Miten DDoS-hyökkäykset pysäytetään

Verkkosovellusten ja palvelininfrastruktuurien suojaaminen DDoS-hyökkäyksiltä ei ole enää mikään valinta verkossa toimiville organisaatioille. DDoS-for-hire -palveluiden tulo on alentanut tehokkaasti hyökkäyksen toteuttamiseen kykenevien rimaa, mikä tekee kaikista verkkoyksiköistä potentiaalisia kohteita.

Onnistunut DDoS-hyökkäys vaikuttaa kielteisesti organisaation maineeseen, minkä lisäksi se vahingoittaa olemassa olevia asiakassuhteita. Merkittävät taloudelliset menetykset voivat suurissa yrityksissä olla jopa 40 000 dollaria tunnissa. Pienemmät yritykset voivat joutua kärsimään kymmenien tuhansien dollareiden vahingoista, kun taas pidemmät, lieventämättömät hyökkäykset voivat olla liiketoiminnan lopettavia tapahtumia.

Laaja-alaisesti sanottuna DDoS-hyökkäysten pysäyttämiseen on olemassa useita lähestymistapoja. Yleisimmät ratkaisut perustuvat tee-se-itse (DIY) -menetelmiin, tiloissa oleviin torjuntalaitteisiin ja tilojen ulkopuolisiin pilvipohjaisiin ratkaisuihin.

Kaikki tarjoavat omat hyötynsä, mutta niiden kokonaistehokkuus DDoS-hyökkäysten pysäyttämisessä perustuu useisiin tekijöihin. Näitä ovat skaalautuvuus ja suodatusominaisuudet, kustannukset ja integroinnin helppous sekä helppokäyttöisyys ja hosting-yhteensopivuus.

Do It Yourself On-Premise Off-Off-Premise
CAPEX None Expensive Moderate
OPEX Minimaalinen Kallis Moderate
Käyttöönottomenetelmä Tarpeen mukaan Ohj. Tarpeen mukaan Tarpeen mukaan
/aina päällä
Aika lieventämiseen Tärkeä merkittävä merkittävä Moderate
/none
Scalability None Limited Virtually unlimited
Suodatus Rajoitettu Tärkeä Tärkeä
Käytön helppous Monimutkainen kohtalainen erittäin helppo
Yhteensopivuus monimutkainen kohtalainen Helppo
Yhteensopivuus
hostausvaihtoehtojen kanssa
Mitä tahansa Omistettu ja dedikoitu Mitä tahansa

DIY-suojaus

DDIY-suojausta pidetään laajalti heikkona lähestymistapana DDoS:n torjuntaan. Käytännössä se perustuu staattisten liikennekynnysten asettamiseen (esim. mod_evasiven avulla) ja summittaisiin IP:n mustan listan sääntöihin. Sitä suositaan useimmiten budjettisyistä, ja verkkoyritykset harkitsevat sitä vain harvoin.

Suurimpana haittapuolena DIY-ratkaisuissa on se, että niitä käytetään usein reaktiivisena toimenpiteenä. Lähes aina konfiguraatiota viritetään manuaalisesti sen jälkeen, kun ensimmäinen hyökkäysaalto on iskenyt. Vaikka tällainen ratkaisu saattaakin pysäyttää vastaavia tulevia hyökkäyksiä, onnistunut ensimmäinen aalto riittää yleensä aiheuttamaan tuntikausia kestäviä käyttökatkoksia ja muita ongelmia.

Tekijät voivat lisäksi helposti muuttaa menetelmiään, hyökätä eri lähteistä ja käyttää eri vektoreita. Tämä pitää organisaation puolustusasemassa, jossa sen on otettava toistuvasti käyttöön lisäkonfiguraatioita ja yritettävä samanaikaisesti toipua useista käyttökatkoista. Tämä voi jatkua päiviä kerrallaan.

Todellinen ongelma kaikissa DIY-lähestymistavoissa on kuitenkin se, että niitä rajoittaa aina verkon kaistanleveys, mikä rajoittaa huomattavasti skaalautuvuutta, jota tarvitaan verkkokerroksen DDoS-hyökkäysten pysäyttämiseen.

Koska useimmat hyökkäykset rekisteröivät yli 10 Gbps:n nopeuden ja vain harvalla organisaatiolla on käytössään yli 10 Gbps:n nopeuden pätkänopeuden nousulinkki, tee-se-itse-itse-ratkaisu on melkeinpä aina tuhoon tuomittua.

Paikan päällä olevat laitteet

Paikan päällä tapahtuvassa DDoS-suojauksessa käytetään laitteistolaitteita, jotka on sijoitettu verkon sisälle suojattujen palvelimien eteen.

Tällaisissa laitteissa on yleensä edistyneet liikenteen suodatusominaisuudet, jotka on aseistettu yhdistelmällä, joka sisältää geoblokkausta, nopeuden rajoittamista, IP-maineistusta ja allekirjoitustunnistusta.

