Hva er DDoS-begrensning?


Hva er DDoS Mitigation?

Et distribuert-denial-of-Service (DDoS) angrep er en av de mest skadelige truslene i netttrussellandskapet. Regjeringer, multinasjonale selskaper og private nettverk har alle gitt etter for DDoS-angrepet. Det er utallige måter angrepene kan utføres på. Det verste av alt er at disse angrepene ikke nødvendigvis krever ekspertevne som en hacker for å trekke av.


Målet med enhver organisasjon, uansett størrelse, bør være å begrense trusselen om disse angrepene. Hvordan kan dette oppnås?

DDoS-begrensningsstrategier.

For å forstå DDoS-begrensning, må man først forstå DDoS-angrepet og dets varianter. Enkelt sagt; et DDoS-angrep søker å deaktivere et nettverk ved å overbelaste det med trafikk. Dette kan ha mange former, fra misdannede pakker som oversvømmer a UDP protokoll, til å sende delvis HTTP-forespørsler til legitim trafikk ikke lenger er tilgjengelig.

Hva gjør DDoS mildring så vanskelig i dag er angrepets kompleksitet. Det var en tid i det siste at DDoS angriper bare målrettede øvre lag av Open Systems Interconnection (OSI) -modellen. Slike lag inkluderte transport- og nettverkssegmentene. Nå har imidlertid DDoS-angrep utviklet seg slik at de kan målrette mot lavere nivåer (spesielt applikasjonslaget). Dette gir SysAdmins og cybersecurity-blå team (forsvarsorienterte eksperter) mye mer å vurdere i sine DDoS-begrensningsstrategier..

Det er fire grunnleggende komponenter til enhver god DDoS-begrensningsstrategi. Disse komponentene er Gjenkjenning, Reaksjon, ruting, og Tilpasning. La oss gå nærmere inn på hver av disse avbøtningsstrategiene.

Gjenkjenning

Den første fasen av avbøtningsstrategien søker å skille hvilken trafikk som er legitim, og omvendt hvilken trafikk som er skadelig. Man kan ikke ha en situasjon der uskyldige brukere blir blokkert fra et nettsted ved et uhell.

Dette kan unngås ved å holde en jevn logg av svartelistet IP adresser. Selv om dette fortsatt kan skade uskyldige brukere, for eksempel de som bruker proxy-IP-er eller TOR for sikkerhet, er det fortsatt et anstendig første skritt. Å blokkere IP-adresser er enkelt nok, men det er bare en del av deteksjonsstrategien.

Neste, når du oppdager et DDoS-angrep, må organisasjonen din vite at typisk trafikk flyter daglig. Det hjelper også å ha en beregning på dager med høy trafikk, så det er en grunnleggende måling. Dette vil bidra til å skille fra unormalt stor tilstrømning av trafikk kontra tidligere erfaring med “legitimt” høy trafikk.

Reaksjon

Hvis din deteksjon er solid, bør reaksjonen på et DDoS-angrep i gang være automatisk. Dette vil sannsynligvis kreve en tredjepartstjeneste som spesialiserer seg på DDoS-forebygging. Manuell konfigurering av DDoS-reaksjoner anbefales ikke lenger. Årsaken til dette er at nettkriminelle har blitt kloke på mange av teknikkene.

I et sterkt DDoS-forsvar vil reaksjonstrinnet umiddelbart begynne å blokkere ondsinnet trafikk. Det vil innse at den høye trafikkflyten skapes av zombieenheter på et botnet. Denne filtreringen skulle begynne å svekke angrepet. Responsen avhenger av leverandørens muligheter. Ideelt sett vil vernetjenesten bruke en kombinasjon av teknikker i metodikken. I tillegg til de tidligere nevnte IP svartelisting, det skal være muligheten til å inspisere pakker, samt delta i hastighetsbegrensning.

ruting

Ruting tar på seg den gjenværende trafikken som ikke kunne håndteres i det automatiske reaksjonsstadiet. Målet er å bryte opp trafikken og holde den borte fra serverne som blir målrettet. Det er to primære rutingstrategier.

Den første av disse er DNS-ruting. Dette er virkelig bare effektivt med DDoS-angrep som er rettet mot applikasjonssjiktet i OSI-modellen. Hva dette betyr er at selv om du maskerer din sanne IP-adresse, vil angrepet fremdeles være vellykket. DNS-ruting tvinger den ondsinnede trafikken til å bli dirigert til din “alltid på” DDoS-beskyttelsestjeneste. Det vil ta på seg belastningen av angrepet, og dermed tillate bare legitim trafikk å få tilgang til serveren. Dette gjøres ved å endre CNAME og A posten. A-posten peker til en spesifikk IP-adresse, mens CNAME oppretter et alias for det samme IP adresse.

Den andre rutingsstrategien kalles ruting for Border Gateway Protocol. Dette er en manuell konfigurasjon som tvinger all ondsinnet trafikk, som er rettet mot nettverkssjiktet, til avbøtelsesleverandøren. Det vil tvinge DDoS-trafikken til å bli eliminert, i det minste for det meste. Som nevnt tidligere har en manuell konfigurasjon problemer. Det er tregere, og som et resultat kan det føre til at ondsinnet trafikk når målserveren.

Tilpasning

Dette er mer eller mindre en post-mortem analyse av et DDoS-angrep. Det er den delen av avbøtningsstrategien som søker å lære hva som ble gjort både riktig og feil. Dette betyr å analysere kilden til angrepet, se hva som var tillatt, prøve å finne ut hvor raskt forsvarsplasser ble utplassert, og viktigst av alt, hvordan man kan forhindre dette angrepet med 100 prosent effektivitet i fremtiden.

DDoS-begrensning er komplisert. Når angrep fortsetter å utvikle seg, vil cybersikkerhet dessverre alltid være et skritt bak. Man kan ikke bekjempe en fiende; de forstår ennå ikke. Først etter en ny angrepsvektoroverflate kan det bygges forsvar. Likevel kan implementering av sterke DDoS-begrensningsteknikker spare organisasjonen din mye potensiell tapt tid og penger.

Lær mer om DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map