Представляем новую панель мониторинга Network Analytics от Cloudflare

Мы рады представить новую улучшенную панель мониторинга Network Analytics от Cloudflare. Теперь он доступен для клиентов Magic Transit и Spectrum в плане Enterprise.

Панель мониторинга предоставляет сетевым операторам лучшую информацию о поведении трафика, событиях брандмауэра и DDoS-атаках, наблюдаемых в глобальной сети Cloudflare. Некоторые из точек данных приборной панели включают в себя:

1. Основные атрибуты трафика и атак
2. Наблюдение за мерами по предотвращению DDoS и событиями Magic Firewall
3. Подробные образцы пакетов, включая полные заголовки пакетов и метаданные

Эта информационная панель стала результатом полного рефакторинга нашего конвейера регистрации данных на сетевом уровне. Новый конвейер данных децентрализован и гораздо более гибкий, чем предыдущий, что делает его более устойчивым, производительным и масштабируемым, когда мы добавляем новые системы смягчения последствий, вводим новые точки выборки и развертываем новые сервисы. Скоро появится блог с глубокими техническими подробностями, так что следите за обновлениями.

В этом сообщении блога мы продемонстрируем, как панель инструментов помогает сетевым операторам:

1. Лучше понять их сеть
2. Реагируйте на DDoS-атаки быстрее
3. Легко создавать отчеты о безопасности для коллег и менеджеров

Лучше понять свою сеть

Одной из основных обязанностей сетевых операторов является обеспечение операционной стабильности и надежности их сети. Панель инструментов Cloudflare Network Analytics показывает сетевым операторам, откуда поступает их трафик, куда он направляется и какой тип трафика доставляется или смягчается. Эти аналитические данные, наряду с удобными для пользователя возможностями детализации, помогают операторам сетей выявлять изменения в трафике, выявлять аномальное поведение и предупреждать о критических событиях, требующих их внимания, чтобы помочь им обеспечить стабильность и надежность своей сети.

Панель мониторинга Network Analytics, начиная сверху, показывает сетевым операторам скорость их трафика с течением времени, а также общую пропускную способность. Вся информационная панель может быть отфильтрована, вы можете детализировать ее с помощью выбора масштаба, изменить временной диапазон и переключаться между пакетным или битовым/байтовым представлением. Это может помочь получить быстрое представление о поведении трафика и определить внезапные провалы или всплески трафика.

Клиенты Cloudflare, рекламирующие свои собственные префиксы IP из сети Cloudflare, также могут видеть аннотации для рекламы BGP и событий отзыва. Это обеспечивает дополнительный контекст поверх скорости трафика и поведения.

Географическая точность

Одним из многих преимуществ панели Network Analytics от Cloudflare является ее географическая точность. Идентификация источника трафика обычно включает в себя соотнесение исходных IP-адресов с городом и страной. Однако трафик сетевого уровня подвержен IP-спуфингу. Злоумышленники могут подделать (изменить) свой исходный IP-адрес, чтобы скрыть свое происхождение (или узлы своего ботнета) при атаке на вашу сеть. Таким образом, сопоставление местоположения (например, страны происхождения) на основе поддельных IP-адресов приведет к поддельные страны. С использованием поддельные страны будет искажать глобальные сетевые операторы изображения, на которые полагаются операторы.

Чтобы преодолеть эту проблему и предоставить нашим пользователям точную геоинформацию, мы полагаемся на местоположение центра обработки данных Cloudflare, в котором был получен трафик. Мы можем добиться географической точности с высокой степенью детализации, поскольку наши центры обработки данных расположены более чем в 285 точках по всему миру. Мы используем BGP Anycast, который обеспечивает маршрутизацию трафика в ближайший центр обработки данных в зоне действия BGP.

Подробная аналитика по смягчению последствий

Панель инструментов позволяет сетевым операторам точно понимать, что происходит с их трафиком, когда он проходит через сеть Cloudflare. Весь трафик Вкладка содержит сводку трафика атак, который был отброшен тремя системами защиты, и чистого трафика, который был передан источнику.

Каждая дополнительная вкладка фокусируется на одной системе защиты, показывая трафик, отброшенный соответствующей системой защиты, и трафик, прошедший через нее. Это обеспечивает сетевым операторам почти такой же уровень видимости, как и у наших внутренних групп поддержки. Это позволяет им точно понять, что системы Cloudflare делают с их трафиком и где в стеке Cloudflare предпринимаются действия.

С помощью подробных вкладок пользователи могут лучше понять решения систем и правила, применяемые для предотвращения атак. Например, в Расширенная защита TCP на вкладке можно просмотреть, как система классифицирует состояния TCP-соединения. На скриншоте ниже вы можете увидеть распределение пакетов в зависимости от состояния соединения. Например, внезапный всплеск вне очереди пакеты могут привести к тому, что система их отбросит.

