Hogyan állítsuk meg a DDoS-támadásokat

A webes alkalmazások és szerver-infrastruktúrák védelme a DDoS-támadásoktól már nem csak egy választás az online jelenléttel rendelkező szervezetek számára. A DDoS-for-hire szolgáltatások megjelenése gyakorlatilag lecsökkentette a támadás végrehajtására képes személyek lécét, így minden webes egység potenciális célponttá vált.

Egy sikeres DDoS-támadás negatívan hat egy szervezet hírnevére, ráadásul a meglévő ügyfélkapcsolatokat is károsítja. A jelentős pénzügyi veszteségek a nagyvállalatok esetében óránként akár 40 000 dollárra is rúghatnak. A kisebb szervezetek több tízezer dolláros károkkal is szembesülhetnek, míg a hosszabb, nem csillapított támadások akár az üzlet végét is jelenthetik.

Tágabb értelemben véve többféle megközelítés létezik a DDoS-támadások megállítására. A leggyakoribb megoldások a csináld magad (DIY) módszerekre, a helyhez kötött kárenyhítő eszközökre és a helyhez nem kötött felhőalapú megoldásokra támaszkodnak.

Míg mindegyiknek megvannak a maga előnyei, a DDoS-támadások megállításában való általános hatékonyságuk számos tényezőn alapul. Ezek közé tartozik a skálázhatóság és a szűrési képességek, a költségek és az integráció egyszerűsége, valamint a könnyű használat és a tárhely-kompatibilitás.

Do It Yourself On-Premise Off…Premise
CAPEX None Expensive Moderate
OPEX Minimális Drága Mérsékelt
Elhelyezési módszer Igény szerint On Igény szerint Az igény szerint
/always on
Az enyhítéshez szükséges idő Szignifikáns Signifikáns Mérsékelt
/nincs
Skálázhatóság Nincs Korlátozott Nagyjából korlátlan
Szűrés korlátozott jelentős jelentős
Egyszerű használat Bonyolult Mérsékelt Nagyon könnyű
Integráció Bonyolult Mérsékelt Egyszerű
Kompatibilitás
hosting lehetőségekkel
Minden Elkülönített és dedikált Minden

DIY védelem

ADIY védelmet széles körben a DDoS elleni védelem gyenge megközelítésének tartják. Gyakorlatilag statikus forgalmi küszöbértékek beállítására (pl. mod_evasive használatával) és válogatás nélküli IP-feketelistázási szabályokra támaszkodik. Többnyire költségvetési okokból részesítik előnyben, és az online vállalkozások ritkán veszik figyelembe.

A barkácsmegoldások egyik fő hátránya, hogy gyakran reaktív intézkedésként alkalmazzák őket. A konfigurációt szinte mindig manuálisan finomítják, miután a kezdeti támadási hullám lecsapott. Bár egy ilyen megoldás megállíthatja a hasonló jövőbeli támadásokat, a sikeres első hullám általában elég ahhoz, hogy órákig tartó leállást és egyéb problémákat okozzon.

Az elkövetők ráadásul könnyen módosíthatják módszereiket, különböző forrásokból és különböző vektorokat használva támadnak. Ez védekező pozícióban tartja a szervezetet, ahol ismételten további konfigurációkat kell telepítenie, miközben egyidejűleg több leállási eseményből is megpróbál helyreállni. Ez akár napokig is eltarthat.

Az igazi probléma a barkácsmegoldásokkal azonban az, hogy mindig a hálózati sávszélesség korlátozza őket, ami súlyosan korlátozza a hálózati szintű DDoS-támadások megállításához szükséges skálázhatóságot.

Mivel a legtöbb támadás 10 Gbps-nál nagyobb sebességet regisztrál, és csak kevés szervezet rendelkezik 10 Gbps-nál nagyobb sebességű felhordási kapcsolattal, a barkácsmegoldás szinte mindig kudarcra van ítélve.

A helyszíni készülékek

A DDoS-védelem helyszíni megközelítése a hálózaton belül telepített, a védett szerverek elé helyezett hardveres készülékeket használ.

Az ilyen készülékek általában fejlett forgalomszűrő képességekkel rendelkeznek, amelyek a földrajzi blokkolás, a sebességkorlátozás, az IP-reputáció és az aláírás-azonosítás kombinációjával vannak felfegyverkezve.

