https://docs.mitigator.ru/v26.04/kb/ Recent content in База знаний on BIFIT Mitigator Hugo -- gohugo.io ru https://docs.mitigator.ru/v26.04/kb/cluster/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/cluster/ MITIGATOR может быть собран в кластер различных конфигураций, с разным набором подсистем и их взаимосвязей в зависимости от решаемой задачи и ограничений. В статье перечислены ключевые термины, описывающие кластеризацию MITIGATOR на различных уровнях. Уровни кластеризации В таблице представлен пример кластера из четырех экземпляров MITIGATOR, в котором на разных уровнях экземпляры выполняют разные роли. Под экземпляром понимается устройство, на котором развернута одна или несколько подсистем MITIGATOR. Обычно на экземпляре как минимум развернут Backend, но в некоторых случаях это могут быть другие подсистемы, например Colleсtor или Graphite. https://docs.mitigator.ru/v26.04/kb/functionality/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/functionality/ В статье перечислены основные функциональные возможности программного комплекса для защиты от DDoS-атак MITIGATOR. Защита от DDoS-атак MITIGATOR защищает от атак на уровнях от сетевого до прикладного модели OSI (объёмных, на исчерпание сессий и уровня приложений). Создание сервиса Типовая конфигурация MITIGATOR поддерживает возможность создания сервиса по защите от DDoS-атак. Работа на стандартном оборудовании MITIGATOR работает на серверах стандартной конфигурации. Не требуется приобретение специализированной аппаратной платформы, что уменьшает расходы на обслуживание. Гибкость внедрения MITIGATOR устанавливается без перестраивания сети заказчика. https://docs.mitigator.ru/v26.04/kb/deploy/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/deploy/ В MITIGATOR реализована поддержка множества сценариев встраивания в сеть заказчика. Ниже описаны основные термины и способы внедрения в сеть, а также примеры внедрения. Внешняя и внутренняя сети Логически MITIGATOR подключается к двум сетям: Внешняя сеть (external) – сеть, из которой приходит трафик, требующий очистки; Внутренняя сеть (internal) – сеть, в которой расположены защищаемые ресурсы. Трафик из внешней сети – трафик, поступающий в MITIGATOR из внешней сети. Состоит из трафика атаки и легитимного трафика. https://docs.mitigator.ru/v26.04/kb/quick-setup/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/quick-setup/ Материалы данной статьи призваны облегчить понимание основных принципов организации защиты при помощи MITIGATOR. Далее приводится пример настройки системы в первой итерации. Одна из особенностей MITIGATOR — порядок обработки трафика. Вначале все пакеты обрабатываются в «Общей защите», затем правила маршрутизации по 5-tuple распределяют трафик по политикам защиты, а после политик трафик возвращается в «Общую защиту» на оставшиеся контрмеры. Обработка обратного трафика от защищаемого ресурса в данной статье не рассматривается. Информация MITIGATOR поддерживает работу с коллекторами Flow. https://docs.mitigator.ru/v26.04/kb/bgp/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp/ Информация Статья устарела и требует актуализации. В MITIGATOR реализована поддержка множества сценариев взаимодействия по BGP. Каждый экземпляр кластера может выступать в качестве независимого BGP-спикера, анонсировать префиксы, а также рассылать и принимать FlowSpec-правила. Памятка Более подробно о всех аспектах настройки взаимодействия ниже. Локальные параметры BGP Выполняется определение локальных параметров экземпляров кластера и для каждого экземпляра персонально разрешается установка BGP-соединения с BGP-соседями. BGP-соседи Экземпляры MITIGATOR могут устанавливать BGP-соединение с другими устройствами сети, каждое из которых задается в системе как BGP-сосед. https://docs.mitigator.ru/v26.04/kb/bgp-signaling/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp-signaling/ В статье описывается применение BGP в MITIGATOR в сценарии сигнализации вышестоящим операторам связи или поставщикам услуг защиты (MSSP). Задачи сигнализации Когда MITIGATOR работает как периметровая защита от DDoS-атак, он может самостоятельно подавить атаку до суммарной пропускной способности входящих каналов. Для избежания переполнения входящих каналов можно подключать грубую фильтрацию у вышестоящих операторов связи или поставщиков услуг защиты. MSSP для клиентской сигнализации на включение фильтрации могут использовать REST API, BGP, BGP FlowSpec и закрытые проприетарные протоколы. https://docs.mitigator.ru/v26.04/kb/system-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/system-checklist/ Список шагов Настроить интеграцию в сеть. Указать лицензионный ключ и задать лимиты. Настроить взаимодействие по BGP. Загрузить в систему справочные базы данных GeoIP. Настроить каналы доставки уведомлений о событиях системы. Настроить рассылку уведомлений через syslog. Включить защиту. (Опционально) Загрузить логотипы и фоновые изображения для различных тем интерфейса. (Опционально) Выбрать тип темы интерфейса и стиль