Tyypillisiä haittojenvähentämislaitteistoja voidaan käyttää tehokkaasti suodattamaan saapuva haitallinen liikenne. Tämä tekee niistä varteenotettavan vaihtoehdon sovelluskerroksen hyökkäysten pysäyttämiseen.

Monien tekijöiden vuoksi ei kuitenkaan ole mahdollista luottaa laitteisiin:

  • Skaalautuvuus on edelleen ongelma. Laitteiston kyky käsitellä suuria määriä DDoS-liikennettä rajoittuu verkon nousulinkkiin, joka on harvoin yli 10 Gbps (burst).
  • Paikalla olevat laitteet on otettava käyttöön manuaalisesti hyökkäyksen pysäyttämiseksi. Tämä vaikuttaa reagointiaikaan ja lieventämiseen, mikä aiheuttaa usein organisaatioille seisokkeja, ennen kuin suojausalue voidaan muodostaa.
  • Loppujen lopuksi laitteiston osto-, asennus- ja ylläpitokustannukset ovat suhteellisen korkeat – etenkin verrattuna edullisempaan ja tehokkaampaan pilvipohjaiseen vaihtoehtoon. Tämä tekee suojauslaitteista epäkäytännöllisen hankinnan, ellei organisaation ole pakko käyttää paikallisia ratkaisuja (esim. toimialakohtaiset määräykset).

Viimeisessä skenaariossa laitteisto on tyypillisesti osa hybridi-käyttöönottoa, jossa sitä täydennetään pilvipohjaisilla ratkaisuilla, jotka kykenevät suojautumaan verkkokerroksen hyökkäyksiltä.

Pilvipohjaiset ratkaisut muualla kuin paikan päällä

Pilvipohjaiset ratkaisut muualla kuin paikan päällä toimivat ratkaisut ovat joko Internet-palveluntarjoajan tarjoamia tai pilvipohjaisia. Internet-palveluntarjoajat tarjoavat yleensä vain verkkokerroksen suojauksen, kun taas pilvipohjaiset ratkaisut tarjoavat sovelluskerroksen hyökkäysten pysäyttämiseen tarvittavia lisäsuodatusominaisuuksia. Molemmat tarjoavat käytännöllisesti katsoen rajattoman skaalautuvuuden, koska ne otetaan käyttöön verkon ulkopuolella eikä niitä rajoita aiemmin mainitut uplink-rajoitteet.

Yleisesti ottaen tilojen ulkopuoliset suojausratkaisut ovat hallinnoituja palveluja. Ne eivät vaadi investointeja tietoturvahenkilöstöön tai ylläpitoon, joita DIY-ratkaisut ja tiloissa olevat laitteistot edellyttävät. Ne ovat myös huomattavasti kustannustehokkaampia kuin paikan päällä olevat ratkaisut ja tarjoavat samalla paremman suojan sekä verkko- että sovelluskerroksen uhkia vastaan.

Off-premise-ratkaisut otetaan käyttöön joko on-demand- tai always-on-palveluna, ja useimmat markkinoiden johtavat toimittajat tarjoavat molempia vaihtoehtoja.

On-demand-vaihtoehto

BGGP:n uudelleenreitityksen avulla käyttöönotettava on-demand-vaihtoehto pysäyttää verkon verkkokerroksen hyökkäykset – myös sellaiset, jotka suuntautuvat suoraan lähtöpalvelimiin ja muihin runkoverkkoinfrastruktuurin osiin. Tällaisia ovat esimerkiksi SYN- tai UDP-tulvat, jotka ovat volyymihyökkäyksiä, joiden tarkoituksena on tukkia verkon putket väärennetyillä datapaketeilla.

Aina päällä -vaihtoehto

Aina päällä -vaihtoehto otetaan käyttöön DNS-uudelleenohjauksen avulla. Se pysäyttää sovelluskerroksen hyökkäykset, jotka yrittävät luoda TCP-yhteyksiä sovellukseen yrittäessään kuluttaa palvelimen resursseja. Näihin kuuluvat HTTP-tulvat, DNS-tulvat ja erilaiset low-and-slow-hyökkäykset (esim, Slowloris) .

Katso, miten Imperva DDoS Protection voi auttaa DDoS-hyökkäysten torjunnassa.

Imperva DDoS-suojaus

Imperva lievittää massiivista HTTP-tulvaa: 690 000 000 DDoS-pyyntöä 180 000 botnetin IP-osoitteesta.

Imperva tarjoaa helppokäyttöisen, kustannustehokkaan ja kattavan DDoS-suojauksen, joka asettaa pilvipohjaisen torjuntateknologian rajat uusiksi.

Tilaus- ja always-on-ratkaisujen yhdistelmällä, lähes rajattoman skaalautuvuuden tarjoavalla globaalilla verkolla ja läpinäkyvää suojausta tarjoavilla palkituilla suodatusratkaisuilla Imperva suojaa asiakkaitaan täydellisesti kaikentyyppisiltä DDoS-hyökkäyksiltä.

Käy täällä, jos haluat lisätietoja Impervan DDoS-suojauspalveluista.

Vastaa

Sähköpostiosoitettasi ei julkaista.