Ochrana webových aplikací a serverové infrastruktury před útoky DDoS již není pro organizace s online přítomností žádnou volbou. Nástup služeb DDoS-for-hire účinně snížil laťku pro ty, kteří jsou schopni útok provést, čímž se všechny webové subjekty staly potenciálním cílem.
Úspěšný útok DDoS negativně ovlivňuje pověst organizace a navíc poškozuje stávající vztahy s klienty. Významné finanční ztráty mohou u velkých podniků dosáhnout až 40 000 dolarů za hodinu. Menší subjekty mohou čelit škodám ve výši desítek tisíc dolarů, zatímco dlouhodobější, nezvládnuté útoky mohou mít potenciál ukončit podnikání.
V obecné rovině existuje několik přístupů k zastavení útoků DDoS. Nejběžnější řešení se spoléhají na metody „udělej si sám“ (DIY), lokální zařízení pro zmírnění útoků a off-premise cloudová řešení.
Každé z nich nabízí své vlastní výhody, jejich celková účinnost při zastavení DDoS však závisí na řadě faktorů. Mezi ně patří škálovatelnost a možnosti filtrování, náklady a snadná integrace, stejně jako snadnost použití a kompatibilita s hostingem.
Do It Yourself | On-Premise | Off-Premise | |
CAPEX | Nic | Výhodné | Mírné |
OPEX | Minimální | Nákladný | Středně náročný |
Způsob nasazení | Na vyžádání | Např. na vyžádání | Na vyžádání /vždy zapnuto |
Čas do zmírnění | Významný | Významný | Střední /žádný |
Škálovatelnost | Žádný | Omezený | V podstatě neomezený |
Filtrování | Omezené | Významné | Významné |
Snadné používání | Složitý | Mírný | Velmi snadný |
Integrace | Složitý | Mírný | Snadné |
Kompatibilita s možnostmi hostingu |
Jakékoliv | Vlastní a dedikované | Jakékoliv |
DIY ochrana
DIY ochrana je obecně považována za slabý přístup ke zmírňování DDoS. Z praktického hlediska spočívá v nastavení statických prahových hodnot provozu (např. pomocí mod_evasive) a nevybíravých pravidel pro zařazování IP na černou listinu. Většinou je preferován z rozpočtových důvodů a online podniky o něm uvažují jen zřídka.
Hlavní nevýhodou DIY řešení je, že jsou často používána jako reaktivní opatření. Téměř vždy se konfigurace ručně dolaďuje až po první vlně útoků. Takové řešení sice může podobným útokům v budoucnu zabránit, ale úspěšná první vlna obvykle stačí k tomu, aby způsobila mnohahodinové výpadky a další problémy.
Pachatelé navíc mohou snadno měnit své metody, útočit z různých zdrojů a používat různé vektory. To udržuje organizaci v defenzivní pozici, kdy musí opakovaně nasazovat další konfigurace a současně se pokoušet zotavit z vícenásobných výpadků. To může trvat i několik dní.
Skutečným problémem jakéhokoli přístupu „udělej si sám“ je však to, že je vždy omezen šířkou pásma sítě, což značně omezuje škálovatelnost potřebnou k zastavení útoků DDoS na síťové vrstvě.
Vzhledem k tomu, že většina útoků registruje více než 10 Gb/s a jen málo organizací má k dispozici více než 10Gb/s burst uplink, je řešení „udělej si sám“ téměř vždy odsouzeno k selhání.
On-premise zařízení
Přístup on-premise k ochraně proti DDoS využívá hardwarová zařízení nasazená uvnitř sítě, umístěná před chráněnými servery.
Tato zařízení obvykle disponují pokročilými funkcemi filtrování provozu vyzbrojenými kombinací geografického blokování, omezování rychlosti, reputace IP a identifikace signatur.
Typická zařízení pro zmírnění dopadů lze účinně použít k odfiltrování škodlivého příchozího provozu. To z nich činí reálnou možnost, jak zastavit útoky na aplikační vrstvě.
Několik faktorů však znemožňuje spoléhat se na zařízení:
- Škálovatelnost zůstává problémem. Schopnost hardwaru zvládnout velké množství provozu DDoS je omezena uplinkem sítě, který je zřídkakdy větší než 10 Gb/s (burst).
- Přístroje umístěné na místě je třeba nasadit ručně, aby zastavily útok. To ovlivňuje dobu odezvy a zmírnění následků a často způsobuje, že organizace trpí výpadky, než se podaří vytvořit bezpečnostní perimetr.
- Nakonec, náklady na nákup, instalaci a údržbu hardwaru jsou poměrně vysoké, zejména ve srovnání s levnější a efektivnější variantou založenou na cloudu. Díky tomu jsou zařízení pro zmírnění rizika nepraktickým nákupem, pokud organizace není povinna používat on-premise řešení (např. na základě oborových předpisů).
V posledním případě je hardware obvykle součástí hybridního nasazení, kdy je doplněn cloudovými řešeními schopnými chránit před útoky na síťové vrstvě.
Off-premise, cloudová řešení
Off-premise řešení jsou buď poskytována poskytovatelem internetových služeb, nebo cloudová. Poskytovatelé internetových služeb obvykle nabízejí pouze ochranu síťové vrstvy, zatímco cloudová řešení poskytují další možnosti filtrování potřebné k zastavení útoků na aplikační vrstvě. Obě řešení nabízejí prakticky neomezenou škálovatelnost, protože jsou nasazena mimo síť a nejsou omezena dříve identifikovanými omezeními uplinku.
Obecně jsou off-premise řešení pro zmírnění rizika spravovanými službami. Nevyžadují žádné investice do bezpečnostního personálu nebo údržby, které vyžadují DIY řešení a on premise hardware. Jsou také výrazně nákladově efektivnější než řešení on-premise a zároveň poskytují lepší ochranu proti hrozbám na síťové i aplikační vrstvě.
Off-premise řešení se nasazují buď jako služba na vyžádání, nebo jako služba always-on, přičemž většina předních dodavatelů na trhu nabízí obě možnosti.
Varianta na vyžádání
Varianta na vyžádání, která je umožněna přesměrováním BGP, zastavuje útoky na síťové vrstvě – včetně těch, které přímo cílí na server původu a další součásti infrastruktury páteřní sítě. Patří mezi ně záplavy SYN nebo UDP, což jsou volumetrické útoky určené k zahlcení síťových potrubí falešnými datovými pakety.
Volba Always-on
Volba Always-on je povolena prostřednictvím přesměrování DNS. Zastavuje útoky na aplikační vrstvě, které se pokoušejí navázat spojení TCP s aplikací ve snaze vyčerpat prostředky serveru. Patří mezi ně HTTP floods, DNS floods a různé útoky typu low-and-slow (např, Slowloris) .
Podívejte se, jak vám Imperva DDoS Protection může pomoci s útoky DDoS.
Imperva DDoS protection
Imperva zmírňuje masivní záplavu HTTP: 690 000 000 požadavků DDoS ze 180 000 IP botnetů.
Imperva poskytuje snadno použitelnou, nákladově efektivní a komplexní ochranu proti DDoS, která posouvá hranice technologií pro zmírňování útoků v cloudu.
Kombinací řešení na vyžádání a vždy v provozu, globální sítě, která nabízí téměř neomezenou škálovatelnost, a oceňovaných filtračních řešení pro transparentní zmírňování útoků společnost Imperva kompletně chrání své zákazníky před jakýmkoli typem útoku DDoS.
Navštivte tento odkaz a dozvíte se více o službách ochrany před DDoS společnosti Imperva.
Podrobnější informace o službách ochrany před DDoS najdete zde.