Электробусы КАМАЗ-52222 получили фирменную зарядную станцию Электробусы КАМАЗ-52222 получили фирменную зарядную станцию T2 переходит на ВОЛС в Москве T2 переходит на ВОЛС в Москве МТС увеличил чистую прибыль на 46,7% МТС увеличил чистую прибыль на 46,7% Большое обновление Snapseed, бесплатного редактора Большое обновление Snapseed, бесплатного редактора

VAS Experts зафиксировал ботнет-атаку и нейтрализовал аномальный UDP-трафик с помощью СКАТ AntiDDoS

🇷🇺 1 мин
безопасность
Фото Sora Shimazaki/pexels.com

Разработчик программного обеспечения для контроля и анализа трафика VAS Experts показал, как автоматизация выявления и реагирования на ботнет-атаки позволяет сократить время обработки инцидентов с нескольких часов до нескольких минут. На примере одного из операторов связи компания продемонстрировала механизм обнаружения аномального UDP-трафика и автоматического применения защитных мер с помощью платформы СКАТ AntiDDoS.

Система QoE Analytics (модуль анализа качества услуг интернет-провайдера) в составе решения СКАТ AntiDDoS зафиксировала резкий рост UDP-сессий на внутреннем IP-адресе одного из абонентов. Автоматический анализ трафика выявил признаки UDP Flood-атаки: большое количество коротких UDP-сессий, минимальное число пакетов в каждом потоке и концентрацию нагрузки на одном целевом порту. Это позволило определить, что источником нагрузки является ботнет из множества зараженных устройств.

После выявления аномалии платформа автоматически сформировала список IP-адресов с подозрительной активностью и применила правила фильтрации на узлах DPI (глубокой инспекции пакетов) в сети. В результате оператор смог ограничить вредоносный UDP-трафик до того, как нагрузка начала влиять на других абонентов и производительность CG-NAT-инфраструктуры. Ограничения распространялись только на аномальный трафик и автоматически снимались после нормализации сетевой активности.

«Одной из проблем для операторов связи остается заражение абонентских устройств - домашних роутеров, IP-камер и другого оборудования с устаревшими прошивками. После заражения они становятся частью ботнетов и начинают генерировать большое количество коротких UDP-сессий. В условиях CG-NAT это быстро приводит к исчерпанию NAT-портов и росту нагрузки на сеть, поскольку один публичный IP-адрес используется сразу несколькими абонентами. В итоге страдают и источники такого трафика, и другие пользователи, и каналы самого оператора. Поэтому операторам важно иметь инструменты, которые могут быстро выявлять такие аномалии и ограничивать их влияние на сеть», - рассказал Артем Терещенко, исполнительный директор VAS Experts.