Bescherming van webtoepassingen en serverinfrastructuren tegen DDoS-aanvallen is niet langer een keuze voor organisaties met een online aanwezigheid. De komst van DDoS-for-hireservices heeft de lat lager gelegd voor degenen die in staat zijn een aanval uit te voeren, waardoor alle webentiteiten een potentieel doelwit zijn geworden.
Een succesvolle DDoS-aanval heeft een negatieve invloed op de reputatie van een organisatie en beschadigt bestaande klantenrelaties. Aanzienlijke financiële verliezen kunnen oplopen tot wel 40.000 dollar per uur voor grote ondernemingen. Kleinere entiteiten kunnen te maken krijgen met tienduizenden dollars schade, terwijl langere, ongemitigeerde aanvallen in potentie het einde van een bedrijf kunnen betekenen.
In het algemeen zijn er verschillende benaderingen om DDoS-aanvallen te stoppen. De meest voorkomende oplossingen zijn doe-het-zelf-methoden (DIY), on-premise mitigatie-appliances en off-premise cloud-gebaseerde oplossingen.
Hoewel elk zijn eigen voordelen biedt, is hun algehele effectiviteit bij het tegenhouden van DDoS gebaseerd op een aantal factoren. Deze omvatten schaalbaarheid en filtermogelijkheden, kosten en integratiegemak, evenals gebruiksgemak en hostingcompatibiliteit.
Do It Yourself | On-Premise | Off-Premise | |
CAPEX | None | Expensive | Moderate |
OPEX | Minimal | Expensive | Moderate |
Deployment method | On demand | On vraag | Op aanvraag /altijd aan |
Tijd tot mitigatie | Significant | Significant | Matig /geen |
Kalibaarheid | geen | beperkt | Zeerwel onbeperkt |
Filtering | Beperkt | Significant | Significant |
Gebruiksgemak | Complex | Meervoudig | Zeervoudig |
Integratie | Complex | Meervoudig | Easy |
Compatibiliteit met hostingopties |
Alles | Eigen en dedicated |
DIY-bescherming
DIY-bescherming wordt algemeen beschouwd als een zwakke aanpak van DDoS-vermindering. In de praktijk berust deze op het instellen van statische verkeersdrempels (bijv. met behulp van mod_evasive) en het zonder onderscheid op de zwarte lijst plaatsen van IP-adressen. Het wordt meestal verkozen om budgettaire redenen en zelden overwogen door online bedrijven.
Een groot nadeel van doe-het-zelf oplossingen is dat ze vaak worden gebruikt als een reactieve maatregel. Bijna altijd wordt een configuratie handmatig aangepast nadat een eerste aanvalsgolf heeft plaatsgevonden. Hoewel een dergelijke oplossing soortgelijke aanvallen in de toekomst kan tegenhouden, is de succesvolle eerste golf meestal genoeg om uren downtime en andere problemen te veroorzaken.
Daders kunnen bovendien gemakkelijk hun methoden wijzigen, aanvallen vanuit verschillende bronnen en verschillende vectoren gebruiken. Dit houdt uw organisatie in een defensieve positie, waarin het herhaaldelijk extra configuraties moet implementeren, terwijl het tegelijkertijd probeert te herstellen van meerdere downtime-events. Dit kan dagen achtereen doorgaan.
Het echte probleem met elke doe-het-zelf-aanpak is echter dat deze altijd wordt beperkt door de bandbreedte van het netwerk, waardoor de schaalbaarheid die nodig is om DDoS-aanvallen op de netwerklaag te stoppen, ernstig wordt beperkt.
Met de meeste aanvallen die meer dan 10 Gbps registreren en weinig organisaties die meer dan een 10 Gbps-burst uplink hebben, is de doe-het-zelf-oplossing bijna altijd gedoemd te mislukken.
On-premise appliances
De on-premise benadering van DDoS-bescherming maakt gebruik van hardware-appliances die binnen een netwerk worden ingezet, vóór de beschermde servers worden geplaatst.
Zulke appliances beschikken meestal over geavanceerde verkeersfiltermogelijkheden, gewapend met een combinatie van geo-blocking, snelheidsbeperking, IP-reputatie en handtekeningidentificatie.
