Detekční schopnosti
Systém kontinuálně upravuje baseliny pro každý chráněný segment. Díky tomu se významně snižuje množství falešně pozitivní hlášení (false positives), tedy případů kdy je nenadálý, ale legitimní provoz identifikován jako útok. Prahy určující „normální“ provoz jsou počítány automaticky, bez potřeby zásahu administrátora, a jsou nastaveny pro dvě úrovně citlivosti – podezřelý provoz a útok.
V případě útoku DDoS Defender současně monitoruje i běžný, legitimní provoz. V případě, že chcete, aby detekční systém splňoval vaše specifické potřeby, můžete nastavit vlastní detekční pravidla. Šablony pravidel jsou dostupné pro rychlejší konfiguraci systému.
Reporting a analytika
Útoky jsou zobrazovány ve skupinách dle jejich stavu.
Rozšířený detail potom ukazuje všechny informace o každém útoku – stav, doba trvání a časová osa. Uživatel má možnost whitelistovat konkrétní segment a vyřadit ho tak ze souboru chráněného před DDoS útoky. Pro analýzu útoku jsou k dispozici detailní statistiky o provozu předcházejícímu útoku, struktura provozu při probíhajícím útoku i jako grafy datových toků (komunikace) mezi útočníkem a obětí.
Reakce na incident
Flowmon DDoS Defender využívá řady technik pro mitigaci probíhajícího volumetrického útoku:
- BGP (Border Gateway Protocol) – Jedná se o standardní internetový routovací protokol, který je využíván k definici pravidel pro přesměrování provozu na síťových routerech.
- BGP Flowspec – Alternativa BGP pro pokročilé filtrování na základě parametrů, jako jsou zdrojová adresa, port apod. Flowmon DDoS Defender poskytuje dynamickou signaturu útoku routerům s funkcí BGP Flowspec. Ty následně útok buď přesměrují, nebo mitigují jen tu část provozu, která odpovídá signatuře definované pravidly BGP Flowspec.
- PBR (Policy-based Routing) – Přesměrování nelegitimního provozu na základě definovaných politik. Jedná se o alternativu BGP, která může být preferována poskytovateli služeb.
- RTBH (Remotely Triggered Black Hole) – Jednoduchá metoda mitigace útoku na bázi filtrování. Je využívána k zahazování nežádoucího provozu na hraničních bodech sítě (na základě definování cílové IP adresy útoku).
Nejběžnějším scénářem nasazení DDoS Defender je implementace v tandemu s out-of-band mitigačním zařízením nebo scrubbingovou službou. Flowmon se stará o detekci a analýzu, zatímco řešení třetích stran na základě dat z Flowmonu pracují na mitigaci útoku dle zvoleného scénáře.
Víceuživatelské prostředí (multitenancy)
DDoS Defender plně podporuje multiuživatelská prostředí, kdy lze pro každý účet nastavit různé způsoby detekce, mitigace útoku a reportingu. Každý účet je definován pomocí segmentů. Ty je možné sdružovat a definovat jim rozdílná přístupová práva (pro každý účet nebo skupinu). Každý účet má přístup pouze k vlastním datům.