Ключевые преимущества и особенности
/01 Архитектура
/02 UX
Удобство управления
Настройка контрмер и контроль эффективности их работы происходит на одном экране, без необходимости перехода между страницами web-интерфейса
Документация
В Web-интерфейс MITIGATOR встроена подробная пользовательская документация на русском и английском языках. Документация доступна как в виде сводного описания, так и контекстно, для каждого элемента
Дашборды
В Web-интерфейсе MITIGATOR пользователю доступно создание дашбордов с произвольным набором виджетов с графиками и статистикой, что позволяет быстро переключаться между несколькими наборами виджетов для решения различных задач
Массовые изменения
MITIGATOR предоставляет возможность единовременно применить одинаковое действие сразу к нескольким выбранным политикам защиты
/03 Интеграция и инфраструктура
Позволяет обнаруживать атаки и включать защиту для отдельных политик без постоянного направления трафика на MITIGATOR, а также собирать и визуализировать статистическую информацию в различных срезах, как в реальном времени, так и исторически
Возможность отправки трафика защищаемого сервиса для анализа и дополнительной проверки на Web Application Firewall. Параметры перенаправления задаются индивидуально для каждой политики защиты
REST API позволяет интегрироваться с другими системами защиты и мониторинга и совершать с их помощью любые действия в MITIGATOR или автоматизировать управление
В MITIGATOR реализована поддержка взаимодействия с Национальной системой защиты от DDoS-атак. Доступна возможность сформировать и отправить задание очистки в НСПА прямо из web-интерфейса, а также отслеживать его состояние и получать статистику
MITIGATOR поддерживает работу с GRE-туннелями по двум сценариям:доставка очищенного трафика к защищаемому сервису, и прием трафика от стороннего сервиса для последующей очистки
Программный продукт MITIGATOR поставляется набором Docker-контейнеров. Для обновления версии системы требуется лишь выполнить несколько команд
MITIGATOR поддерживает широкий спектр x86-64 процессоров и сетевых карт
MITIGATOR поддерживает работу с сетевыми адаптерами, использующими аппаратный bypass. В случае отказа системы или аппаратной платформы, сетевой адаптер переключается в режим bypass на физическом уровне. Трафик перенаправляется с порта на порт, минуя контроллер сетевого адаптера
/04 Механизмы и контрмеры
Для защиты от атак по протоколу TCP при наличии только входящего трафика MITIGATOR использует общепринятые методы проверки сбросом TCP-сессии и неправильным номером последовательности при разных сочетаниях флагов.
В дополнение к стандартным защитным механизмам доступен уникальный режим работы с синхронизацией ISN, при котором защита при асимметрии трафика не требует лишнего обмена пакетами или разрыва соединения с клиентом. Поддерживается активация адресной защиты только для серверов, находящихся под атакой, что исключает негативное влияние на трафик других сервисов
В дополнение к стандартным защитным механизмам доступен уникальный режим работы с синхронизацией ISN, при котором защита при асимметрии трафика не требует лишнего обмена пакетами или разрыва соединения с клиентом. Поддерживается активация адресной защиты только для серверов, находящихся под атакой, что исключает негативное влияние на трафик других сервисов
MITIGATOR поддерживает защиту методом SYN-proxy (TCP Splicing) если через него проходит исходящий трафик от защищаемых ресурсов
MITIGATOR позволяет защищать TLS-приложения без расшифровки трафика за счет анализа параметров TLS разными методами и с помощью JA3/JA4-отпечатков. В сочетании с другими контрмерами и анализатором логов Web-сервера возможно добиться максимальной эффективности защиты
MITIGATOR анализирует логи web-серверов для выявления атакующих ботов дополнительно к защите TLS. Кроме того, можно выполнять аутентификацию отправителей методом challenge-response внутри HTTPS путем перенаправления на специальный проверяющий сервер
В MITIGATOR предусмотрены контрмеры, позволяющие описать характерное поведение трафика защищаемого протокола и задать правила аутентификации отправителя
Специализированный протокол аутентификации пользователя методом Challenge Response, удобный для встраивания в защищаемое приложение. Поддерживается работа поверх протоколов TCP и UDP. Подробнее
Возможность создания и использования пользовательских программ обработки трафика. Подробнее
MITIGATOR может собирать фрагментированный трафик для дальнейшей обработки, а правила позволяют описать, какие фрагменты требуется собирать, а какие сбрасывать без обработки. Это позволяет эффективно защищаться от атак фрагментированным трафиком
MITIGATOR может блокировать отправителей трафика, если они обращаются к необычно большому числу сервисов. Подсчет обращений ведется независимо для TCP и UDP
MITIGATOR защищает игровые сервера от DDoS-атак по протоколам TCP и UDP. В продукте реализованы механизмы защиты для Counter Strike: GO и иных игр от Valve, а также Minecraft, Rust, ARK, Source Engine Query и пр. Добавляются новые механизмы защиты
Специализированный протокол аутентификации пользователя методом Challenge Response, удобный для встраивания в защищаемое приложение. Поддерживается работа поверх протоколов TCP и UDP.
