VAS Experts зафиксировал ботнет-атаку и нейтрализовал аномальный UDP-трафик с помощью СКАТ AntiDDoS
Система QoE Analytics (модуль анализа качества услуг интернет-провайдера) в составе решения СКАТ AntiDDoS зафиксировала резкий рост UDP-сессий на внутреннем IP-адресе одного из абонентов. Автоматический анализ трафика выявил признаки UDP Flood-атаки: большое количество коротких UDP-сессий, минимальное число пакетов в каждом потоке и концентрацию нагрузки на одном целевом порту. Это позволило определить, что источником нагрузки является ботнет из множества зараженных устройств.
После выявления аномалии платформа автоматически сформировала список IP-адресов с подозрительной активностью и применила правила фильтрации на узлах DPI (глубокой инспекции пакетов) в сети. В результате оператор смог ограничить вредоносный UDP-трафик до того, как нагрузка начала влиять на других абонентов и производительность CG-NAT-инфраструктуры. Ограничения распространялись только на аномальный трафик и автоматически снимались после нормализации сетевой активности.
«Одной из проблем для операторов связи остается заражение абонентских устройств — домашних роутеров, IP-камер и другого оборудования с устаревшими прошивками. После заражения они становятся частью ботнетов и начинают генерировать большое количество коротких UDP-сессий. В условиях CG-NAT это быстро приводит к исчерпанию NAT-портов и росту нагрузки на сеть, поскольку один публичный IP-адрес используется сразу несколькими абонентами. В итоге страдают и источники такого трафика, и другие пользователи, и каналы самого оператора. Поэтому операторам важно иметь инструменты, которые могут быстро выявлять такие аномалии и ограничивать их влияние на сеть», — рассказал Артем Терещенко, исполнительный директор VAS Experts.