Обратите внимание, что наличие вкладок немного отличается для клиентов Spectrum, поскольку они не имеют доступа к Расширенная защита TCP и Волшебный брандмауэр вкладки. Клиенты Spectrum имеют доступ только к первым двум вкладкам.

Реагируйте на DDoS-атаки быстрее

Cloudflare автоматически обнаруживает и блокирует большинство DDoS-атак. Однако, когда сетевой оператор реагирует на внезапное увеличение трафика или всплеск загрузки ЦП в своих центрах обработки данных, ему необходимо понять природу трафика. Является ли это законным всплеском из-за, например, выпуска новой игры или полной DDoS-атаки? В любом случае им необходимо действовать быстро, чтобы не допустить перебоев в работе критически важных служб.

Панель мониторинга Network Analytics может помочь сетевым операторам быстро структурировать трафик, переключая параметры группировки временных рядов. Затем они могут использовать этот шаблон для отбрасывания пакетов с помощью Magic Firewall. Размер по умолчанию — это исход указание на то, был ли трафик упавший или прошедший. Но, изменив измерение временного ряда на другое поле, такое как Флаг TCP, Размер пакетаили Порт назначения может возникнуть закономерность.

В приведенном ниже примере мы увеличили всплеск трафика. Установив Протокол поле в качестве измерения группировки, мы видим, что наблюдается всплеск пакетов UDP со скоростью 5 Гбит/с (в общей сложности пропускная способность составляет 840 ГБ из 991 ГБ за этот период времени). Это явно не тот трафик, который нам нужен, поэтому мы можем навести указатель мыши и щелкнуть индикатор UDP, чтобы отфильтровать его.

Затем мы можем продолжить паттернировать трафик, и поэтому мы устанавливаем Исходный порт быть параметром группировки. Мы сразу видим, что в этом случае большая часть трафика (838 ГБ) поступает с исходного порта 123. Это не bueno, поэтому давайте отфильтруем и его.

Мы можем продолжить итерацию, чтобы определить основную модель всплеска. Примером поля, которое не всегда полезно в данном случае, является Порт назначения. Временной ряд показывает нам только первые пять портов, но мы уже видим, что они достаточно распределены.

Мы идем дальше, чтобы увидеть, какие другие области могут способствовать нашему исследованию. Используя Размер пакета измерение дает хорошие результаты. Более 771 ГБ трафика доставляется пакетами по 286 байт.

Предполагая, что наша атака теперь достаточно структурирована, мы можем создать правило Magic Firewall, чтобы заблокировать атаку, объединив эти поля. Вы можете комбинировать дополнительные поля, чтобы гарантировать, что вы не повлияете на свой законный трафик. Например, если атака нацелена только на один префикс (например, 192.0.2.0/24), вы можете ограничить область действия правила этим префиксом.

Если это необходимо для предотвращения атак или устранения неполадок в сети, вы также можете просматривать и экспортировать образцы пакетов вместе с заголовками пакетов. Это может помочь вам определить структуру и источники трафика.

Создание отчетов

Еще одна важная роль группы сетевой безопасности заключается в предоставлении лицам, принимающим решения, точного представления об их ландшафте угроз и состоянии сетевой безопасности. Понимание этого позволит командам и лицам, принимающим решения, подготовиться и обеспечить защиту своей организации, а также доступность и производительность критически важных сервисов. Здесь опять же на помощь приходит панель мониторинга Network Analytics. Сетевые операторы могут использовать панель мониторинга, чтобы понять свой ландшафт угроз — какие конечные точки являются мишенями, какие типы атак, откуда они исходят и как это соотносится с предыдущим периодом.

Используя панель мониторинга Network Analytics, пользователи могут создавать настраиваемые отчеты, отфильтрованные и настроенные таким образом, чтобы лица, принимающие решения, имели четкое представление об актуальных для них ландшафтах атак.

Кроме того, пользователи Magic Transit и Spectrum также получают автоматический еженедельный отчет о сетевых DDoS-атаках, который включает ключевые идеи и тенденции.

Расширение видимости с точки зрения Cloudflare

Как мы видели во многих случаях, неподготовленность может стоить организациям значительных потерь доходов, может негативно сказаться на их репутации, снизить доверие пользователей, а также Выгореть команды, которые должны постоянно тушить пожары реактивно. Кроме того, воздействие на организации, работающие в сфере здравоохранения, водоснабжения, электроснабжения и других важных инфраструктурных отраслях, может вызвать очень серьезные проблемы в реальном мире, например, больницы не смогут оказывать помощь пациентам.

Панель мониторинга Network Analytics призвана сократить усилия и время, затрачиваемые сетевыми командами на исследование и решение проблем, а также упростить и автоматизировать отчеты о безопасности. Данные также доступны через GraphQL API и Logpush, что позволяет командам интегрировать данные в свои внутренние системы и выполнять перекрестные ссылки с дополнительными точками данных.

Чтобы узнать больше о панели мониторинга Network Analytics, обратитесь к документации для разработчиков.