Địa chỉ KĐT Pháp Vân, Ngõ 161 Ngọc Hồi, Hoàng Liệt, Hoàng Mai, Hà Nội Cài APP
Email Ducht.hni@vnpt.vn Hotline: 0919.97.92.91
Địa chỉ KĐT Pháp Vân, Ngõ 161 Ngọc Hồi, Hoàng Liệt, Hoàng Mai, Hà Nội Cài APP
Email Ducht.hni@vnpt.vn Hotline: 0919.97.92.91

Dịch vụ VNPT Anti-DDOS là dịch vụ phát hiện và giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán (DDoS) đảm bảo duy trì hiệu suất và tính sẵn sàng dịch vụ doanh nghiệp, đem lại trải nghiệm không gián đoạn cho khách hàng sử dụng dịch vụ doanh nghiệp, góp phần tạo dựng thương hiệu, hình ảnh chuyên nghiệp với khách hàng. 

Dịch vụ Anti-DDOS của VNPT được thiết kế phù hợp với sự đặc thù của hệ thống mạng và mô hình tấn công phổ biến ở Việt Nam. Mô hình tích hợp trong suốt với hạ tầng mạng sẵn có của doanh nghiệp, giúp doanh nghiệp có thể tiếp cận và sử dụng dịch vụ nhanh chóng.

DDoS- Distributed Denial of Service được gọi là tấn công từ chối dịch vụ. Mục đích của nó là những mục tiêu sẽ ngừng cung cấp dịch vụ. Với nguyên tắc chung là chiếm dụng một lượng lớn tài nguyên của hệ thống cung cấp bằng nhiều cách gây nên quá tải và ngừng cung cấp dịch vụ. Ngày nay, các cuộc tấn công từ chối dịch vụ tiếp tục gia tăng cả về quy mô, tần suất và thời lượng tấn công cũng như mức độ phức tạp, tinh vi của các cách thức, kỹ thuật tấn công

Tính năng dịch vụ VNPT Anti-DDos

Giám sát, phát hiện và cảnh báo tấn công: Hệ thống thiết lập tùy chỉnh các ngưỡng cảnh báo phù hợp theo đặc tả lưu lượng doanh nghiệp, từ đó đưa ra cảnh báo xác đáng, giảm tỷ lệ cảnh báo sai (false positive). Bên cạnh đó, với khả năng phân mức cảnh báo, hệ thống giúp doanh nghiệp thực hiện các hành xử hợp lý đối với mỗi cuộc tấn công, qua đó doanh nghiệp có thể phân bổ nguồn lực xử lý được năng suất và hiệu quả. Thông tin về các tấn công được phát hiện ở thời gian thực và được cảnh báo qua kênh email một cách tự động, hỗ trợ doanh nghiệp có những ứng phó nhanh chóng và kịp thời. Ngoài ra, hệ thống còn giúp hiểu sâu về cuộc tấn công, các ghi nhận cảnh báo tấn công được lưu trữ và hiển thị với nhiều nội dung thông tin: thời gian cuộc tấn công, hình thức tấn công, hướng tấn công, danh sách nguồn phát động tấn công…

Giám sát và phân tích lưu lượng dịch vụ: Hệ thống cho phép giám sát lưu lượng tổng thể của mạng doanh nghiệp. Thông tin này có thể được sử dụng trong nhiều trường hợp hỗ trợ bảo mật và vận hành CNTT. Cụ thể, tính năng này cho phép kiểm tra và giám sát mô hình lưu lượng/băng thông và xác định xem băng thông mạng doanh  nghiệp đang được sử dụng như thế nào. Các thông tin được thể hiện theo thời gian thực hoặc theo lịch sử với các tùy chỉnh như lưu lượng/ băng thông phổ biến theo ứng dụng, cuộc trò chuyện hàng đầu theo lưu lượng truy cập, thông kê lưu lượng theo giao thức, theo ASN… Kết quả được hiển thị trực quan hóa theo đồ thị, bảng biểu.giám sát

Chặn lưu lượng theo thông tin đặc tả lưu lượng: tính năng hỗ trợ khả năng chặn lưu lượng tấn công chính xác đến mức dịch vụ hoặc theo hình thức tấn công (theo đặc tả lưu lượng trên lớp 3 và lớp 4 như thông tin địa chỉ nguồn, đích; thông tin port nguồn, đích; thông tin TCP flag; DSCP …). Tính năng này có ưu điểm là chống được tấn công mạng lưới và IP mà không gây mất dịch vụ, phù hợp với nhu cầu chặn các lưu lượng mà dịch vụ doanh nghiệp không cung cấp. VD: chặn lưu lượng tấn công thực hiện tấn công khuếch đại DNS làm hệ thống doanh nghiệp nhận một khối lượng lớn các gói UDP/53 mà không cần cho hoạt động của máy chủ web thông thường, gây ảnh hưởng tới băng thông đường truyền và hiệu suất sử dụng của máy chủ.

Điều hướng và làm sạch lưu lượng tấn công: Tính năng cho phép lưu lượng được chuyến hướng tới “Trung tâm thanh lọc” (Scrubbing center) đặt tại VNPT. Tại đây, những lưu lượng chứa dữ liệu độc hại sẽ được xác định và loại bỏ, chỉ cho phép những lưu lượng hợp pháp truy cập đến dịch vụ doanh nghiệp. “Trung tâm thanh lọc” của VNPT được cập nhật thường xuyên các nguồn dữ liệu tình báo mối đe dọa (threat intelligence) giúp bảo vệ khỏi các cuộc tấn công bởi botnet, kể các các botnet mới nhật. Bên cạnh đó, “Trung tâm thanh lọc” hỗ trợ đa dạng hóa các biện pháp đối phó (countermeasure): cơ chế rate limiting giúp giới hạn tỷ lệ nhằm kiểm soát triệt để các cuộc tấn công lén lút và bất ngờ; cơ chế xác thực xen giữa giúp ngăn chặn nhanh các tấn công giả mạo, cơ chế phòng chống các truy cập dị hình (malformed) trên lớp ứng dụng

Mô hình kỹ thuật dịch vụ giảm thiếu tấn công DDos

Hệ thống hỗ trợ phát hiện phòng chống tấn DDOS được trang bị gồm 02 phân hệ chính: phân hệ giám sát, phát hiện tấn công và phân hệ chặn, lọc lưu lượng trả lưu lượng sạch.

Phân hệ giám sát, phát hiện tấn công được phân tách gồm 02 phần tử:

  • Phần tử quản lý: chạy dự phòng HA gồm HNI-vSP-Leader và HNI-vSP-Backup, được cài đặt trên hạ tầng ảo hóa. Phần tử này là giao diện tương tác với người quản trị, thực hiện cấu hình hệ thống, khai báo đối tượng bảo vệ, trích xuất thông tin cảnh báo, hỗ trợ phân tích dữ liệu và tổng hợp báo cáo. Ngoài ra, phần tử quản lý có chức năng quản lý license tập trung và cập nhật thường xuyên các nguồn dữ liệu tình báo mối đe dọa, dữ liệu mạng botnet từ cơ sở dữ liệu của hãng Arbor, giúp phát hiện sớm các lưu lượng đang kết nối tới mạng botnet cũng như có những biện pháp đối phó kịp thời.
  • Phần tử thu thập và giám sát gồm 03 thiết bị vật lý HNI-SP7000-01, HNI-SP7000-02 và HCM-SP7000-01 tương ứng thu thập thông tin để xử lý phát hiện tấn công DDOS cho 03 miền: Bắc, Trung, Nam. Các thiết bị này có được sử dụng để thu thập flow, thiết lập các phiên BGP, SNMP với các bộ định tuyến (routers), thực hiện tiền xử lý phát hiện tấn công DDOS, sau đó tổng hợp gửi kết quả tới phần tử quản lý. Các bộ định tuyến (routers) mà phần thử thu thập và giám sát thực hiện kết nối và thu thập là các bộ định tuyến biên mạng quốc tế (gọi tắt IGW), biên mạng trong nước (gọi tắt DGW), bộ định tuyến biên của mạng nhà cung cấp dịch vụ (gọi tắt PE). Ở mô hình kết nối hệ thống trên mạng VN2: các bộ định tuyến biên mạng quốc tế là toàn bộ router ASBR tại 03 miền, bộ định tuyến biên mạng trong nước là toàn bộ router NIX phân bổ tại 03 miền, bộ định tuyến biên của mạng nhà cung cấp dịch vụ là một số router PE tại Hà Nội và Đà Nẵng

Phận hệ chặn, lọc lưu lượng trả lưu lượng sạch: hiện tại sử dụng 01 thiết bị vật lý HNI-TMS28000-01 với khả năng xử lý lưu lượng được đầu tư lên tới 10Gbps. Thiết bị HNI-TMS2800-01 là sản phẩm chuyên dụng cho việc xử lý tấn công DDOS, sản phẩm được thiết kế với nhiều bộ rule phục vụ chặn lọc, thanh lọc tấn công DDOS từ lớp 3 đến lớp 7, được đặt tại phân mạng Scrubbing center (Trung tâm thanh lọc). Phân hệ chặn, lọc lưu lượng trả lưu lượng sạch có chức năng tiếp nhận lưu lượng sau khi lưu lượng được điều hướng, phân tích và loại bỏ các lưu lượng tấn công và trả lưu lượng sạch.

Mô tả hoạt động của dịch vụ ngăn chặn tấn công từ chối dịch vụ

Detect (phát hiện)

Phần tử thu thập và giám sát (gọi tắt là SP Collector) thực hiện thu thập flow, thiết lập các phiên BGP, SNMP với các bộ định tuyến (routers), thực hiện tiền xử lý phát hiện tấn công DDOS tới các đối tượng bảo vệ (Managed Object) đã được khai báo trên phần tử quản lý (gọi tắt là SP Leader). Việc phát hiện này dựa theo các thiết lập ngưỡng phù hợp với từng đặc tính lưu lượng của đối tượng bảo vệ. Khi lưu lượng thực tế vượt ngưỡng thiết lập cho đối tượng bảo vệ, hệ thống sẽ sinh ra cảnh báo với chi tiết các thông tin liên quan như hướng tấn công, nguồn phát động tấn công, phương thức tấn công, mức độ tấn công… giúp quản trị viên phân tích sâu đưa ra đánh giá đúng về cảnh báo này, từ đó đề xuất các biện pháp ứng phó phù hợp.

Response (phản ứng)

Tùy thuộc theo kết quả phân tích ở bước phát hiện, các biện pháp ứng phó sẽ được đề xuất để phù hợp với ngữ cảnh. Các biện pháp ứng phó phổ biến để phòng chống tấn công DDOS gồm: Blackhole, Flow Specification, Threat Management.

Trong đó, biện pháp Blackhole, Flow Specificiation được thực hiện phòng chống tấn công DDOS ngay trên các bộ định tuyến lớp biên. Biện pháp Threat Management là biện pháp sử dụng cơ chế chặn lọc lưu lượng tấn công DDOS trên thiết bị TMS Mitigation.

Sử dụng kết hợp đan xen nhiều biện pháp giúp tăng tính hiệu quả phản ứng về sự cố tấn công DDOS.

  1. Biện pháp blackhole (hay còn gọi là biện pháp lỗ đen): Biện pháp này sẽ chặn tất cả các lưu lượng bao gồm cả lưu lượng tấn công lẫn lưu lượng truy cập hợp lệ. Cụ thể, lưu lượng bị chặn là các lưu lượng truy cập tới đối tượng bảo vệ hoặc chỉ định lưu lượng khớp nguồn tấn công truy cập tới đối tượng bảo vệ, các lưu lượng này được chặn ngay tại bộ định tuyến lớp biên sau khi tiếp nhận thông tin quảng bá BGP từ thiết bị kích hoạt – SP Collector. Ưu điểm của giải pháp này là khắc phục tấn công DDoS tức thì, loại bỏ lưu lượng tấn công ngay ở vùng biên mạng, giảm luồng lưu lượng dư thừa chảy vào trong mạng. Tuy nhiên, giải pháp này gây mất dịch vụ của địa chỉ bị blackhole.
  2. Biện pháp Flow Specification: Giải pháp giảm thiểu tấn công DDoS sử dụng BGP flowspec hỗ trợ trên một số thiết bị định tuyến của Cisco, Juniper. Với việc BGP flowspec đặc tả lưu lượng tới lớp 4, người dùng có thể chặn lưu lượng tấn công chính xác đến mức dịch vụ hoặc theo hình thức tấn công. Giải pháp này có ưu điểm là chống được tấn công mạng lưới và IP mà không gây mất dịch vụ. BGP flowspec được định nghĩa trong RFC5575. Giao thức BGP flowspec hỗ trợ NLRI (Network Layer Reachability Information) mở rộng, bao gồm thu thập 12 loại thông tin đặc tả lưu lượng trên lớp 3 và lớp 4 (như thông tin địa chỉ nguồn, đích; thông tin port nguồn, đích; thông tin TCP flag; DSCP …) cùng với hành động thực hiện cho lưu lượng (accept, drop, rate-limit).

Thực hiện ứng phó bằng biện pháp Flow Specification

  1. Biện pháp Threat Management là biện pháp sử dụng cơ chế chặn lọc lưu lượng tấn công DDOS trên thiết bị TMS Mitigation .

Có thể kết hợp đan xen nhiều biện pháp để tăng tính hiệu quả phản ứng: Thiết bị TMS Mitigation thực hiện điều hướng lưu lượng tới “Trung tâm thanh lọc” thông qua việc quảng bá router ưu tiên. Sau khi điều hướng, các lưu lượng được lái qua thiết bị TMS Mitigation, đồng thời được xử lý “lọc” thông qua các bộ rule chặn lọc tấn công DDOS từ layer 3 – layer 7 để trả lưu lượng sạch.

Báo giá

Gói giám sát, phát hiện và cảnh báo tấn công:

STT Gói cước Nội dung Giá cước

(Chưa VAT)

1 Cước khởi tạo
Cước khởi

tạo dịch vụ

Khai báo và khởi tạo dịch vụ 1.000.000

đồng/lần

2 Cước duy trì dịch vụ
Gói cước

Giám sát Start

–  Kênh có tốc độ từ 01 – 100 Mbps.

–   Đã bao gồm 16 IPv4 hoặc 01 Subnet 56 IPv6.

3.000.000

đồng/tháng

3 Cước dịch vụ bổ sung
 

Gói cước bổ sung tốc độ

–   Phải mua “tốc độ bổ sung” đối với các kênh có tốc độ > 100 Mbps.

–    Tốc độ bổ sung được chia thành các Block

–  01 Block: 50 Mbps.

 

1.000.000

đồng/block/tháng

 

 

Gói cước bổ sung IP

–  Phải mua IP bổ sung đối với các kênh có nhiều hơn 16 IPv4 hoặc 01 Subnet 56 IPv6 cần giám sát.

–  IP bổ sung được chia thành các Block

–    01 Block: 16IPv4 hoặc 01 Subnet 56 IPv6

 

 

1.500.000

đồng/block/tháng

–        Lưu ý:

–        Giá cước trên chưa bao gồm chi phí tích hợp dịch vụ theo yêu cầu của khách hàng

–        Thời gian sử dụng: Sử dụng tối thiểu 03 tháng.

–        Tốc độ là: Tốc độ kết nối trong nước + quốc tế

Gói giám sát, chống tấn công, lọc trả băng thông sạch

 

STT

 

Gói cước

 

Nội dung

Giá cước

(Chưa VAT)

1 Cước khởi tạo
Cước khởi tạo dịch vụ Khai báo và khởi tạo dịch vụ 3.000.000 đồng/lần
2 Cước duy trì dịch vụ
Gói cước trả băng thông sạch Start –  Kênh có tốc độ từ 01 – 100 Mbps.

–   Đã bao gồm 16 IPv4 hoặc 01 Subnet 56 IPv6.

8.000.000 đồng/tháng
3 Cước dịch vụ bổ sung
 

 

Gói   cước bổ sung tốc độ

–  Phải mua “tốc độ bổ sung” đối với các kênh có tốc độ > 100 Mbps.

–   Tốc độ bổ sung được chia thành các Block

–  01 Block: 50 Mbps.

 

 

3.000.000 đồng/block/tháng

 

 

Gói   cước bổ sung IP

–   Phải mua IP bổ sung đối với các kênh có nhiều hơn 16IPv4 hoặc 01 Subnet 56 IPv6 cần giám sát.

–  IP bổ sung được chia thành các Block

–   01 Block: 16IPv4 hoặc 01 Subnet 56 IPv6

 

 

1.500.000 đồng/block/tháng

Gói giám sát, chống tấn công, lọc trả băng thông sạch 72h:

 

STT

 

Gói cước

 

Nội dung

Giá cước

(Chưa VAT)

1 Cước khởi tạo
Cước khởi tạo dịch vụ Khai báo và khởi tạo dịch vụ 3.000.000 đồng/lần
2 Cước duy trì dịch vụ
Gói cước trả băng thông sạch 72 giờ Start  

–  Kênh có tốc độ từ 01 – 100 Mbps.

–   Đã bao gồm 16 IPv4 hoặc 01 Subnet 56 IPv6.

 

6.000.000 đồng/72 giờ

3 Cước dịch vụ bổ sung
 

 

Gói   cước bổ sung tốc độ

–    Phải mua “tốc độ bổ sung” đối với các kênh có tốc độ > 100 Mbps.

–   Tốc độ bổ sung được chia thành các Block

–  01 Block: 50 Mbps.

 

 

3.000.000 đồng/72 giờ

 

 

Gói   cước bổ sung IP

–  Phải mua IP bổ sung đối với các kênh có nhiều hơn 16 IPv4 hoặc 01 Subnet 56 IPv6 cần giám sát.

–  IP bổ sung được chia thành các Block

–   01 Block: 16IPv4 hoặc 01 Subnet 56 IPv6

 

1.000.000 đồng/block/72 giờ

Đăng ký


    Series Navigation<< Smart IR

    Leave a Reply

    Bài viết mới

    Voice Brandname
    29/10/2021
    Quản lý thư viện VNPT LIB
    19/01/2023
    Internet trực tiếp (Internet Lease line)
    28/03/2018
    Internet cáp quang FiberVNN
    28/03/2018
    Biên lai điện tử
    25/01/2021
    VNPT - Giải Pháp Doanh Nghiệp