FortiDDOS 

فورتی داس 200B، 400B، 600B، 800B، 900B، 1000B، 1000B-DC و 1200B

حملات منع سرویس توزیع شده (DDOS) به عنوان یک تهدید جدی برای امنیت IT تلقی شده و در بیشتر موارد تکامل یافته اند: خاموش شدن سرویس های آنلاین حیاتی شما. هیچگاه چنین مشکلات متفاوتی به صورت گسترده بدون ارتباط با یک تکنولوژی خاص وجود نداشته است.

طیف گسترده ای از ابزار ها وجود دارند که هکر ها و تروریست های سایبری جهت پیشگیری از دسترسی به شبکه شما استفاده می کنند. حملات پیچیده DDOS نه تنها موجب ایجاد حملات حجمی لایه 4 می شوند، بلکه سرویس های DNS و لایه 7 را هدف می گیرند به طوری که حملات بسیار کوچکتر می توانند حملات حاصل از روش های کاهش حمله ابری را پنهان کنند.

جهت مقابله با این حملات، شما به راهکاری پویا و گسترده نیاز دارید. برنامه های کاهش حمله فورتی DDos فورتی نت از روش های تشخیص حمله مبتنی بر رفتار و کاهش و تشخیص مبتنی بر سخت افزار %100 با استفاده از واحد های پردازش امنیت (SPU ها) جهت ایجاد پیشرفته ترین و سریع ترین راه کاهش حمله DDoS در بازار امروزی بهره می گیرند.

یک رویکرد متفاوت و بهتر جهت کاهش حمله DDoS

تنها فورتی نت از یک رویکرد SPU %100 برای محصولات DDoS خود بدون کاهش عملکرد CPU یا سیستم ترکیبی CPU/ASIC بهره می برد. پردازشگر های ارتباطی SPU-TP2 اقدام به بازرسی %100 ترافیک لایه 3، 4 و 7 داخلی و خارجی کرده که این موضوع منجر به ایجاد سریع ترین روش تشخیص و کاهش حمله و کمترین تاخیر در این صنعت شده است.

فورتی DDoS از یک روش %100 اکتشافی/ مبتنی بر رفتار جهت شناسایی تهدیدات در مقایسه با رقبا که اساسا متکی بر تطابق امضا هستند، بهره می گیرد. به جای نیاز به امضا های از پیش تعریف شده جهت شناسایی الگو های حمله، فورتی DDoS از معماری رایانش بزرگ- موازی خود جهت ایجاد یک محور تطبیقی فعالیت معمول از صد ها هزار پارامتر استفاده کرده و سپس اقدام به پایش ترافیک در برابر این خط اصلی می کند. با شروع یک حمله، فورتی DDoS این موضوع را به طور غیر عادی تشخیص داده و به سرعت در جهت کاهش آن اقدام می کند.

نکات

• %100 شناسایی و کاهش حمله DDoS لایه 3، 4 و 7 مبتنی بر سخت افزار

• %100 تشخیص DDoS مبتنی بر رفتار

• قابلیت عدم مشاهده کامل برای مهاجمان بدون IP و آدرس های MAC در مسیر داده. فورتی DDoS به عنوان یک دستگاه لایه 3 پایانه یا مسیریابی محسوب نمی شود.

• کاهش DNS DDoS پیشرفته در بیشتر مدل ها

• کاهش سرویس ابری و ترکیبی با سیگنال دهی آزاد

• ارزیابی تهدید پیشرفته جهت حداقل کردن تشخیص های مثبت نادرست

• معماری تک گذری به صورت همزمان اقدام به پایش صد ها هزار پارامتر، پرتال MSSP رایانشی بزرگ- موازی برای فروش مجدد به مشتری می کند.

فورتی DDoS از شما در برابر حملات شناخته شده و حملات روز- صفر محافظت می کند، زیرا نیازی به صبر برای فایل های امضای به روز رسانی شده، ندارد. فورتی DDoS اقدام به میدریت کاهش حمله به شکل متفاوت از راهکار های دیگر می کند. در دیگر برنامه های کاهش حمله DDoS، هنگام شروع یک حمله، ترافیک یا %100 مسدود شدگی آن نسبت به IP مقصد محدود می شود که این موضوع تاثیر منفی بر ترافیک مطلوب محدود کننده- نرخ دارد. در صورتی که یک رخداد به صورت غلط مثبت باشد، در این صورت کل ترافیک تحت تاثیر قرار گرفته که این موضوع نیازمند مداخله است. فورتی DDoS از یک روش دقیق تر با پایش ترافیک معمول و سپس استفاده از مسیر یابی منشا جهت تشخیص بیش از 6 میلیون آدرس IP که موجب بروز مشکل می شوند، بهره می گیرد.