Challenge response
02
В MITIGATOR предусмотрены контрмеры, позволяющие описать характерное поведение трафика защищаемого протокола
и задать правила аутентификации отправителя
и задать правила аутентификации отправителя
Защита специфичных протоколов
07
MITIGATOR поддерживает защиту методом SYN-proxy (TCP Splicing) если через него проходит исходящий трафик от защищаемых ресурсов
Защита TCP при симметрии трафика
06
MITIGATOR защищает игровые сервера от DDoS-атак по протоколам TCP и UDP. В продукте реализованы механизмы защиты для Counter Strike: GO и иных игр от Valve, а также Minecraft, Rust, ARK, Source Engine Query и пр. Добавляются новые механизмы защиты
Защита игровых серверов
03
MITIGATOR может собирать фрагментированный трафик для дальнейшей обработки,
а правила позволяют описать, какие фрагменты требуется собирать, а какие сбрасывать без обработки. Это позволяет эффективно защищаться
от атак фрагментированным трафиком
а правила позволяют описать, какие фрагменты требуется собирать, а какие сбрасывать без обработки. Это позволяет эффективно защищаться
от атак фрагментированным трафиком
Обработка фрагментированного трафика
09
MITIGATOR может блокировать отправителей трафика, если они обращаются к необычно большому числу сервисов. Подсчет обращений ведется независимо для TCP и UDP
Защита от ковровых
и веерных атак
и веерных атак
10
MITIGATOR анализирует логи web-серверов для выявления атакующих ботов дополнительно к защите TLS. Кроме того, можно выполнять аутентификацию отправителей методом challenge-response внутри HTTPS путем перенаправления на специальный проверяющий сервер
Защита HTTPS
08
MITIGATOR позволяет защищать TLS-приложения без расшифровки трафика за счет анализа параметров TLS разными методами и с помощью JA3/JA4-отпечатков. В сочетании с другими контрмерами и анализатором логов Web-сервера возможно добиться максимальной эффективности защиты
Защита TLS
04
Для защиты от атак по протоколу TCP при наличии только входящего трафика MITIGATOR использует общепринятые методы проверки сбросом TCP-сессии и неправильным номером последовательности при разных сочетаниях флагов.
В дополнение к стандартным защитным механизмам доступен уникальный режим работы с синхронизацией ISN, при котором защита при асимметрии трафика не требует лишнего обмена пакетами или разрыва соединения с клиентом. Поддерживается активация адресной защиты только для серверов, находящихся под атакой, что исключает негативное влияние на трафик других сервисов
В дополнение к стандартным защитным механизмам доступен уникальный режим работы с синхронизацией ISN, при котором защита при асимметрии трафика не требует лишнего обмена пакетами или разрыва соединения с клиентом. Поддерживается активация адресной защиты только для серверов, находящихся под атакой, что исключает негативное влияние на трафик других сервисов
Защита ТСР при ассиметрии трафика
01
Возможность создания
и использования пользовательских программ обработки трафика.
и использования пользовательских программ обработки трафика.
Программируемый
фильтр
фильтр
05
/05 Аудит и журналирование
sFlow
MITIGATOR может отправлять sFlow по входящему и сброшенному трафику с различными значениями семплирования
PCAP
В MITIGATOR доступен ручной и автоматический сбор дампов трафика с возможностью отправки пользователю по e-mail и в Telegram или через размещение на файловом хранилище
Инциденты
Подробно журналируются изменения характеристик трафика, интерпретируемые как атаки. Реализована периодическая отправка отчетов об инцидентах в политиках защиты, а также подписка на уведомления о событиях системы
Syslog Drops
MITIGATOR может отправлять syslog-сообщения о каждом сброшенном сетевом пакете указанных контрмер и политик для последующего анализа в SIEM-системах
MITIGATOR может отправлять уведомления о событиях системы по email, syslog, через Telegram и сервис Весточка. Пользователь сам выбирает о каких событиях уведомлять
Варианты установки
MITIGATOR может работать в режимах L2-transparent и L3-router, inline, on-a-stick, common lan. Способ интеграции зависит от структуры сети и задач. Трафик на MITIGATOR можно направлять постоянно или только в момент атаки. Поддерживается взаимодействие по BGP. Читать подробнее
Кластеризация
В режиме кластера несколько экземпляров системы MITIGATOR пользуются едиными базами данных и управляются централизованно.
