Wat is DDoS-beperking?


Wat is DDoS-beperking??

Een DDoS-aanval (Distributed-Denial-of-Service) is een van de meest schadelijke bedreigingen in het landschap van cyberbedreigingen. Overheden, multinationals en particuliere netwerken zijn allemaal bezweken voor de DDoS-aanval. Er zijn talloze manieren waarop de aanvallen kunnen worden uitgevoerd. Het ergste van alles is dat deze aanvallen niet noodzakelijkerwijs deskundig vermogen als hacker vereisen om te slagen.


Het doel van elke organisatie, ongeacht de grootte, moet zijn om de dreiging van deze aanvallen in te perken. Hoe kan dit worden bereikt?

DDoS-mitigatiestrategieën.

Om DDoS-beperking te begrijpen, moet men eerst de DDoS-aanval en zijn varianten begrijpen. Simpel gezegd; een DDoS-aanval probeert een netwerk uit te schakelen door het te overladen met verkeer. Dit kan vele vormen aannemen, van misvormde pakketten die overstromen UDP protocol, voor het verzenden van gedeeltelijke HTTP-verzoeken totdat legitiem verkeer niet langer toegankelijk is.

Wat maakt DDoS mitigatie die tegenwoordig zo moeilijk is, is de complexiteit van de aanval. Er was in het verleden een tijd dat DDoS alleen gerichte bovenlagen van het Open Systems Interconnection (OSI) -model aanviel. Dergelijke lagen omvatten de transport- en netwerksegmenten. Nu zijn DDoS-aanvallen echter geëvolueerd zodat ze zich op lagere niveaus (met name de applicatielaag) kunnen richten. Dit geeft SysAdmins en cybersecurity blauwe teams (defensiegerichte experts) veel meer om te overwegen in hun DDoS-mitigatiestrategieën.

Elke goede DDoS-mitigatiestrategie bestaat uit vier basiscomponenten. Deze componenten zijn Detectie, Reactie, Routering, en Aanpassen. Laten we dieper ingaan op elk van deze mitigatiestrategieën.

Detectie

De eerste fase van de mitigatiestrategie probeert te onderscheiden welk verkeer legitiem is en, omgekeerd, welk verkeer schadelijk is. Er kan geen situatie zijn waarin onschadelijke gebruikers per ongeluk worden geblokkeerd voor een website.

Dit kan worden voorkomen door een logboek bij te houden IP op de zwarte lijst adressen. Hoewel dit onschuldige gebruikers nog steeds kan schaden, zoals gebruikers die proxy-IP’s of TOR gebruiken voor de veiligheid, is het nog steeds een goede eerste stap. IP-adressen blokkeren is eenvoudig genoeg, maar het is slechts een onderdeel van de detectiestrategie.

Vervolgens moet uw organisatie bij het detecteren van een DDoS-aanval die typische verkeersstroom dagelijks kennen. Het helpt ook om een ​​metriek te hebben op drukke dagen, dus er is een nulmeting. Dit zal helpen om onderscheid te maken tussen een abnormaal hoge toestroom van verkeer en ervaringen uit het verleden met “legitiem” veel verkeer.

Reactie

Als uw detectie solide is, zou de reactie op een lopende DDoS-aanval automatisch moeten zijn. Hiervoor is hoogstwaarschijnlijk een service van derden vereist die is gespecialiseerd in DDoS-preventie. Handmatige configuratie van DDoS-reacties wordt niet meer aanbevolen. De reden hiervoor is dat cybercriminelen veel van de technieken wijs zijn geworden.

Bij een sterke DDoS-verdediging zal de reactiestap onmiddellijk kwaadaardig verkeer blokkeren. Het zal zich realiseren dat de hoge verkeersstroom wordt gecreëerd door zombie-apparaten op een botnet. Deze filtering zou de aanval moeten verzwakken. De reactie hangt af van de mogelijkheden van de provider. Idealiter gebruikt de beveiligingsdienst een combinatie van technieken in zijn methodologie. Naast de eerder genoemde IP-blacklisting, er moet de mogelijkheid zijn om pakketten te inspecteren en zich te bezighouden met snelheidsbeperking.

Routering

Routering neemt het resterende verkeer op dat niet kon worden afgehandeld in de automatische reactiefase. Het doel is om het verkeer op te splitsen en weg te houden van de servers waarop wordt getarget. Er zijn twee primaire routeringsstrategieën.

De eerste is DNS-routering. Dit is echt alleen effectief bij DDoS-aanvallen die gericht zijn op de applicatielaag van het OSI-model. Dit betekent dat, zelfs als je je echte IP-adres maskeert, de aanval nog steeds succesvol zal zijn. DNS-routering dwingt het schadelijke verkeer om te leiden naar uw ‘always-on’ DDoS-beveiligingsservice. Het zal de aanval overnemen, waardoor alleen legitiem verkeer toegang krijgt tot de server. Dit wordt gedaan door het CNAME- en A-record te wijzigen. Het A-record verwijst naar een specifiek IP-adres, terwijl de CNAME hiervoor een alias maakt IP adres.

De tweede routeringsstrategie wordt Border Gateway Protocol-routering genoemd. Dit is een handmatige configuratie die al het kwaadaardige verkeer, dat de netwerklaag target, naar uw mitigatieprovider dwingt. Het zal het DDoS-verkeer in ieder geval grotendeels elimineren. Zoals eerder vermeld, heeft een handmatige configuratie zijn problemen. Het is langzamer en als gevolg hiervan kan kwaadaardig verkeer de doelserver bereiken.

Aanpassen

Dit is min of meer een post-mortem analyse van een DDoS-aanval. Het is het deel van de mitigatiestrategie dat probeert te leren wat zowel correct als onjuist is gedaan. Dit betekent het analyseren van de bron van de aanval, kijken wat er doorheen is gegaan, proberen vast te stellen hoe snel de verdediging is ingezet, en vooral hoe deze aanval in de toekomst met 100 procent effectiviteit te voorkomen..

DDoS-beperking is gecompliceerd. Aangezien aanvallen blijven evolueren, zal cyberbeveiliging helaas altijd een stap achter blijven. Men kan een vijand niet bevechten; ze begrijpen het nog niet. Pas na een nieuwe aanval kunnen vectoroppervlakken worden gebouwd. Toch kan het implementeren van sterke DDoS-mitigatietechnieken uw organisatie veel potentieel verloren tijd en geld besparen.

Lees meer over DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map