فورتی DDoS اقدام به مسدود کردن آدرس های IP مبدا کرده و سپس به ارزیابی حمله در بازه های زمانی تعریف شده از سوی کاربر می پردازد. در صورتی که آدرس های IP تهاجمی منشا همچنان به عنوان یک تهدید برای هر کدام از این دوره های زمانی ارزیابی مجدد محسوب شود، دوره زمانی انسداد تا زمان کاهش حمله، ادامه می یابد. IP های مقصد به ندرت دارای نرخ محدود بوده و IP های معتبر مبدا همواره مجاز هستند.

 

مکانیزم های دفاع انعطاف پذیر

فورتی DDoS از هر گونه حمله DDoS شامل حملات حجمی توده ای، برنامه لایه 7، DNS و SSL/HTTPs محافظت می کند. از قدیمی ترین ترفند در کتاب تا آخرین برنامه پیشرفته حملات لایه ای، فورتی DDoS کلیه موارد را تحت پوشش قرار داده است.

حملات حجمی توده ای همچنان به عنوان تهدیدات مهمی محسوب می شوند. هر چند که ISP ها ممکن است از این نوع حملات ساده پیشگیری کنند، این حملات به صورت فزاینده جهت تحت پوشش قرار دادن روش های حمله پیچیده تر در سطح برنامه به کار می روند. مسیریابی منشا فورتی DDoS موجب ایجاد ترافیک مطلوب از طریق آدرس های IP مسدود کننده منشا می شود که موجب بروز مشکل می گردند. این فرآیند نه تنها موجب ایجاد محافظت مورد نظر شما می شود، بلکه اثرات تطابق اشتباه مثبت را نسبت به ترافیک مطلوب مشتریان به حداقل می رساند.

حملات هدف دار لایه 7 به عنوان سریع ترین منبع در حال رشد حملات DDoS محسوب می شوند. آنها در پی استفاده از آسیب ها در یک سرویس یا یک سرور جهت خروج منابع غیر قابل دسترس آن هستند. این نوع حملات موجب عدم انجام اقدامات کاهشی ISP لایه 3 و 4 می شود و به طور مستقیم از شبکه شما عبور می کند. حملات لایه 7 که موجب شروع تغییرات در سطح سرویس می شوند، توسط فورتی DDoS شناسایی و کاهش می یابند.

حملات مبتنی بر SSL معمولا به عنوان حملات DoS یک دوره ای محسوب می شوند که جهت تزریق بد افزار طراحی شده اند. حملات SSL DDoS به ندرت مشاهده می شوند، زیرا حملات SSL با چند منبع نیازمند منابع مهاجمین بیشتری بوده و موجب در معرض قرار گرفتن IPS های منبع سرور ها یا بات های مهاجمین می شود که می توان آنها را به طور ثابت مسدود کرد. فورتی DDoS حملات DDoS مبتنی بر SSL را به دلیل تغییرات رفتاری پارامتر های مختلف نظیر New Connections، Connections/Source، SNI Host Floods، Slow Connections یا Count of Unique Sources در نظر می گیرد که به عنوان پارامتر های رمزنگاری شده محسوب نمی شوند.

فورتی نت بر این باور است که قرار دادن گواهی های SSL شما خارج از محدوده محافظتی فایروال یا فایروال برنامه وب و خاتمه دادن جلسات در دستگاه کاهش DDoS شما جهت رمز گشایی مطلوب نبوده و موجب ایجاد امکان حمله بر روی برنامه می شود. فورتی نت همواره استفاده از یک ساختار امنیتی کامل شامل فورتی گیت و فورتی وب را جهت محافظت در برابر کلیه سطوح حمله بر روی زیر ساخت شما را توصیه می کند.

حملات مبتنی بر DNS کلیه سرور های DNS را به عنوان قربانی یا عوامل تقویت کننده حملات DDoS هدف گیری می کنند. شرکت ها و حامل هایی که اقدام به میزبانی سرور های DNS می کنند، در معرض ریسک حاصل از حملات DDoS که از ضعف های سرور های DNS در مدیریت جستجو ها و پاسخ ها بهره می گیرند، قرار دارند. فورتی DDoS به عنوان تنها پلتفرم کاهش DDoS محسوب می شود که اقدام به بازرسی %100 ترافیک DNS جهت محافظت در برابر انواع حملات DDoS جهت گیری شده در سرور های DNS شامل جریان های انعکاس/ پاسخ DNS، NX دامین، جریان های Query، جریان های زیر دامنه تصادفی و اقدامات غیر متعارف هدر DNS می کند.

فورتی DDoS از سرویس دامین فورتی گارد جهت محافظت از سرور ها و مشتریان DNS نسبت به دامین های مخرب محافظت می کند. محافظت DNS پیشرفته در بیشتر مدل های فورتی DDoS در دسترس قرار دارد.

