Beskyttelse af webapplikationer og serverinfrastrukturer mod DDoS-angreb er ikke længere et valg for organisationer, der har en online tilstedeværelse. Fremkomsten af DDoS-for-hire-tjenester har effektivt sænket barren for dem, der er i stand til at udføre et angreb, hvilket gør alle webenheder til et potentielt mål.
Et vellykket DDoS-angreb har en negativ indvirkning på en organisations omdømme og skader desuden eksisterende kundeforhold. Betydelige økonomiske tab kan beløbe sig til op til 40.000 dollars i timen for store virksomheder. Mindre enheder kan stå over for skader på titusindvis af dollars, mens længerevarende, uhåndterede angreb har potentiale til at være forretningstruende.
Der er generelt set flere metoder til at stoppe DDoS-angreb. De mest almindelige løsninger er baseret på gør-det-selv-metoder (DIY), on-premise afbødningsapparater og off-premise cloud-baserede løsninger.
Selv om de hver især giver deres egne fordele, afhænger deres samlede effektivitet med hensyn til at stoppe DDoS af en række faktorer. Disse omfatter skalerbarhed og filtreringsmuligheder, omkostninger og nem integration samt brugervenlighed og hostingkompatibilitet.
Do It Yourself | On-Premise | Off-Premise | ||
CAPEX | Ingen | Dyrt | Moderat | |
OPEX | Minimal | Dyrt | Moderat | |
Indsættelsesmetode | På forespørgsel | På efterspørgsel | På efterspørgsel /altid på |
|
Tid til afbødning | Signifikant | Signifikant | Moderat /ingen |
|
Skaleringsevne | Ingen | Begrænset | Næsten ubegrænset | Næsten ubegrænset |
Filtrering | Begrænset | Væsentlig | Væsentlig | |
Benyttelsesvenlighed | Kompleks | Moderat | Meget let | |
Integration | Kompleks | Moderat | Nemt | |
Kompatibilitet med hostingmuligheder |
Alle | Ejede og dedikerede | Alle | Alle |
DIY beskyttelse
DIY beskyttelse anses generelt for at være en svag tilgang til DDoS-bekæmpelse. I praksis er den baseret på fastsættelse af statiske trafikgrænser (f.eks. ved hjælp af mod_evasive) og vilkårlige regler for sortlistning af IP-adresser. Den foretrækkes for det meste af budgetmæssige årsager og overvejes sjældent af onlinevirksomheder.
En stor ulempe ved gør-det-selv-løsninger er, at de ofte anvendes som en reaktiv foranstaltning. Næsten altid bliver en konfiguration manuelt justeret, efter at en første angrebsbølge har ramt. Selv om en sådan løsning måske kan stoppe lignende fremtidige angreb, er den vellykkede første bølge normalt nok til at forårsage timevis af nedetid og andre problemer.
Og desuden kan gerningsmændene let ændre deres metoder og angribe fra forskellige kilder og ved hjælp af forskellige vektorer. Dette holder din organisation i en defensiv position, hvor den gentagne gange skal implementere yderligere konfigurationer, samtidig med at den forsøger at genoprette fra flere nedbrudshændelser. Dette kan fortsætte i dagevis.
Det virkelige problem med enhver DIY-tilgang er imidlertid, at den altid er begrænset af netværksbåndbredden, hvilket alvorligt begrænser den skalerbarhed, der kræves for at stoppe DDoS-angreb i netværkslaget.
Med de fleste angreb, der registrerer over 10 Gbps, og kun få organisationer, der har mere end et 10 Gbps burst uplink, er DIY-løsningen næsten altid dømt til at mislykkes.
On-premise appliances
Den on-premise-tilgang til DDoS-beskyttelse anvender hardwareappliances, der er implementeret inde i et netværk og placeret foran beskyttede servere.
Sådanne appliances har normalt avancerede trafikfiltreringsfunktioner, der er bevæbnet med en kombination af geoblokering, hastighedsbegrænsning, IP-reputation og signaturidentifikation.
