MITIGATOR v19.12. Обзор изменений.
Нововведения.
PCAP. Добавлена возможность выбора контрмер для захвата сброшенных пакетов (M-1789)
Бывают ситуации, когда в момент атаки нужно захватить пакеты сброшенные определенной контрмерой, но в это же время другая контрмера сбрасывает значительно больше. Из-за этого дамп заполняется сбросами нецелевой контрмеры. Для решения этой задачи добавили пользователю возможность выбрать сброс какой контрмеры его интересует.
PCAP. Добавлен автоматический сбор дампа трафика и отправка pcap по email (M-1700)
Часто успешные атаки происходят в момент отсутствия пользователя в админке, либо короткие атаки и пользователь не успевает снять дамп. Для таких случаев добавили возможность сбора и рассылки pcap с трафиком атаки для анализа и правильной настройки контрмер.
PCAP. Добавлены настройки контрмеры в файл захвата (M-777)
Когда анализируешь дамп трафика, то для полной картины не хватает понимания в каком состоянии находилась политика защиты. Особенно если дамп автоматически получаешь на почту. Какие контрмеры были включены, с какими настройками, параметры автодетекта и версия MITIGATOR теперь доступны в свойстве файла захвата.
VLIP. Добавлен сброс IP-пакетов без payload (M-1934)
TBL. Добавлена прогрессивная блокировка при повторном добавлении IP-адреса (M-1999)
Обычно в TBL адрес заносится на непродолжительный срок, чтобы предотвратить долгую ошибочную блокировку клиентов. Но, когда адрес атакующего выходит из блокировки, с него успевает пролететь атакующий трафик. Для таких активных нарушителей добавили прогрессивная блокировку.
При повторном добавлении время блокировки будет увеличиваться по закону геометрической прогрессии. Пользователь в параметрах TBL указывает значение знаменателя прогрессии q (целое число, обычно 2, 3, 4). Длительность блокировки в n-ый раз будет вычисляться по формуле bn=b1*q^(n-1) , где b1 — это время блокировки, полученное от контрмеры, которая заносит в TBL в этот n-ый раз.
ACL. Добавлено ограничение на максимальное количество правил до 2¹⁸ (M-1915)
MCR. Оптимизация (M-2156)
Увеличена производительность при обработке трафика с аутентифицированных адресов. Исправлена работа режима Check by reset.
MCR. Добавлены события для журнала (M-1262)
LCON. Увеличена производительность при атаках со спуфингом (M-1539)
SLOW. Увеличена производительность (M-1539)
HTTP. Добавлено отображение гистограммы для выключенной контрмеры (M-1596)
ATLS. Полностью переработана контрмера (M-1275)
Временно удален анализатор отпечатков. Расширена фильтрация по шифраторам и расширениям. Пассивный режим не заносит IP-адрес в список проверенных. Доступна статистика причин блокировки.
SOUR. Добавлен сброс трафика если адрес не отвечает при использовании “Сбрасывать остальные запросы” (M-1530)
SOUR. Увеличена скорость опроса серверов (М-2155)
GAME. Добавлена защита RCON в CS 1.6 (M-2146)
Защита RCON включается автоматически при выборе типа сервера СS/TF2.
GAME. Пеработана защита для CS:GO (M-1734)
Изменен способ проверки пользовательского приложения. Исправлено появление сообщения “вы можете подключиться к этому серверу только через лобби” (M-1531).
GAME. Убрана задержка при подключении к серверу CS 1.6.
GAME. Добавлена защита для Garry’s Mod (M-1813)
GAME. Увеличена скорость опроса серверов (М-2155)
SPLI. Оптимизирована работа с легитимным трафиком (М-2172)
SORB. Увеличена производительность (M-2132)
Core. Оптимизирована работа с картами 100GbE Mellanox Connect-X5 (M-1761)
Проверили работу на
SERVER: 2xXeon Gold 6230 CPU @ 2.10GHz 20 lcores , RAM 384 GB, 2xMellanox ConnectX-5 100G.
С настройками
MITIGATOR: 40 workers, 2 nodes, direct mode, on-a-stick, L2-transparent
Результаты нескольких синтетических тестов:
src /32, dst /32: direct mode, in: 296 Mpps
291 Mpps — bypass/general prot
296 Mpps — ACL drop all
262 Mpps — 1 policy bypass
205 Mpps — TCP flood prot (def) SYN flood
223 Mpps — LCON (def) SYN flood
215 Mpps — MCR (ACK check) SYN flood
289 Mpps — MCR (ACK check) ACK flood
src /0, dst /32: direct mode, in: 289 Mpps
289 Mpps — bypass/general prot
289 Mpps — ACL drop all
258 Mpps — 1 policy bypass
127 Mpps — TCP flood prot (def) SYN flood
125 Mpps — LCON (def) SYN flood
172 Mpps — MCR (ACK check) SYN flood
264 Mpps — MCR (ACK check) ACK flood
Core. Упрощен формат конфигурации портов (M-2154)
Для настройки RSS вместо PortRx
используется Lcore(port)
с указанием ядер, на которых будет запущен rx с порта. Если ядер больше одного, то будет создано по одной rx-очереди на ядро:
Lcore(1-3,4,5-6, ext0, int0);
Lcore(7-8,9-10, ext1, int1);
Убран “Lcore(wlcores, router)”. Старый формат конфига оставлен для совместимости.
