Co to jest łagodzenie DDoS?


Czym jest łagodzenie DDoS?

Atak DDoS (Distributed-Denial-of-Service) jest jednym z najbardziej szkodliwych zagrożeń w krajobrazie cyberzagrożeń. Rządy, międzynarodowe korporacje i prywatne sieci uległy atakowi DDoS. Istnieje wiele sposobów przeprowadzania ataków. Co najgorsze, ataki te niekoniecznie wymagają umiejętności eksperckiej jako hakera.


Celem każdej organizacji, bez względu na jej wielkość, powinno być ograniczenie zagrożenia takimi atakami. Jak to można osiągnąć?

Strategie łagodzenia DDoS.

Aby zrozumieć ograniczenie DDoS, należy najpierw zrozumieć atak DDoS i jego warianty. Mówiąc prościej; atak DDoS ma na celu wyłączenie sieci poprzez przeciążenie jej ruchem. Może to przybierać różne formy, od źle sformułowanych pakietów zalewających UDP protokół do wysyłania częściowych żądań HTTP, dopóki legalny ruch nie będzie już dostępny.

Co sprawia, że DDoS tak trudnym obecnie łagodzeniem jest złożoność ataku. W przeszłości był taki czas, że ataki DDoS atakowały tylko górne warstwy modelu Open Systems Interconnection (OSI). Takie warstwy obejmowały segment transportu i sieci. Teraz jednak ataki DDoS ewoluowały, aby mogły atakować niższe poziomy (szczególnie warstwę aplikacji). Daje to SysAdmins i niebieskim zespołom ds. Bezpieczeństwa cybernetycznego (eksperci z dziedziny obrony) o wiele więcej do rozważenia w swoich strategiach łagodzenia DDoS.

Istnieją cztery podstawowe elementy każdej dobrej strategii łagodzenia DDoS. Te elementy są Wykrycie, Odczyn, Wytyczanie, i Dostosowanie. Przyjrzyjmy się bardziej szczegółowo każdej z tych strategii łagodzących.

Wykrycie

Pierwszy etap strategii ograniczania ryzyka ma na celu ustalenie, który ruch jest legalny i odwrotnie, jaki ruch jest złośliwy. Nie można mieć sytuacji, w której nieszkodliwi użytkownicy zostaną przypadkowo zablokowani.

Można tego uniknąć, utrzymując stały dziennik IP na czarnej liście adresy. Chociaż może to nadal zaszkodzić niewinnym użytkownikom, takim jak ci, którzy używają adresów IP proxy lub TOR dla bezpieczeństwa, jest to jednak przyzwoity pierwszy krok. Blokowanie adresów IP jest dość proste, ale jest tylko jedną częścią strategii wykrywania.

Następnie, wykrywając atak DDoS, Twoja organizacja musi codziennie znać ten typowy ruch. Pomaga także mieć pomiar w dni o dużym natężeniu ruchu, więc istnieje pomiar bazowy. Pomoże to odróżnić od nietypowo dużego napływu ruchu w porównaniu do wcześniejszych doświadczeń związanych z „uzasadnionym” dużym ruchem.

Odczyn

Jeśli twoje wykrycie jest solidne, reakcja na trwający atak DDoS powinna być automatyczna. Najprawdopodobniej będzie to wymagać usługi strony trzeciej, która specjalizuje się w zapobieganiu DDoS. Ręczne konfigurowanie reakcji DDoS nie jest już zalecane. Powodem tego jest fakt, że cyberprzestępcy zapoznali się z wieloma technikami.

W silnej obronie przed DDoS krok reakcji natychmiast rozpocznie blokowanie złośliwego ruchu. Uświadomi sobie, że ruch zombie jest generowany przez urządzenia zombie w botnecie. To filtrowanie powinno zacząć osłabiać atak. Odpowiedź zależy od możliwości dostawcy. W idealnym przypadku służba ochrony zastosuje w swojej metodologii kombinację technik. Oprócz wcześniej wspomnianych Czarna lista IP, powinna istnieć możliwość sprawdzania pakietów, a także angażowania się w ograniczanie prędkości.

Wytyczanie

Routing przejmuje pozostały ruch, którego nie można obsłużyć na etapie automatycznej reakcji. Celem jest rozbicie ruchu i utrzymanie go z dala od atakowanych serwerów. Istnieją dwie podstawowe strategie routingu.

Pierwszy z nich to Routing DNS. Jest to naprawdę skuteczne tylko w przypadku ataków DDoS wymierzonych w warstwę aplikacji modelu OSI. Oznacza to, że nawet jeśli zamaskujesz swój prawdziwy adres IP, atak nadal będzie udany. Routing DNS wymusza przekierowanie szkodliwego ruchu do „zawsze włączonej” usługi ochrony przed atakami DDoS. Przejmie obciążenie atakiem, umożliwiając w ten sposób dostęp do serwera tylko uprawnionemu ruchowi. Odbywa się to poprzez zmianę rekordu CNAME i A. Rekord A wskazuje na konkretny adres IP, podczas gdy CNAME tworzy dla niego alias adres IP.

Druga strategia routingu nazywa się routingiem Border Gateway Protocol. Jest to ręczna konfiguracja, która zmusza cały złośliwy ruch, który jest kierowany do warstwy sieciowej, do twojego dostawcy łagodzenia. Wymusi to przynajmniej wyeliminowanie ruchu DDoS. Jak wspomniano wcześniej, konfiguracja ręczna ma swoje problemy. Jest wolniejszy, w wyniku czego złośliwy ruch może dotrzeć do serwera docelowego.

Dostosowanie

Jest to mniej więcej analiza pośmiertna ataku DDoS. Jest to część strategii łagodzenia, która ma na celu dowiedzieć się, co zostało zrobione zarówno poprawnie, jak i niepoprawnie. Oznacza to analizę źródła ataku, sprawdzenie, przez co zostało przepuszczone, próbę ustalenia, jak szybko wdrożono zabezpieczenia, a co najważniejsze, jak zapobiec temu atakowi ze 100% skutecznością w przyszłości.

Ograniczanie DDoS jest skomplikowane. W miarę ewolucji ataków cyberbezpieczeństwo będzie niestety zawsze o krok do tyłu. Nie można walczyć z wrogiem; jeszcze nie rozumieją. Dopiero po nowym powierzchni wektora ataku można zbudować obronę. Jednak wdrożenie silnych technik ograniczania DDoS może zaoszczędzić Twojej organizacji wiele potencjalnego straconego czasu i pieniędzy.

Dowiedz się więcej o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map