Какво е намаляване на DDoS?


Какво е DDoS смекчаване?

Атаката на разпределено-отказано обслужване (DDoS) е една от най-зловещите заплахи в пейзажа на кибер заплахата. Правителствата, мултинационалните корпорации и частните мрежи са се поддали на DDoS атаката. Има безброй начини, по които атаките могат да бъдат извършени. Най-лошото е, че тези атаки не изискват задължително умения на специалист като хакер, за да се оттегли.


Целта на всяка организация, независимо от нейния размер, трябва да бъде да ограничи заплахата от тези атаки. Как може да се постигне това?

Стратегии за смекчаване на DDoS.

За да разберете смекчаването на DDoS, първо трябва да разберете DDoS атаката и нейните варианти. Казано просто; DDoS атака се стреми да деактивира мрежа, като я претовари с трафик. Това може да приеме много форми, от неправилно оформени пакети UDP протокол, за изпращане на частични HTTP заявки, докато законният трафик вече не е достъпен.

Какво прави DDoS смекчаването, толкова трудно в днешно време, е сложността на атаката. В миналото време DDoS атакува само насочени горни слоеве на модела Open System Interconnection (OSI). Такива слоеве включваха транспортните и мрежовите сегменти. Сега обаче DDoS атаките са се развили, така че те могат да се насочват към по-ниски нива (особено на приложния слой). Това дава на сините екипи на SysAdmins и киберсигурността (експерти, ориентирани към отбраната) много повече, за да разгледат своите стратегии за смекчаване на DDoS.

Към всяка добра стратегия за смекчаване на DDoS има четири основни компонента. Тези компоненти са Откриване, реакция, Прекарването, и Адаптиране. Нека да разгледаме по-задълбочено всяка от тези стратегии за смекчаване.

Откриване

Първият етап от стратегията за смекчаване се стреми да установи кой трафик е легален и обратно, какъв трафик е злонамерен. Не може да има ситуация, в която безвредни потребители да бъдат блокирани от уебсайт случайно.

Това може да се избегне, като се поддържа постоянен дневник на IP адрес в черен списък адреси. Въпреки че това все още може да навреди на невинни потребители, като тези, които използват прокси IP или TOR за безопасност, това е все още достойна първа стъпка. Блокирането на IP адреси е достатъчно просто, но това е само една част от стратегията за откриване.

На следващо място, при откриване на DDoS атака, вашата организация трябва да знае, че типичният трафик протича ежедневно. Освен това помага да се направи показател в дните с голям трафик, така че има базово измерване. Това ще помогне да се разграничи от необичайно високия приток на трафик от миналия опит с „законно“ високия трафик.

реакция

Ако вашето откриване е стабилно, реакцията на текуща DDoS атака трябва да бъде автоматична. Това най-вероятно ще изисква услуга на трета страна, която е специализирана в профилактиката на DDoS. Ръчното конфигуриране на DDoS реакции вече не се препоръчва. Причината за това е, че киберпрестъпниците са разбрали много от техниките.

При силна DDoS защита, реакционната стъпка веднага ще започне да блокира злонамерен трафик. Той ще осъзнае, че големият трафик се създава от зомби устройства на ботнет. Това филтриране трябва да започне да отслабва атаката. Отговорът зависи от възможностите на доставчика. В идеалния случай службата за защита ще използва комбинация от техники в своята методология. В допълнение към споменатите по-горе IP черен списък, трябва да има възможност за проверка на пакети, както и да се ангажира с ограничаване на скоростта.

Прекарването

Маршрутът поема останалия трафик, който не може да бъде обработен в етапа на автоматична реакция. Целта е да разчупите трафика и да го държите далеч от насочените сървъри. Има две основни стратегии за маршрутизиране.

Първият от тях е DNS маршрутизация. Това е наистина ефективно само при DDoS атаки, които са насочени към приложния слой на OSI модела. Това означава, че дори да маскирате истинския си IP адрес, атаката все още ще бъде успешна. DNS маршрутизиране принуждава злонамерения трафик да бъде пренасочен към вашата постоянно защитаваща DDoS услуга. Той ще поеме натоварването на атаката, като по този начин ще позволи само легитимен трафик за достъп до сървъра. Това става чрез промяна на CNAME и A запис. Записът сочи конкретен IP адрес, докато CNAME създава псевдоним за същия IP адрес.

Втората стратегия за маршрутизация се нарича маршрутизиране на Border Gateway Protocol. Това ръчно конфигуриране, което принуждава целия злонамерен трафик, който е насочен към мрежовия слой, към вашия доставчик на смекчаващи мерки. Това ще принуди DDoS трафикът да бъде елиминиран, поне в по-голямата си част. Както бе споменато по-горе, ръчната конфигурация има своите проблеми. Той е по-бавен и в резултат може да позволи на злонамерен трафик да достигне до целевия сървър.

Адаптиране

Това е повече или по-малко следсмъртен анализ на DDoS атака. Това е частта от стратегията за смекчаване, която се стреми да научи какво е направено както правилно, така и неправилно. Това означава да се анализира източникът на атаката, да се види какво е позволено, да се опитаме да установим колко бързо се използва защитата и най-важното – как да се предотврати тази атака със 100-процентова ефективност в бъдеще.

Смекчаването на DDoS е сложно. Докато атаките продължават да се развиват, киберсигурността, за съжаление, винаги ще бъде една крачка назад. Човек не може да се бори с враг; те все още не разбират. Само след като векторните повърхности за атака могат да бъдат изградени защитни сили. Все пак прилагането на силни техники за смекчаване на DDoS може да спести на вашата организация голяма част от загубеното време и пари.

Научете повече за DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map