen. Jedes Protokoll verfügt über eine benutzerdefinierte Abfrage- und Erkennungslogik für eine möglichst genaue Identifizierung, z. B. TCP-, UDP- oder ICMP-Pakete. Darüber hinaus haben wir in den letzten Jahren in die XDP-Technologie (Express Data Path) investiert und unsere Paketabtastung auf XDP-Ebene aktualisiert. Außerdem haben wir die leistungsstarken, programmierbaren Datenpfade in XDP genutzt, um die Angriffspakete effektiver abzulegen.

Wie unser SOC und Steinfische zusammenarbeiten

Stonefish ist eines von vielen Tools, die unser SOC verwendet, um unsere Anwendungen aus Sicherheits- und Leistungssicht zu überwachen. Es ist in ein Dashboard integriert, das unser Support-Team in Echtzeit vor ausgeklügelten Angriffen warnt. Während Stonefish DDoS-Angriffe automatisch blockiert, ist es auch so konfiguriert, dass es bei Anomalien warnt, was unsere SOC-Spezialisten dazu veranlasst, zu untersuchen und Maßnahmen zu ergreifen.

DDoS-Abwehr ist in jedem unserer Servicepläne enthalten. Kunden können rund um die Uhr telefonisch oder per E-Mail auf unser Support-Team für DDoS-Unterstützung zugreifen. Ein verbesserter Support und Eskalationen für DDoS-Angriffe erfordern keine speziellen Sicherheitsservices oder -Stufen, einschließlich proaktiver Abwehr und Kundensupport im Falle von DDoS-Lösegeld. Edgio berechnet auch keine höheren Gebühren, wenn Sie angegriffen werden, und bietet unseren Kunden vorhersehbare Preise (und keine Überraschungsgebühren).

Stonefish verhindert massive DDoS-Angriffe

Am 14. Juni 2022 verhinderte Edgio einen großen DDoS-Angriff mit einer Größe von ca. 176 Millionen Paketen pro Sekunde (Mpps), der sich gegen einen multinationalen E-Commerce-Kunden in Asien richtete. Der Angriff dauerte etwa 30 Minuten und kam von der EU. Unser Anycast-Netzwerk hat die Last schnell verteilt und den Angriff innerhalb der EU abgemildert, obwohl sich die Infrastruktur des Kunden in Asien befindet.

Einige Wochen später entdeckten und stoppten Steinfische einen Angriff, der doppelt so groß war, etwa 355 Mpps; der Kunde, ein führendes französisches Unternehmen, blieb davon unberührt. Dieser Angriff war etwa halb so groß wie der größte jemals aufgezeichnete DDoS-Angriff, gemessen in Mpps.

Trotz des enormen Ausmaßes dieses Angriffs war es für unseren Kunden ein Non-Event, das keine Auswirkungen auf seinen Ursprung sah, da das Netzwerk von Edgio 100 % des Angriffsverkehrs absorbierte. Unser 24 x 7 SOC benachrichtigte den Kunden, um ihn darauf aufmerksam zu machen, obwohl keine Maßnahmen erforderlich waren. Edgio verfügt über eine Bandbreitenkapazität von 250 Tbit/s und ist eine der einzigen Edge-Plattformen auf dem Markt, die eine umfassende Anwendungssicherheit und einen L3/4/7-DDoS-Schutz bieten. Unterstützt wird dies von unserem Managed Security Team und rund um die Uhr verfügbaren SOC.

Schlussfolgerung

Als eine der größten globalen Edge-fähigen Sicherheitsplattformen, die mehr als 4 % des gesamten Internetverkehrs verarbeiten, schützen und wehren wir DDoS-Angriffe gegen Tausende von Kundenwebsites ab.

DDoS-Abwehr ist nur eine Ebene einer effektiven Sicherheitsabwehr, aber sie ist nach wie vor eine wichtige. Wir haben Stonefish entwickelt, um die Webanwendungen unserer Kunden automatisch vor Layer-3- und -4-Angriffen zu schützen, indem wir einen intelligenten Software-Stack an unserem riesigen Netzwerk-Edge integrieren, der diese Bedrohungen erkennen und abwehren kann. In Zusammenarbeit mit unseren Serviceteams erhalten Kunden proaktiven DDoS-Support, der mit ihnen zusammenarbeiten kann, um DDoS-Angriffe von allen Ebenen aus abzuwehren.

Wenn Sie mehr darüber erfahren möchten, wie Edgio Ihr Unternehmen dabei unterstützen kann, seine Cybersicherheit zu stärken, kontaktieren Sie uns bitte noch heute, um eine umfassende Bewertung mit einem unserer Experten zu vereinbaren.