Typiske afbødningsappliances kan effektivt bruges til at filtrere skadelig indgående trafik fra. Dette gør dem til en levedygtig mulighed for at stoppe angreb på applikationslaget.
Der er imidlertid flere faktorer, der gør det uhensigtsmæssigt at stole på appliances:
- Skalering er fortsat et problem. Hardwarens evne til at håndtere store mængder DDoS-trafik er begrænset af et netværks uplink, som sjældent er mere end 10 Gbps (burst).
- Appliances på stedet skal udrulles manuelt for at stoppe et angreb. Dette påvirker respons- og afhjælpningstiden, hvilket ofte medfører, at organisationer lider nedetid, før der kan etableres en sikkerhedsperimeter.
- Finalt er omkostningerne til køb, installation og vedligeholdelse af hardware relativt høje, især sammenlignet med en billigere og mere effektiv cloud-baseret løsning. Dette gør afværgeapparater til et upraktisk køb, medmindre en organisation er forpligtet til at bruge lokale løsninger (f.eks. på grund af branchespecifikke regler).
I sidstnævnte scenario er hardware typisk en del af en hybrid implementering, hvor den suppleres af cloud-baserede løsninger, der er i stand til at forsvare sig mod angreb på netværkslaget.
Off-premise, cloud-baserede løsninger
Off-premise-løsninger er enten ISP-leverede eller cloud-baserede. ISP’er tilbyder typisk kun beskyttelse af netværkslaget, mens cloud-baserede løsninger giver yderligere filtreringsfunktioner, der er nødvendige for at stoppe angreb på applikationslaget. Begge tilbyder praktisk talt ubegrænset skalerbarhed, da de udrulles uden for et netværk og ikke er begrænset af de tidligere identificerede uplink-begrænsninger.
Generelt set er off-premise-løsninger til afværgeforanstaltninger administrerede tjenester. De kræver ikke nogen af de investeringer i sikkerhedspersonale eller vedligeholdelse, som kræves af gør-det-selv-løsninger og hardware på stedet. De er også betydeligt mere omkostningseffektive end on-premise-løsninger, samtidig med at de giver bedre beskyttelse mod både netværks- og applikationslagstrusler.
Off-premise-løsninger implementeres enten som en on-demand- eller always-on-tjeneste, og de fleste markedsledende leverandører tilbyder begge muligheder.
On-demand-mulighed
Aktiveret af BGP-rerouting stopper on-demand-muligheden angreb på netværkslaget – herunder dem, der er direkte rettet mod origin-serveren og andre komponenter i kernenetværksinfrastrukturen. Disse omfatter SYN- eller UDP-floods, som er volumetriske angreb, der er designet til at tilstoppe netværksrørene med falske datapakker.
Always-on option
Optionen always-on er aktiveret via DNS-omdirigering. Den stopper angreb fra programlaget, der forsøger at etablere TCP-forbindelser med et program i et forsøg på at opbruge serverressourcerne. Disse omfatter HTTP-floods, DNS-floods og forskellige low-and-slow-angreb (f.eks, Slowloris) .
Se, hvordan Imperva DDoS Protection kan hjælpe dig med DDoS-angreb.
Imperva DDoS-beskyttelse
Imperva afbøder en massiv HTTP-flood: 690.000.000 DDoS-anmodninger fra 180.000 botnet-IP’er.
Imperva tilbyder brugervenlig, omkostningseffektiv og omfattende DDoS-beskyttelse, der skubber grænsen for cloud-baseret afbødningsteknologi.
Gennem en kombination af on-demand- og always-on-løsninger, et globalt netværk, der tilbyder næsten ubegrænset skalerbarhed og prisvindende filtreringsløsninger til gennemsigtig afbødning, beskytter Imperva sine kunder fuldstændigt mod enhver form for DDoS-angreb.
Besøg her for at få mere at vide om Imperva DDoS-beskyttelsestjenester.