A tipikus kárcsökkentő készülékek hatékonyan használhatók a rosszindulatú bejövő forgalom kiszűrésére. Ez életképes opcióvá teszi őket az alkalmazásrétegbeli támadások megállítására.

Az alkalmazásokra való hagyatkozást azonban több tényező is ellehetetleníti:

  • A skálázhatóság továbbra is probléma. A hardver nagy mennyiségű DDoS-forgalom kezelésére való képességét a hálózat uplinkje korlátozza, amely ritkán haladja meg a 10 Gbps-ot (burst).
  • A helyben telepített eszközöket kézzel kell telepíteni a támadás megállításához. Ez hatással van a reakcióidőre és az elhárításra, és gyakran okoz a szervezeteknek leállási időt, mielőtt a biztonsági perem kialakítható lenne.
  • Végül a hardver megvásárlásának, telepítésének és karbantartásának költségei viszonylag magasak – különösen az olcsóbb és hatékonyabb felhőalapú megoldáshoz képest. Emiatt a kárelhárító eszközök beszerzése nem praktikus, kivéve, ha egy szervezet köteles helyhez kötött megoldásokat használni (pl. iparági előírások miatt).

Az utóbbi forgatókönyv szerint a hardver jellemzően egy hibrid telepítés része, ahol felhőalapú megoldásokkal egészítik ki, amelyek képesek a hálózati szintű támadások elleni védelemre.

A helyhez nem kötött, felhőalapú megoldások

A helyhez nem kötött megoldások vagy az internetszolgáltató által biztosított, vagy felhőalapúak. Az internetszolgáltatók jellemzően csak hálózati rétegbeli védelmet nyújtanak, míg a felhőalapú megoldások az alkalmazási rétegbeli támadások megállításához szükséges további szűrési képességeket biztosítanak. Mindkettő gyakorlatilag korlátlan skálázhatóságot kínál, mivel a hálózaton kívül kerülnek telepítésre, és nem korlátozzák őket a korábban azonosított uplink korlátozások.

A helyhez nem kötött védelmi megoldások általában menedzselt szolgáltatások. Nem igényelnek olyan beruházást a biztonsági személyzetbe vagy karbantartásba, mint a barkácsmegoldások és a helyben lévő hardverek. Emellett lényegesen költséghatékonyabbak, mint a helyszíni megoldások, miközben jobb védelmet nyújtanak mind a hálózati, mind az alkalmazási szintű fenyegetések ellen.

A helyszíni megoldások vagy on-demand vagy always-on szolgáltatásként telepíthetők, a legtöbb piacvezető gyártó mindkét lehetőséget kínálja.

On-demand opció

A BGP átirányítással aktivált on-demand opció megállítja a hálózati szintű támadásokat – beleértve a közvetlenül a származási szervert és a központi hálózati infrastruktúra más összetevőit célzó támadásokat is. Ezek közé tartoznak a SYN- vagy UDP-áradatok, amelyek a hálózati csövek hamis adatcsomagokkal való eltömítését célzó volumetrikus támadások.

Always-on opció

A always-on opciót a DNS-átirányítással lehet engedélyezni. Megakadályozza azokat az alkalmazásrétegbeli támadásokat, amelyek megpróbálnak TCP-kapcsolatot létesíteni egy alkalmazással a kiszolgáló erőforrásainak kimerítése érdekében. Ezek közé tartoznak a HTTP-áradatok, a DNS-áradatok és a különböző alacsony és lassú támadások (pl, Slowloris) .

Nézze meg, hogyan segíthet az Imperva DDoS Protection a DDoS-támadások ellen.

Imperva DDoS protection

Imperva enyhíti a hatalmas HTTP-áradatot: 690.000.000 DDoS-kérés 180.000 botnet IP-címéről.

Az Imperva könnyen használható, költséghatékony és átfogó DDoS-védelmet nyújt, amely a felhőalapú kárenyhítési technológia határait feszegeti.

Az Imperva az on-demand és a always-on megoldások, a szinte korlátlan skálázhatóságot biztosító globális hálózat és az átlátható védekezést biztosító díjnyertes szűrési megoldások kombinációjával teljes mértékben megvédi ügyfeleit a DDoS-támadások bármely típusától.

Látogasson el ide, ha többet szeretne megtudni az Imperva DDoS-védelmi szolgáltatásairól.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.