В новой версии «Гарда Anti-DDoS» расширена возможность автоматического подавления атак, усилен контроль доступа, повышена точность фильтрации трафика. Система самообучается без влияния на защищаемые сервисы и повышает эффективность расследования инцидентов.
Группа компаний «Гарда» масштабно обновила систему
«Гарда Anti-DDoS» (ранее «Периметр»). Разработчики усовершенствовали методы подавления атак на пограничных маршрутизаторах сети, настройку правил фильтрации атакующего трафика без блокировки легитимного. Так, в метод «BGP FlowSpec» можно добавить пять правил вместо одного, а в методе «Blackhole-маршрутизация» появилась возможность вручную указать префиксы для блокировки. Оба метода позволяют системе самостоятельно блокировать трафик на ресурсы под атакой.
Расширены правила детектирования метода «Зомби», который предназначен для ограничения трафика, превышающего заданные пороговые значения. Теперь вредоносный трафик выявляется не только по метаданным (заголовкам, IP-адресам и портам), но и по содержимому пакетов с помощью регулярного выражения. Эти изменения повышают точность выявления «зомби» и скорость реакции на DDoS-атаки.
Пользователям
«Гарда Anti-DDoS» стала доступна опция конфигурации до пяти правил с регулярными выражениями и фильтрации трафика TCP/UDP по содержимому пакета. У такой фильтрации выше точность, так как разный трафик обрабатывается разными регулярными выражениями.
Контроль доступа к системе в новой версии адаптирован к конкретным потребностям и требованиям политик безопасности – группам пользователей теперь можно ограничить доступ с IP-адресов, не входящих в список разрешенных из «белого списка».
Повышена гибкость мощного аналитического инструмента системы для расследования инцидентов. Теперь модуль «Хранилище» позволяет формировать ретроспективные отчеты с учетом новых атрибутов протокола BGP: ASN, AS Path и BGP Сообщества. Быстродействие системы повышено за счет добавления опции сэмплирования – она ускоряет обработку запросов в «Хранилище» при сохранении достаточной точности результатов.
Реализовано автоматическое обучение системы с одновременным отображением статистики работы методов очистки без фактического отбрасывания трафика. Таким образом, перевод задания подавления атаки в режим обучения не влияет на защищаемые сервисы.