отображения графиков. Подробно 1. Настроить интеграцию в сеть. Настройка производится независимо для каждого экземпляра системы и зависит от организации сетевой инфраструктуры и решаемых задач. https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/policy-checklist/ Список шагов Убедиться, что заданы правила маршрутизации для политики. Настроить в политике отображение только нужных контрмер. Настроить контрмеры. Настроить автоматический захват пакетов. Настроить автодетектирование. (Опционально) Проверить влияние на легитимный трафик через тестовый режим. Включить политику защиты. (Опционально) Настроить анализатор логов. (Опционально) Закрепить графики контрмер. Подробно 1. Убедиться, что заданы правила маршрутизации для политики. На вкладке «Настройка политики» страницы «Политика защиты» убедиться, что для политики заданы правила маршрутизации. 2. Настроить в политике отображение только нужных контрмер. https://docs.mitigator.ru/v26.04/kb/bypass/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bypass/ MITIGATOR поддерживает аппаратный байпас сетевых адаптеров Silicom и LR-Link. Проверенные адаптеры Silicom: PE2G4BPI35LA Quad Port Copper 1G Ethernet PCIe Bypass Network Adapter (Intel i350AM4) PE2G6BPI35 Six Port Copper 1G Ethernet PCIe Bypass Network Adapter (Intel i350AM4) PE210G2BPI9 Dual Port Fiber 10G Ethernet PCIe Bypass Network Adapter (Intel 82599ES) PE310G4BPI71 Quad Port Fiber 10G Ethernet PCIe Bypass Network Adapter (Intel XL710BM1) PE340G2BPI71 Dual Port Fiber 40G Ethernet PCIe Bypass Network Adapter (Intel XL710) P4CG2BPI81 Dual Port Fiber 100G Ethernet PCIe Gen 4. https://docs.mitigator.ru/v26.04/kb/isolcpus/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/isolcpus/ По умолчанию ядра CPU, работающие с сетевыми портами, используются и другими подсистемами. Это может снижать производительность и вызывать всплески Input Errors pps/bps на графиках Port extX/intX. Можно снять часть нагрузки с этих ядер, запретив некритичным подсистемам выполняться на них. Для этого: В опциях ядра пропишите изоляцию ядер обработчика пакетов через параметры isolcpus=... и rcu_nocbs=.... Также рекомендуется добавить mitigations=off для отключения патчей безопасности ядра. В .env добавьте параметры: DATA_PLANE_CPUS — список ядер, выделенных под обработчик пакетов (dataplane); CONTROL_PLANE_CPUS — список ядер, выделенных под остальные подсистемы (все остальные ядра). https://docs.mitigator.ru/v26.04/kb/graphite/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/graphite/ В MITIGATOR для работы с графиками используются: ClickHouse, Graphite, Grafana, Carbon, CarbonAPI. Все перечисленное имеет возможности для более точной настройки в зависимости от требований. Статьи, описывающие различные аспекты настройки: Доступ к интерфейсу Grafana Graphite на отдельном сервере Изменение конфигурационных параметров ClickHouse Подключение внешней Grafana Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite https://docs.mitigator.ru/v26.04/kb/pgfailover/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/pgfailover/ pgfailover наблюдает за состоянием кластера PostgreSQL и выступает для клиентов как TCP-прокси к текущему Primary. При смене Primary pgfailover разрывает соединения с клиентами, и они должны переподключиться. Параметры подключения задаются через переменные окружения с префиксом PGFAILOVER_: export PGFAILOVER_BIND_ADDRESS=":5432" export PGFAILOVER_SERVERS="postgres://repuser@pg0.example.com/database?sslmode=disable&connect_timeout=5 postgres://repuser@pg1.example.com/database?sslmode=disable&connect_timeout=5" ./pgfailover Роль сервера (Primary/Standby) проверяется pg_is_in_recovery() по умолчанию раз в 5 секунд (PGFAILOVER_INTERVAL), количество попыток подключения регулируется переменной PGFAILOVER_ATTEMPTS (по умолчанию 1). pgfailover может автоматически переводить локальный PostgreSQL в Primary. https://docs.mitigator.ru/v26.04/kb/mellanox/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/mellanox/ Подготовка системы Работа с картами Mellanox (NVIDIA) требует актуальной версии драйвера и прошивки устройства NVIDIA MLNX_OFED. По указанной ссылке в разделе Download в таблице Current Versions выбрать актуальную версию MLNX_OFED для нужного дистрибутива операционной системы. При отсутствии нужной версии ОС выбрать ближайшую по старшинству. При отсутствии нужной ОС в списке MLNX_OFED не устанавливать. Проверена работа на Debian 10+ и Ubuntu 20.04+. Скачать .tgz-архив пакета MLNX_OFED. Распаковать архив и запустить установку. В процессе установки произойдёт обновление прошивки всех сетевых карт Mellanox (NVIDIA), обнаруженных в системе. https://docs.mitigator.ru/v26.04/kb/echelon/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/echelon/ Наибольшую эффективность при защите от DDoS-атак показывают схемы эшелонированной обороны, где тонкой очисткой трафика, поступающего в защищаемую сеть, занимается on-premise устройство на границе сети, а защитные механизмы на уровне вышестоящего оператора