بات نت های مبتنی بر اینترنت اشیا، مانند میرال قادر به ایجاد حملات GRE چند برداری، زیر دامنه تصادفی، انعکاس DNS، UDP و حملات TCP هستند که از طرفی موجب جاسوسی از فضای آدرس IPV4 می شوند. جریان های پاکت کوچک به قابلیت های آنی بسیاری از دستگاه های DDoS تاکید کرده و از بازرسی کامل جلوگیری کرده و بدون تکنیک های تشخیص DNS پیشرفته، حملات زیر دامنه تصادفی شبیه ترافیک Query معمولی بوده در حالی که موجب خارج شدن منابع سرور DNS می گردد. با تکامل این حملات، معماری سخت افزار فورتی DDoS و تعداد بالای پارامتر های پایش شده موجب محافظت از شما می شوند.

 

کاهش DDos ابری/ فرضی ترکیبی

هر چند که فورتی DDoS موجب کاهش هر گونه حمله DDoS نسبت به محدودیت پهنای باند ورودی می شود، حملات بزرگ می توانند موجب اشباع شدن ارتباطات ورودی شوند. فورتی DDoS با اپن FSP نتورک بی بافین جهت انتخاب بهترین روش کاهش DDoS ابری/ CPE ترکیبی هنگامی که حملات موجب متراکم شدن منابع بالادست می شوند، همکاری می کند. سیگنال دهی حمله فورتی DDoS در API به صورت آزاد و مستند است. فورتی DDoS اقدام به بازرسی ترافیک GRE نسبت به ارائه کنندگان فضای ابری جهت تضمین پیوستگی گزارش دهی و جلوگیری از تهدیدات به صورت کامل می کند. برنامه های فرضی فورتی DDoS در مراکز داده ای شرکت ها می توانند به صورت مستقیم با مدل های فورتی DDoS با ظرفیت بالا در شبکه ارائه کننده سرویس با استفاده از تکنولوژی سیگنال دهی ابری ما همکاری کرده و موجب ایجاد ISP با اسکریپت های فلواسپک جهت پشتیبانی از انحراف و اختلال ترافیک حملات می شود.

 

ویژگی ها و مزیت های کلیدی

تشخیص %100 مبتنی بر رفتار: فورتی DDoS متکی بر فایل های امضا که باید با آخرین تهدیدات به روز رسانی شوند، نبوده و بنابراین شما از حملات روز-صفر معلوم و نا معلوم محافظت می شوید.

محافظت %100 DDoS مبتنی بر سخت افزار: پردازشگر ارتباطی SPU-TP2 اقدام به ایجاد بازرسی پاکت %100 با تشخیص دو جهتی و کاهش حملات DDoS لایه 3، 4 و 7 برای عملکرد صنعتی می کند.

ارزیابی پیوسته حمله: حداقل شدن ریسک تشخیص خطای مثبت با ارزیابی مجدد حمله جهت تضمین عدم اختلال در ترافیک مطلوب

محافظت DNS پیشرفته: فورتی DDoS اقدام به بازرسی %100 از کل ترافیک DNS برای محافظت از طیف وسیعی از حملات حجمی مبتنی بر DNS، برنامه ها و حملات غیر معمول می کند.

فرآیند یادگیری خودکار: با پیکره بندی جزئی، فورتی DDoS اقدام به ساخت ترافیک نرمال به صورت معمولی کرده و پروفایل های رفتار منابع موجب صرفه جویی در زمان و منابع مدیریت IT می گردند.

پشتیبانی ابری/فرضی ترکیبی: API باز موجب یکپارچه سازی با ارائه کنندگان کاهش حمله DDoS ابری گروه ثالث برای گزینه های بهره برداری انعطاف پذیر و محافظت در برابر حملات DDoS بزرگ می شود.

 

ویژگی های فورتی DDoS

تکنولوژی بازرسی پاکت

• تحلیل رفتاری پیشگویانه

• تحلیل اکتشافی

• بازرسی پاکت عمیق جزء به جزء

• محدودیت نرخ تطبیق پیوسته

• پایش حالت برای بردار های حمله خاص

• بازرسی پاکت %100

• پشتیبانی کامل IPv4/IPv6 نسبت به زیر شبکه IP واحد

• عدم قابلیت مشاهده کامل بدون آدرس های IP یا MAC در مسیر داده

 

مدیریت آستانه رفتاری

• توصیه سیستم بر اساس •شاخص های آماری پیوسته ترافیک یادگیری

• تخمین آستانه تطبیقی

 

