Zaawansowana ochrona przed DDoS, SYN/ICMP Flood, Ping of Death, skanowaniem portów i SPAM. Analiza połączeń w czasie rzeczywistym z wykrywaniem wzorców ataków i automatycznym blokowaniem agresorów.
Operatorzy ISP i administratorzy sieci firmowych są celem wielu rodzajów ataków sieciowych - od masowych ataków DDoS po subtelne skanowanie infrastruktury. Ochrona w czasie rzeczywistym jest kluczowa. Wykrywanie i reagowanie na incydenty bezpieczeństwa to jeden z fundamentalnych obowiązków podmiotów objętych KSC/NIS2 - DDoS Monitor w FiQs zapewnia ciągłą analizę ruchu i natychmiastowe powiadomienia.
Infrastruktura ISP i sieci firmowe są atrakcyjnym celem dla atakujących z kilku powodów: duża przepustowość łączy może być wykorzystana do amplifikacji ataków, setki użytkowników stanowią potencjalne ofiary phishingu i malware, a sam router brzegowy - jeśli zostanie skompromitowany - daje atakującemu kontrolę nad całym ruchem sieciowym. W sieci korporacyjnej z tysiącami pracowników skala zagrożenia jest porównywalna z infrastrukturą ISP. Najczęstsze typy ataków to:
DDoS (Distributed Denial of Service) - zalanie infrastruktury ogromną ilością ruchu z wielu źródeł jednocześnie. SYN Flood - wyczerpanie tablicy połączeń TCP poprzez masowe wysyłanie pakietów SYN bez dokończenia handshake. ICMP Flood i Ping of Death - ataki na warstwę sieciową wykorzystujące protokół ICMP. Skanowanie portów - rekonesans przed właściwym atakiem, identyfikacja otwartych usług i podatności. SPAM - masowe przesyłanie niechcianej poczty przez skompromitowane hosty w sieci klientów.
Analiza połączeń w czasie rzeczywistym z identyfikacją adresów IP generujących anomalnie wysoki ruch. Top 50 IP według liczby połączeń.
Śledzenie stanów SYN_SENT i SYN_RECV w tablicy conntrack. Wykrywanie prób wyczerpania zasobów serwera przez niekompletne połączenia TCP.
Ograniczanie ruchu ICMP, ochrona przed Ping of Death i Smurf attack. Rate limiting na poziomie kernela Linux.
Wykrywanie systematycznego skanowania portów - typowy pierwszy krok rekonesansu przed celowanym atakiem na infrastrukturę.
Wykrywanie i ograniczanie masowego ruchu SMTP z sieci klientów, zapobiegając wykorzystaniu infrastruktury ISP do rozsyłania spamu.
Automatyczne blokowanie podejrzanych adresów IP jednym kliknięciem. Natychmiastowa reakcja na wykryte zagrożenia bez edycji reguł iptables.
FiQs łączy DDoS Monitor z wielowarstwową ochroną, oferując analizę w czasie rzeczywistym, wykrywanie wzorców ataków i możliwość natychmiastowej reakcji.
Moduł DDoS Monitor analizuje tablicę połączeń (conntrack) w czasie rzeczywistym, identyfikując adresy IP z anomalnie wysoką liczbą jednoczesnych sesji. System wyświetla Top 50 adresów IP posortowanych według liczby połączeń, co natychmiast ujawnia źródła potencjalnych ataków DDoS. Dla każdego adresu widoczna jest liczba połączeń w poszczególnych stanach TCP - w tym kluczowe SYN_SENT i SYN_RECV, które wskazują na atak SYN Flood. Niezależnie od tego, czy FiQs chroni sieć ISP, kampus uczelni czy infrastrukturę korporacji, mechanizm detekcji działa identycznie.
DDoS Monitor prezentuje również statystyki ruchu na każdym interfejsie sieciowym, pozwalając zidentyfikować, które łącze jest celem ataku. Administrator widzi przepustowość wejściową i wyjściową w czasie rzeczywistym, co jest kluczowe przy atakach wolumetrycznych, gdzie samo badanie liczby połączeń nie wystarczy.
System automatycznie wykrywa wzorce charakterystyczne dla różnych typów ataków - nagły wzrost połączeń SYN bez odpowiadających im połączeń ESTABLISHED, masowe skanowanie sekwencyjnych portów czy eksplozja ruchu ICMP. Podejrzane adresy IP można zablokować jednym kliknięciem, co natychmiast tworzy regułę DROP w iptables bez konieczności ręcznej konfiguracji firewalla.
Sprawdź INTRUX FiQs w akcji. Przetestuj panel administracyjny na żywo lub skontaktuj się z nami, aby omówić Twoje potrzeby.