За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными. Подробнее
Существует несколько принципиальных схем внедрения, которые могут быть скомбинированы между собой:
За счет добавления дополнительных экземпляров система допускает неограниченное масштабирование. Режим кластера позволяет обрабатывать трафик независимо на каждом экземпляре, но управлять ими из единого интерфейса. При плановом или аварийном отключении любого экземпляра сохраняется возможность управления остальными. Подробнее
Существует несколько принципиальных схем внедрения, которые могут быть скомбинированы между собой:
Шаги по внедрению MITIGATOR
1
Обращение клиента по доступным каналам связи
2
Анализ потребностей клиента, обсуждение аспектов сделки
Пилотный проект
Практические испытания и обучение основным принципам работы с MITIGATOR
3
Настройка MITIGATOR в соответствии с особенностями инфраструктуры клиента
Постановка на защиту
4
5
6
Обратитесь к нам, заполнив небольшую форму:
MITIGATOR обнаруживает и автоматически подавляет DDoS-атаки уровней L3-L7 модели OSI. В продукте реализовано более 50 контрмер основанных на механизмах: challenge-response, rate-based, regexp, validating, limiting, iplist, application behavior
В MITIGATOR поддерживается не только указание конкретных IP-адресов или TLS-отпечатков, но и обновляемые именованные списки из различных источников, в том числе MITIGATOR Feeds — регулярно обновляемые репутационные списки IP-адресов, автономных систем и JA3-отпечатков, формируемые командой MITIGATOR
Поддерживается взаимодействие по BGP и BGP FlowSpec для перенаправления трафика на очистку, сигнализации вышестоящему оборудованию, blackhole-анонсов, приёма и отправки BGP FlowSpec-правил. Каждый экземпляр MITIGATOR – независимый BGP-спикер с возможностью автоматического снятия анонсов при отказе устройства фильтрации. Подробнее о взаимодействии по BGP
Детектор адресной защиты и механизм адресной активации позволяют применять проверки только для IP-адресов, трафик на которые превышает установленный порог, что дает возможность гибко настроить обработку трафика и не оказывать влияния на трафик сервисов не под атакой
MITIGATOR поддерживает возможность создания сервиса по защите от DDoS-атак. Разделение трафика позволяет обеспечить независимые настройки фильтрации для отдельных клиентов. Поддерживается гибкая ролевая модель и управление парольной политикой
В MITIGATOR встроен механизм проверки настроек защиты без влияния на трафик. В тестовый режим можно перевести отдельные контрмеры или политику целиком
В MITIGATOR разделение и фильтрации трафика возможны не только по адресу назначения, но и по любому сочетанию 5-tuple. Это позволяет выводить трафик конкретных сервисов в отдельные политики защиты и применять для очистки только необходимые контрмеры
MITIGATOR поддерживает режим работы, в котором активные контрмеры в течение установленного времени после включения не сбрасывают трафик неизвестных соединений и добавляют записи о них в таблицы аутентифицированных. Это позволяет не влиять на трафик соединений, установленных до включения защиты.
При отключении в режиме Мягкий стоп MITIGATOR не разорвет установленные сессии, а дождется их закрытия.
При отключении в режиме Мягкий стоп MITIGATOR не разорвет установленные сессии, а дождется их закрытия.
MITIGATOR поддерживает работу в кластере, что обеспечивает максимальную надежность защиты за счет резервирования. Производительность обработки трафика растет за счет увеличения количества узлов фильтрации. Механизмы синхронизации данных между экземплярами кластера помогают обеспечить бесшовный переход трафика
В MITIGATOR встроена функция автоматической активации и деактивации механизмов по установленным порогам, как по трафику, проходящему через систему, так и по данным коллектора Flow. Поддерживается независимое указание порогов и скорости реакции на их превышение для каждой политики защиты