فرآیند چند- تصدیقی

• فیلترینگ پویا

• صحت سنجی فعال

• تشخیص رخداد های غیر معمول

• تحلیل پروتکل

• لیست سفید، لیست سیاه

• زیر شبکه های ردیابی نشده

• تشخیص رخداد غیر معمول

• فیلترینگ حمله مخفی

• ضد جاسوسی آدرس محلی (BCP-38)

• ردیابی منشا

• تطابق آدرس IP قانونی

• فرآوری ارزیابی شده برای IP پراکسی ها- تشخیص داده شده بر اساس هدر ها و تعداد ارتباطات همزمان

 

بازرسی ناهنجاری %100

• L3/L4/L7 HTTP/DNS

 

کاهش جریان لایه 3

• جریان های پروتکل

• جریان های مقطعی

• جریان های منشا

• بازرسی GRE

 

کاهش جریان لایه 4

• پورت های TCP (کل 65K)

• پورت های UDP (کل 65K)

• پورت های گیمینگ UDP

• کد های نوع ICMP

• جریان های ارتباطی، SYN

• جریان های SYN

• جریان های خارج از حالت RST/FIN/ACK

• ارتباطات/ ثانیه

• جریان ها در هر منبع (6 میلیون منبع)

• جریان های زومبی

• ارتباطات آهسته

• جریان های نقض حالت TCP

 

کاهش جریان لایه 7

• HTTP URL

• جریان های روش HTTP

• جریان عامل کاربر

• جریان ارجاع دهنده

• جریان کوکی

• جریان هاست

 

مکانیزم های جلوگیری از ریزش جریان

• SYN کوکی، ACK کوکی

• انتقال مجدد SYN

• انتقال مجدد DNS / TC=1

• تطابق / صحت سنجی IP قانونی

• ردیابی منبع

• محدود کردن نرخ منبع

• فرسودگی تهاجمی

 

فهرست های کنترل دسترسی L3-L7

• شهرت IP

• شهرت دامنه

• طول پاکت پروتکل/ پورت

• موقعیت جغرافیایی

• IP/ لیست سیاه /لیست سفید زیر شبکه

• آپلود مشتریان لیست سیاه IPv4

• آپلود مشتریان لیست سیاه دامنه حجمی

• بهبود آدرس منشا BCP38

 

صحت سنجی / ضد جاسوسی آدرس محلی

• پروتکل، قطعه، قطعه DNS، پورت L4، نوع / کد ICMP

• DNS RR ACL ها

• روش های HTTP، URL، هاست، ارجع دهنده، عامل کاربر

• ایجاد اسکریپت Flowspec

 

کاهش حمله DNS

• جلوگیری از رخداد غیر معمول هدر DNS

• تطابق پاسخ- جستجوی DNS

• جریان های منبع/ قطعه/ ZT / MX/ ALL/ DNS Query

• صحت سنجی منشا DNS Query

• جستجوی DNS غیر قابل انتظار

• جریان پاسخ DNS ناخواسته

• کش پاسخ DNS تحت جریان

• بررسی های TTL جستجوی DNS

• ACL های مختص به DNS

• اشتراک گذاری شهرت دامنه

 

گزارش دهی از پیش تعریف شده جامع

• لاگ حملات قابل صدور/ قابل فیلتر

• گراف و لاگ های خلاصه شده برای

• حملات اصلی/ مهاجمان اصلی

• افت ACL بالا

• زیر شبکه های مورد تهاجم و آدرس های IP

• پروتکل های اصلی مورد تهاجم

• پورت های TCP و UDP اصلی مورد تهاجم

• کد ها/ انواع ICMP اصلی مورد تهاجم

• هاست های HTTP، URL های اصلی مورد تهاجم، ارجاع دهنده ها، کوکی ها، عوامل- کاربران

• سرور های DNS اصلی مورد تهاجم

• رخداد های غیر معمول DNS اصلی مورد تهاجم

• شاخص های آماری SPP، Mbps/pps و پایش افت ها

• شاخص های آماری زیر شبکه: پایش ترافیک Mbps/pps

• گزارشات آستانه حمله و برنامه زمانی و مورد تقاضا

• گراف های گزارش دهی از پیش طراحی شده 1000 ثانیه برای تحلیل آنی

 

گزارش دهی رخداد متمرکز

• SNMP v2/v3

• گزارشات و هشدار های ایمیل

• RESTfup API باز

• پشتیبانی Syslog برای FortiAnalyzer، فورتی SIEM و گروه سوم

 

مسیر های دسترسی و حسابرسی

• فعال شدن مسیر حسابرسی

• پیکره بندی مسیر حسابرسی

 

مدیریت

• GUI مدیریت SSL

• CLI

• RESTful API باز

• RADIUS/LDAP و TACACS +احراز هویت

• پرتال MSSP چند کاربردی

• ایجاد اسکریپت های Flowspec

• هشدار های حمله

• سیگنال دهی کاهش فضای ابری باز