Der folgende Artikel ist Teil 1 einer dreiteiligen Serie über die Fehlerbehebung bei DDoS-Angriffen und ein Gastbeitrag von Matt Conran von Netzwerkeinblick. In diesem Artikel behandelt Matt die NetBrain Herangehensweise an DDoS und wie effektive Teamzusammenarbeit der einzige Weg ist, um gegen die Eskalation von Angriffen zu gewinnen.
Wir befinden uns mit den jüngsten DDoS-Angriffen in einer Pechsträhne; Bestehende Ansätze hinken eindeutig hinterher. Es geht nicht nur um kreative Maschinenalgorithmen zur Früherkennung oder Fortschritte bei Minderungslösungen. Die gesamte DDoS-Lösung muss als Ganzes angegangen werden, einschließlich der Reaktion von Teams auf solche Ereignisse.
Das Schlüsselelement zum Stoppen eines DDoS ist die Fehlerbehebung. Dies muss in einem automatischen API-Ansatz in die Erkennungs- und Abwehrlösung eingebunden werden. NetBrain Lösung bietet dieses fehlende Teil für die effektive Fehlerbehebung jeder Art von DDoS.
NetBrainDie Lösungen von s ermöglichen es Ingenieuren, jede Art von Verkehrsfluss abzubilden, was ein Maß an Transparenz ermöglicht, das erforderlich ist, um die Sicherheitsereignisse zu verfolgen, die auf alle Schichten des Open Systems Interconnection Model (OSI)-Modells abzielen. All dies kann in Sekunden erledigt werden – ein mächtiges Werkzeug zur Bekämpfung von Cyberkriminellen.
Bewaffnet mit der NetBrain Toolset können Netzwerk- und Sicherheitsteams jede Netzwerkaufgabe oder jeden Workflow automatisieren. Verschiedene Teams können bei Bedarf zusammenarbeiten und jeden Teil des Netzwerks visualisieren und detaillierte Aspekte dieses Abschnitts anzeigen.
Gegen einen DDoS zu gewinnen ist nicht nur ein technischer Kampf. Die Einrichtungen innerhalb NetBrain die Zusammenarbeit im Team zu verbessern und die ebenso wichtige Vorbereitung zu fördern. NetBrain spielt eine wichtige Rolle und beseitigt die Panik, wenn DDoS Sie trifft.
The Art of Networking schafft zahlreiche unterschiedliche intelligente Netzwerke. Keine zwei Netzwerke sind jemals gleich. Dies macht die Fehlerbehebung bei DDoS zu einem individuellen Prozess, bei dem die meisten Talente in den Köpfen von Ingenieuren liegen. NetBrain enthält Tools zum Extrahieren von Fehlerbehebungsinformationen in eine zentrale Datenbank, was die automatische Bekämpfung eines DDoS-Ereignisses erleichtert. Deshalb heißt die Plattform Adaptive Network Automation – Anpassung an jedes Netzwerk und jede Aufgabe.
NetBrain ist das erste Unternehmen, das eine DDoS-Kollaboration startet. Das bietet NetBrain Kunden die Möglichkeit, ausführbare Dateien zusammenzufassen und gemeinsam zu nutzen runbooks, die zur Bekämpfung von DDoS-Angriffen verwendet werden. Zusammenarbeit ist ein Schlüsselfaktor, um gegen DDoS erfolgreich zu sein.
Die Lösung basiert auf Dynamic Netzwerkzuordnung, Ausführbar Runbooks und Out-of-Box-Integration; zu einer kompletten DDoS-Lösung verklebt. Ingenieure können eine erstellen dynamic map eines beliebigen Teils des Netzwerks in Sekunden, wählen Sie einfach zwei Punkte aus und die Karte führt die Analyse durch.
Das runbook gibt diesen zusätzlichen Schub, indem es schreibgeschützte Analysen durchführt und maßgeschneiderte Daten aus dem Netzwerk zieht. Damit kommst du direkt ins Unkraut. Die extrahierten Details sind unendlich; Es ist, als hätte man eine vollständige Schnittstelle zu Ihrem Netzwerk. Es ist ähnlich, wie Google eine Suchmaske für Milliarden von Websites bereitstellt.
Das NetBrain Umfangreiche, sofort einsatzbereite Integrationsfunktionen ermöglichen der Plattform die vollständige Integration mit jeder DDoS-Erkennungs- und Abwehrlösung. NetBrain Anwendungsprogrammschnittstelle (API) ermöglicht den vorübergehenden Übergang; Füllen Sie das fehlende Teil des DDoS-Puzzles – Fehlerbehebung und Zusammenarbeit im Workflow-Team.
Das dynamic map ist die Schlüsselkomponente, die es Ingenieuren ermöglicht, einen kritischen Fluss abzubilden und jeden Datenpunkt zu durchsuchen, um ihn vollständig sichtbar zu machen. Es fungiert als zentrales Fenster für alle Konfigurationen, Leistungsdaten, Statistiken, Ereignisse und Protokolle mit der Möglichkeit, Daten aus anderen Systemen von Drittanbietern abzurufen.
Es meldet sich rekursiv bei jedem Gerät an und zieht Daten aus Quellen wie Firewall-Regeln, Lastausgleichsprotokollen, Routing-Tabellen, VRF-Designs und vielem mehr in eine einfach anzuzeigende grafische Benutzeroberfläche (GUI). Es führt effizient und schnell als Traceroute jemals konnte. Es extrahiert eine Detailebene, die sonst Stunden durch den manuellen Ansatz dauern würde. NetBrain erledigt all dies in nur wenigen Sekunden.