Typische mitigatie-appliances kunnen effectief worden gebruikt om kwaadaardig inkomend verkeer te filteren. Dit maakt ze een haalbare optie voor het stoppen van aanvallen op de applicatielaag.
Echter, verschillende factoren maken het onhaalbaar om op appliances te vertrouwen:
- De schaalbaarheid blijft een probleem. Het vermogen van de hardware om grote hoeveelheden DDoS-verkeer aan te kunnen, wordt beperkt door de uplink van een netwerk, die zelden meer dan 10 Gbps (burst) is.
- Op locatie aanwezige appliances moeten handmatig worden ingezet om een aanval te stoppen. Dit heeft gevolgen voor de time-to-response en mitigatie, waardoor organisaties vaak te maken krijgen met downtime voordat een veiligheidsperimeter kan worden ingesteld.
- Ten slotte zijn de kosten voor aanschaf, installatie en onderhoud van hardware relatief hoog, vooral in vergelijking met een minder kostbare en effectievere cloud-gebaseerde optie. Dit maakt mitigatie-appliances tot een onpraktische aanschaf, tenzij een organisatie verplicht is on-premise oplossingen te gebruiken (bijvoorbeeld door sectorspecifieke regelgeving).
In het laatste scenario maakt hardware doorgaans deel uit van een hybride inzet, waarbij deze wordt aangevuld met cloudgebaseerde oplossingen die in staat zijn zich te verdedigen tegen netwerklaagaanvallen.
Off-premise, cloudgebaseerde oplossingen
Off-premise oplossingen worden ofwel door ISP’s geleverd of zijn cloudgebaseerd. ISP’s bieden doorgaans alleen bescherming voor de netwerklaag, terwijl cloudgebaseerde oplossingen extra filtermogelijkheden bieden die nodig zijn om aanvallen op de toepassingslaag te stoppen. Beide bieden vrijwel onbeperkte schaalbaarheid, omdat ze buiten een netwerk worden ingezet en niet worden beperkt door de eerder genoemde uplink-beperkingen.
Oplossingen voor off-premise beperking zijn over het algemeen beheerde diensten. Ze vereisen geen investeringen in beveiligingspersoneel of onderhoud, zoals bij doe-het-zelf-oplossingen en on-premise hardware. Ze zijn ook aanzienlijk kosteneffectiever dan on-premise oplossingen, terwijl ze betere bescherming bieden tegen bedreigingen op zowel de netwerk- als de toepassingslaag.
Off-premise oplossingen worden ingezet als een on-demand of always-on service, waarbij de meeste marktleidende leveranciers beide opties aanbieden.
On-demand optie
Ingeschakeld door BGP-routering, stopt de on-demand optie aanvallen op de netwerklaag – inclusief die welke direct gericht zijn op de origin server en andere componenten van de kernnetwerkinfrastructuur. Hieronder vallen SYN- of UDP-floods, volumetrische aanvallen die zijn ontworpen om netwerkleidingen te verstoppen met valse gegevenspakketten.
Altijd-aan-optie
De altijd-aan-optie wordt ingeschakeld via DNS-omleiding. Het stopt aanvallen van de toepassingslaag die proberen TCP-verbindingen met een toepassing tot stand te brengen in een poging serverbronnen uit te putten. Hieronder vallen HTTP floods, DNS floods en diverse low-and-slow aanvallen (bijv, Slowloris) .
Zie hoe Imperva DDoS Protection u kan helpen bij DDoS-aanvallen.
Imperva DDoS protection
Imperva verzacht een enorme HTTP-stroom: 690.000.000 DDoS-verzoeken van 180.000 IP’s van botnets.
Imperva biedt gebruiksvriendelijke, kosteneffectieve en uitgebreide DDoS-bescherming die de grenzen verlegd voor cloudgebaseerde mitigatietechnologie.
Door een combinatie van on-demand en always-on oplossingen, een wereldwijd netwerk dat vrijwel onbeperkte schaalbaarheid biedt en bekroonde filteroplossingen voor transparante mitigatie, beschermt Imperva zijn klanten volledig tegen elk type DDoS-aanval.
Verkijk hier voor meer informatie over DDoS-beschermingsservices van Imperva.