به گزارش سرمدنیوز، نعیم فرهادیان در کارگاه آموزشی راهکار امنیت ابری داتین دردومین روز از چهارمین نمایشگاه تراکنش ایران گفت: حملات DDOS خطری واقعی است که هر وب سایتی به محافظت در برابر آن نیازمند است. انواع مختلفی از حملات وجود دارد که در صورت انجام هر یک از حملات DDOS ؛ دیتاسنتر اینترنت مشتری را قطع کرده و این شرایط برای بانکها شدیدتر هم میشوند چرا که بانکها سرورهایشان را پیش خود نگهداری میکنند این اتفاق سبب میشود پهنای باند کمتر شود.
وی بیان کرد: بعد از اتفاق افتادن حمله، اینترنت دیتاسنتر قطع شده و سرویس از مدار خارج میشود همچنین در توضیح دقیقتر حملات نام برده می توان به حملات لایه ۳ و ۴ اشاره کرد که در این حملات آنقدر درخواست ارسال میشود که پهنای باند پر میشود یعنی اگر بتوانند حملهای بیشتر از پهنای باند ارایه دهند سرورها پر شده و کل دیتاسنتر از مدار خارج میشود. حمله میتواند به گونهای باشد که FIREWALLو VAST را مورد هدف قرار دهد.
در حملات لایه 7 نیز درخواستهای HTTP یا HTTPS به سرور ارسال میشود که در نهایت هدف حمله اشغال رم یا CPU سرور است در این حالت DDOS PROTECTION بین مشتریان و دیتاسنتر قرار گیرد که این راهکار جزیئات مختلفی دارد. در اینگونه حفاظت ها قرار است کاربرها به جای ارتباط با دیتاسنتر به لایه امنیتی ما متصل شده و سپس به سرور اصلی وصل شوند.
فرهادیان در ادامه اظهار کرد: نکته مهم این است که چه طور جلوی حملهها گرفته شود که این به نوع حملهها باز میگردد.اولین راه استفاده از CDN است که سرویس HTTP و HTTPS ارایه میدهد تا درخواستهای هر سرویس را اول به سرویس امنیتی ما انتقال داده و بعد از اطمینان از سالم بودن درخواست آن را به دیتاسنتر منتقل کند.در نتیجه در این روش همه حملهها به سمت ما میآید. اما بعضی اوقات سرویس ارایه شده مبتنی بر HTTP وHTTPS نیست که در این حالت کل ترافیک روی تعدادی لایه سوم ارسال شده و ترافیکی که حمله به حساب نیاید به سمت دیتاسنتر منتقل میشود.
وی در ادامه گفت: در راهکار بعدی ما هر سرویسی که مبتنی بر TCP باشد درخواستش را دریافت کرده و بعد به دیتاسنتر منتقل میکنیم که این راهکاری مناسب برای بانکهاست. به این دلیل که IP، همان IP بانک باقی میماند و هیچ ساختاری تغییر نمیکند حال میتوان به کمک یک FIREWALL توزیع شده بانک را از حمله نجات دهیم. این راه کار برخلاف راه کار CDN عمومی با همکاری شرکت داتین برای بانکها و شرکتهای بانکی ارایه شده است.
البته یکی از کارهایی که ابراروان انجام میدهد این است که قبل از رسیدن حمله به نتوورک لینوکس میتوانیم ان را تشخیص دهیم و آن را دفع کنیم.
فرهادیان در پایان صحبتهایش بیان کرد: دیتاسنترها در ایران اپ لینک زیادی ندارند و حداکثر چیزی که در اختیارشما قرار میدهند اپ لینک چند گیگابایتی هستند اما عدد حمله اتفاق افتاده می تواند تا ۴۰۰ الی ۵۰۰ گیگابیت باشد که در صورت وقوع این حمله در ایران ممکن است حتی شرکت زیر ساخت نتواند ان را دفع کند، ما شبکهای را ایجاد کردیم که اپ لینکهای زیادی دارد و میتواند هر حمله DDOS را شناسایی و دفع کند .
در سیستم طراحی شده ما سرورها به صورت کانالهای توزیع شده ایجاد شدهاند تا بتوانیم جلوی هر حملهای را بگیریم در آمریکا در سه نقطه در اروپا در ۶ نقطه و در استرالیا و در کل ایران سرورها قرارداده شدهاند.