связи позволяют предотвратить переполнение канала. Постоянно включенная защита на стороне оператора связи может вызывать проблемы и оказывать негативное влияние на легитимный трафик, поэтому она должна активироваться только по необходимости. Для этого сценария требуется настроить взаимодействие между эшелонами защиты — облачную сигнализацию. https://docs.mitigator.ru/v26.04/kb/dataplane.conf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/dataplane.conf/ Обработчик пакетов настраивается через файл dataplane.conf. Файл необходимо поместить в рабочий каталог MITIGATOR и добавить в него настройки, которые требуется изменить. Для незаданных настроек используются значения по умолчанию. Комментарии задаются через #, // или /* */. Доступные параметры (указаны значения по умолчанию): # IP-адрес сокета управления приложением. control_address: 0.0.0.0 # TCP-порт сокета управления приложением. # [1, 65535] control_port: 8888 # TCP-порт отладочного сокета управления приложением. # [1, 65535] debug_port: 8889 # TCP-порт gRPC-сокета управления приложением. https://docs.mitigator.ru/v26.04/kb/amd/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/amd/ Настройка BIOS для платформ AMD EPYC и Ryzen Threadripper Перечислены основные настройки, требующие внимания. Названия настроек могут отличаться от указанных. Сверьтесь с документацией по настройке BIOS для вашей платформы. Режим одной NUMA-ноды на CPU. Разбивать один CPU на несколько нод не рекомендуется: NUMA Nodes Per Socket: NPS1 Включение Extended APIC. Рекомендуется для серверных CPU: Local APIC mode: x2APIC Поддержка виртуализации: SVM: Enabled IOMMU: Enabled Режим максимальной производительности CPU: Determinism Control: Enable Determinism Slider: Power https://docs.mitigator.ru/v26.04/kb/incidents/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/incidents/ Период обновления графиков инцидентов по умолчанию равен 60 секундам. Для удобства работы с графиками инцидентов может потребоваться изменить период их обновления: Создать файл incident.yml и поместить в него: services: backend: environment: INCIDENT_UPDATE_PERIOD: "30" Здесь 30 – значение периода обновления в секундах. В файле .env задать переменную incident.yml: COMPOSE_FILE=docker-compose.yml:docker-compose.override.yml:incident.yml Перезапустить MITIGATOR: systemctl restart mitigator Похожие статьи Graphite на отдельном сервере Документация pgfailover Доступ к интерфейсу Grafana Изменение конфигурационных параметров ClickHouse Изоляция ядер для оптимизации производительности Использование единого Graphite для нескольких кластеров MITIGATOR Настройка времени хранения метрик в Graphite Настройка системы для карт Mellanox (NVIDIA) Настройка эшелонированной защиты на базе MITIGATOR Настройки обработчика пакетов https://docs.mitigator.ru/v26.04/kb/bpf/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bpf/ Когда не хватает готовых контрмер, MITIGATOR позволяет добавить свои с помощью контрмеры «Программируемый фильтр» (BPF). Написание программ требует небольшой квалификации, но позволяет оперативно решить сложные задачи: Защита для приложений и протоколов, которые еще не поддержаны. Если известно, как работает приложение, как защитить его трафик, не требуется обращаться к разработчикам и ждать очередной версии. Более сложные фильтры, чем позволяют контрмеры ACL и REX. Например, можно анализировать опции TCP и IP, любые соотношения параметров пакетов, заголовки и содержимое одновременно и как угодно. https://docs.mitigator.ru/v26.04/kb/ss-feeds/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/ss-feeds/ Командой MITIGATOR формируются регулярно обновляемые репутационные списки IP-адресов, автономных систем и JA3-отпечатков (далее “фиды”). Фиды могут импортироваться в MITIGATOR в виде именованных списков и применяться в контрмерах и правилах маршрутизации. Для этого в качестве типа источника именованного списка следует указать Mitigator feeds и выбрать необходимый фид. Фиды недоступны для скачивания или просмотра содержимого, даже через Web-интерфейс MITIGATOR. Информация Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для работы с фидами требуется MITIGATOR версии v23. https://docs.mitigator.ru/v26.04/kb/users-guide/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/users-guide/ Идет загрузка файла. https://docs.mitigator.ru/v26.04/kb/bgp-state/ Mon, 01 Jan 0001 00:00:00 +0000 https://docs.mitigator.ru/v26.04/kb/bgp-state/ Для обеспечения бесперебойного прохождения трафика через MITIGATOR обычно требуется снимать BGP-анонсирование при потере связности с граничными маршрутизаторами. По умолчанию при схеме внедрения в сеть L3-router анонсирование по BGP может происходить только при разрешении на MITIGATOR router_mac граничных маршрутизаторов внешней и внутренней сетей. В случае потери связности с любым из них анонсы снимаются. Однако, в некоторых случаях требуется продолжать BGP-анонсирование даже при падении граничных маршрутизаторов, для чего в файле docker-compose.yml следует указать: