Podstawową usługą służącą do tego celu jest blackholing polegający na usuwaniu w sieci dostawcy ruchu do atakowanego IP w sieci klienta. Daje to operatorowi możliwość reakcji przed wejściem ruchu w łącza o ograniczonym paśmie (np. łącze klienta do dostawcy), choć jego obsługa wymaga ręcznej interwencji oraz odtwarzania serwisów na innych zasobach. Dodatkowo można skorzystać z powiększenia pasma (Pasmox10). Rozwiązanie sprawdza się zwłaszcza w przypadku mniejszych ataków. Potrzeby małych i średnich operatorów w zakresie automatycznej obsługi, przystępnej ceny oraz skuteczności mitygacji ataków optymalnie adresuje usługa DDoS Protection Static. Polega ona na wykorzystaniu filtrów firewalla wbudowanego w routery Orange. Filtry te są w stanie ograniczać ruch do portów szczególnie często wykorzystywanych do ataków DDoS (NTP, DNS, chargen etc.), a w efekcie uniknąć przeciążenia łączy czy serwerów. Takie rozwiązanie daje czas na włączenie blackholingu czy przeprogramowanie firewalla w sieci ISP.
Innym rozwiązaniem jest udostępniana przez Orange opcja podziału ruchu internetowego na poszczególne frakcje i przesłanie ich poprzez oddzielne wirtualne łącza (VLAN). Dzięki temu następuje maksymalne zmniejszenie frakcji ruchu tranzytowego do światowego internetu, która jako jedyna jest mocno podatna na zagrożenia. Pozostały ruch operator może odebrać z opcji mniej podatnych na ataki DDoS (czyli ruch z CDN oraz open peering). CDN-y takie jak Google Global Cache czy Netflix OCA nie generują ataków, zaś ruch DDoS w open peeringu jest z reguły znikomy, gdyż źródła ataku (zawirusowane komputery – zombie) są niewielkim odsetkiem wszystkich komputerów na świecie.
Ważnym aspektem jest także podatność operatora usług tranzytowych na ataki DDoS kierowane na jego sieć lub przez nią przechodzące. Operator ISP musi mieć pewność, że wybiera takiego dostawcę tranzytu ruchu międzynarodowego, który posiada terabitową rezerwę pasma zarówno na stykach z internetem światowym, jak i na łączach szkieletowych wewnątrz swojej sieci. Taka rezerwa pozwala przyjąć dowolnie duże wolumeny ataków DDoS bez wpływu na stabilność sieci dostawcy.
AUTORZY
Sławomir Gryz. 30-letnie doświadczenie w zakresie telekomunikacji i usług powiązanych. Zaczynał pracę od wdrażania w Polsce pierwszych rozległych sieci pakietowych: X.25, FR/ATM, ME oraz usług IP (Internet). Obecnie w Orange Polska zajmuje się rozwojem operatorskich usług Transmisji danych oraz Dostępu do internetu (TPNET, TPIX, IP Tranzyt).
Konrad Plich. Podłączył Telekomunikację Polską S.A do sieci Internet i był autorem pierwszej w Polsce powszechnej usługi dostępu do Internetu – usługi 0202122. Obecnie zajmuje się w Orange Polska hurtowym dostępem do Internetu, peeringiem z siecią TPNET i tworzy platformy poszerzające rozwiązania dla operatorów, m.in.: TPIX, cPoP.
Część hurtowa Orange Polska odpowiada za współpracę z przedsiębiorcami telekomunikacyjnymi dostarczając usługi operatorskie w oparciu o najnowsze technologie. Portfolio zawiera m.in. usługi transmisji danych, dostępu do internetu, kanalizacji i słupów, projekty techniczne, stacjonarne usługi głosowe, a także usługi dostępu do abonentów na FTTH: BSA i LLU. Z oferty hurtowej Orange Polska korzysta blisko 3000 operatorów w Polsce i za granicą. Zobacz więcej na https://www.hurt-orange.pl/