NetBrain ermöglicht es Ingenieuren, jeden Datenpunkt in Sekundenschnelle nach detaillierter und maßgeschneiderter Netzwerktransparenz zu durchsuchen. Wenn Sie beispielsweise ein DDoS-Ereignis beheben, das ein Problem mit der OSPF-Nachbarschaft (Open Shortest Path First) verursacht, können Sie einen Drilldown für eine einzigartige benutzerdefinierte Karte durchführen und verschiedene Informationsebenen zur weiteren Analyse aktivieren. Oder wenn Sie DDoS auf einer bestimmten Website vermuten, können Sie diesen bestimmten Bereich aufschlüsseln, um weitere Informationen zu erhalten.
Sobald Sie die Datenpunkte ausgewählt haben, können Sie fast endlose Details heranzoomen, um Leistungsmetriken, Designs oder Sicherheitsfunktionen oder sogar Konfigurationsprüfungen einzubeziehen.
Um zu einer zusätzlichen Detailebene zu gelangen, können Ingenieure eine ausführen ausführbar runbook. Auf diese Weise können Sie praktisch jede Netzwerkverwaltungsaufgabe automatisieren. Ausführbar runbooks werden automatisch ausgelöst, sind erweiterbar, verfolgen die Ergebnisse und werden von der Community unterstützt, was Echtzeit-Visualisierung und DDoS-Auswirkungsanalyse ermöglicht.
A runbook bietet eine hervorragende Methodik und ist ein Container für die Automatisierung. Jeder Schritt oder Spiel in einem runbook ist ein Teil des Automaten in einem Workflow. Da sie ausführbar sind, können sie durch ein externes System und ein externes Ereignis ausgelöst werden. Ein DDoS-Erkennungssystem kann a runbook nach Erkennung einer Verkehrsanomalie.
Für eine tiefere Granularität sind zusätzliche Schritte innerhalb der runbook sind als Qapp bekannt . Qapp wird von Python betrieben, aber dies wird alles von einer assistentengesteuerten GUI abstrahiert. Sie müssen kein Programmierer sein. Sie sind wie eine Dateierweiterung mit mehreren Komponenten; jede Komponente kann die haben "Aussagen" Befehle.
Das Auslösen eines DDoS-Ereignisses zieht alle Ressourcen aus dem Adaptive Network Automatisierungstechnik-Set. Ein externes IDS-System signalisiert einen Angriff und meldet ein Ereignis. Dies löst automatisch eine Reihe von ausführbaren Dateien aus runbooks basierend auf der Art des erkannten Angriffs.
Runbooks arbeiten auf jeder Ebene des OSI-Modells und unterstützen die Fehlerbehebung der raffiniertesten DDoS-Angriffe. Sie können Load-Balancer- oder Webserver-Protokolle abrufen, um nach bestimmten Fehlern in TCP-Headern (Transmission Control Protocol) zu suchen. Manuell würde das ewig dauern. Jeder Show-Befehl wird ausgeführt und visuell dargestellt. Bei jedem einzelnen Hop wird eine Echtzeitanalyse durchgeführt.
Verschiedene Stadien innerhalb von a runbook kann durch unregelmäßige Verkehrsmuster ausgelöst werden, was die zusätzlichen Qapps für eine tiefere Netzwerkanalyse ermöglicht. Wenn beispielsweise die Schnittstellenzähler steigen oder aufgrund eines HTTP-DDoS-Angriffs viele HTTP-Prozesse auf einem Backend-Server stattfinden, kann dies automatisch eine Reihe von Qapps zur weiteren Überprüfung auslösen. All dies geschieht ohne menschliche Interaktion.
Einige DDoS-Angriffe sind leiser und verursachen zeitweilige Netzwerkprobleme. Sie sind schwieriger zu beheben, da Sie im Moment anwesend sein müssen, um die Daten während des Vorgangs zu erfassen. Automatisch ausgelöst runbooks kann jeden Aspekt des Netzwerks überprüfen, sogar den allgemeinen Gesamtzustand des Netzwerks, indem zeitweilige Probleme erfasst werden. Dies dramatisch reduziert Fehlalarme mit wenig menschlicher Interaktion.
Runbooks sind eine wirkungsvolle Möglichkeit, ein Team dahingehend zu beeinflussen, eine Reihe von Aktionen auszuführen. Eine Reihe von runbooks werden aus dem Kopf eines Ingenieurs abstrahiert und jeder andere kann sie verwenden, lernen und ausführen. Der Netzwerk-Held ist oft überarbeitet und nun kann die Person all ihr Wissen einer Reihe von anbieten runbooks, was eine breitere Teamintegration ermöglicht. Runbooks sind eine großartige Möglichkeit für die Zusammenarbeit im Team und die Verbesserung der Workflow-Integration. Sie können immer wieder mit gelernten Lektionen angereichert und auf dem Weg hinzugefügt werden.
Die Zusammenarbeit im Team ist eine wichtige Komponente für eine effiziente DDoS-Fehlerbehebung. Mehr als oft sind mehrere Teams beteiligt, z. B. Netzwerk, Sicherheit und Anwendung erforderlich. Wie können Sie Änderungen während Fehlerbehebungsereignissen von mehreren Teams nachverfolgen? Oder Diagnosedaten aus mehreren Branchen bündeln? NetBrain bietet Kollaborationsmedien, damit Ingenieure auf einer Karte zusammenarbeiten können. Alle Aktivitäten werden nachverfolgt und sind aufeinander abgestimmt. Beispielsweise werden alle Diagnosedaten, Hinweise oder Aktionen für alle Beteiligten einsehbar gespeichert. Es bietet eine einzige Quelle der Wahrheit für die gesamte DDoS-Fehlerbehebung.