EventLog. Добавлено отображение кастомные полей в журнале событий (M-2059)
EventLog. Добавлены отдельные типы события для включения и выключения политики (M-1923)
UX. Редизайн страницы списка политик (M-2104)
В MITIGATOR запланированы кардинальные изменения в дизайне интерфейса. Первый этап— список политик.
Информация по политике:
1. Статус:
- Серый — выключена
- Синий — включена
- Желтый — входящий выше порога
- Красный — сбросы выше порога
2. Название
3. Группа
4. Текущие значения трафика pps|bps для входящего, пропущенного, сброшенного.
Нулевые значения не отображаются. Обновление раз в 15 секунд.
5. Статусы контрмер.
- Контрмера включена, автодетект выключен
- Контрмера выключена, автодетект включен
- Контрмера включена, автодетект включен
6. Признак наличия правил указывающих на контрмеру.
Если есть правило, то отображается порядковый номер правила в таблице правил и содержимое правила.
Фильтрация.
- По имени
- По группе
- По статусам контрмер
UX. Добавлена индикации работы BGP в заголовок (M-2013)
UX. Изменен формат отображения времени в журнале событий (M-1994)
UX. Изменен диапазон портов в контрмерах на 0–65535 (M-1536)
UX. Добавлены единицы измерения в FRAG(M-1647)
UX. В мониторинге по умолчанию выводится Топ-5 политик (M-2072)
UX. Изменен порядок графиков на вкладке “Топ политик” (M-1985)
Reports. Добавлена печатная форма отчета по политике.
Reports. Добавлен дневной интервал (M-1867)
HELP. Добавлено описание формата SYSLOG сообщений для упрощения интеграции с SIEM (M-1765)
HELP. Добавлено и обновлено описание для PCAP, VLIP, TBL, ACL, VAL, CRB, REX, SORB.
CloudSignaling. Убран столбец “доступность” для объекта мониторинга (M-2074)
В версиях Arbor SP 9.х для отправки анонса достаточно минимального набора прав, в которые информация об объекте мониторинга не входит.
API. Добавлены запросы на трафик группы (M-2096)
API. Изменен формат ответа для запроса определения политики по содержимому пакета (M-1940)
API. Добавлен запрос с автоопределением политики при добавления адреса в BL, TBL, WL, TWL (M-1828)
Для упрощения интеграции с внешними системами загружающих адреса на блокировку. Добавлен запрос “Внесение адреса на основе правила”. Источнику достаточно сообщить 5-tuple и в какую контрмеру добавить.
Исправления ошибок
BL. Исправлена ошибка очистки списка (M-2010)
TBL. Рефакторинг (M-1965)
TWL. Рефакторинг (M-1965)
MCR. Исправлена очистка “Таблица аутентифицированных IP-адресов” при наличии трафика. (M-1571)
MCR. Исправлена некорректная работа ACK packet processing mode:Check by reset (M-2087)
MCR. Исправлено отображение статуса ACK packet processing mode без обновление страницы (M-1804)
ITLS. Исправлено обучение (M-1907)
SOUR. Рефакторинг. (M-1976)
SOUR. Исправлено некорректное отображение информации о сервере (M-2150)
GAME. Исправлена ошибка при попытке включить контрмеру (M-1120)
REX. Исправлен текст ошибки при повторных запросах (M-1944)
SIP. Исправлено отображение у GroupUser (M-1740)
SPLI. Исправлена работа с пакетами полученных через GRE (M-2092)
SPLI. Рефакторинг (M-1783)
DLIM. Исправлено отображение сработавших и активных ограничений (M-2015)
DLIM. Исправлено Некорректная информация в поле “Ограничение задано” (M-1680)
Rules. Исправлен текст ошибки при определении политики по содержимому пакета групповым пользователем (M-1390)
Policy. Исправлено отображение графиков при копировании политики после mbackup (M-1789)
Detect. Исправлена ошибка при включении TCP в скопированной политике (M-2044)
Users. Исправлен выбор роли группового пользователя. (M-1975)
Users. Исправлено отображение новой роли в настройках пользователя. (M-1892)
Users. Исправлена дата изменения (M-1611)
Rights. Исправлены права для System User на включения контрмеры HTTP (M-1986)
EventLog. Исправления в поиске по журналу событий. (M-1483)
Reports. Исправлены цвета названия контрмер на графиках (M-1866)