Ochrona aplikacji internetowych i infrastruktur serwerowych przed atakami DDoS nie jest już wyborem dla organizacji obecnych w Internecie. Pojawienie się usług DDoS for-hire skutecznie obniżyło poprzeczkę dla osób zdolnych do przeprowadzenia ataku, czyniąc wszystkie podmioty internetowe potencjalnym celem ataku.
Udany atak DDoS negatywnie wpływa na reputację organizacji, a także niszczy istniejące relacje z klientami. Znaczące straty finansowe mogą sięgać nawet 40 000 USD za godzinę w przypadku dużych przedsiębiorstw. Mniejsze podmioty mogą stanąć w obliczu szkód rzędu dziesiątek tysięcy dolarów, podczas gdy dłuższe, niezwalczone ataki mogą potencjalnie zakończyć działalność biznesową.
Ogólnie rzecz biorąc, istnieje kilka podejść do powstrzymywania ataków DDoS. Najczęstsze rozwiązania opierają się na metodach „zrób to sam” (DIY), urządzeniach łagodzących na miejscu oraz rozwiązaniach chmurowych poza siedzibą firmy.
Choć każde z nich oferuje własne korzyści, ich ogólna skuteczność w powstrzymywaniu DDoS opiera się na wielu czynnikach. Należą do nich skalowalność i możliwości filtrowania, koszt i łatwość integracji, a także łatwość użycia i zgodność z hostingiem.
| Do It Yourself | On-Premise | Off-Premise | ||
| CAPEX | Nie | Drogi | Umiarkowany | |
| OPEX | Minimal | Expensive | Moderate | |
| Metoda rozmieszczania | On demand | On na żądanie | Na żądanie /always on |
|
| Czas na złagodzenie skutków | Nieznaczny | Nieznaczny | Nieznaczny | Umiarkowany /nie |
| Skalowalność | Żaden | Limitowany | Czas praktycznie nieograniczony | |
| Filtrowanie | Limitowane | Nieznaczne | Nieznaczne | |
| Łatwość użycia | Komplikowany | Umiarkowany | Bardzo łatwy | |
| Integracja | Komplikowany | Umiarkowany | Łatwa | |
| Zgodność z opcjami hostingu |
Wszystko | Własne i dedykowane | Wszystko |
Ochrona przed DDoS
Ochrona przed DDoS jest powszechnie uważana za słabe podejście do ograniczania DDoS. W praktyce polega ona na ustawianiu statycznych progów ruchu (np. przy użyciu mod_evasive) i niedyskretnych reguł tworzenia czarnych list IP. Jest to rozwiązanie preferowane głównie ze względów budżetowych i rzadko rozważane przez firmy internetowe.
Poważną wadą rozwiązań DIY jest to, że są one często stosowane jako środek reaktywny. Prawie zawsze, konfiguracja jest ręcznie poprawiana po uderzeniu pierwszej fali ataku. Chociaż takie rozwiązanie może powstrzymać podobne ataki w przyszłości, udana pierwsza fala zwykle wystarczy, aby spowodować wielogodzinne przestoje i inne problemy.
Co więcej, sprawcy mogą łatwo modyfikować swoje metody, atakując z różnych źródeł i używając różnych wektorów. Utrzymuje to Twoją organizację w pozycji obronnej, w której musi ona wielokrotnie wdrażać dodatkowe konfiguracje, jednocześnie próbując odzyskać dane po wielu przestojach. Może to trwać nawet kilka dni.
Prawdziwym problemem w przypadku każdego podejścia typu „zrób to sam” jest jednak to, że jest ono zawsze ograniczone przepustowością sieci, co poważnie ogranicza skalowalność wymaganą do powstrzymywania ataków DDoS w warstwie sieciowej.
Ponieważ większość ataków rejestruje przepływności powyżej 10 Gb/s, a niewiele organizacji posiada łącza o przepustowości większej niż 10 Gb/s, rozwiązanie typu „zrób to sam” jest prawie zawsze skazane na porażkę.
Urządzenia lokalne
Podejście lokalne do ochrony przed DDoS wykorzystuje urządzenia sprzętowe rozmieszczone wewnątrz sieci, umieszczone przed chronionymi serwerami.
Takie urządzenia zazwyczaj mają zaawansowane możliwości filtrowania ruchu uzbrojone w kombinację blokowania geograficznego, ograniczania szybkości, reputacji IP i identyfikacji sygnatur.
Typowe urządzenia łagodzące mogą być skutecznie wykorzystywane do filtrowania złośliwego ruchu przychodzącego. To czyni je realną opcją do powstrzymywania ataków w warstwie aplikacji.
Jednakże kilka czynników sprawia, że poleganie na urządzeniach jest niewykonalne:
- Skalowalność pozostaje problemem. Zdolność sprzętu do obsługi dużych ilości ruchu DDoS jest ograniczona przez łącze uplink sieci, które rzadko przekracza 10 Gb/s (burst).
- Urządzenia znajdujące się w siedzibie firmy muszą być ręcznie wdrażane w celu powstrzymania ataku. Wpływa to na czas reakcji i łagodzenia skutków, często powodując przestoje w pracy organizacji przed ustanowieniem granicy bezpieczeństwa.
- Wreszcie, koszt zakupu, instalacji i konserwacji sprzętu jest stosunkowo wysoki, zwłaszcza w porównaniu z tańszą i bardziej skuteczną opcją opartą na chmurze. To sprawia, że urządzenia łagodzące są niepraktycznym zakupem, chyba że organizacja jest zobowiązana do korzystania z rozwiązań on-premise (np. przez regulacje branżowe).
W tym ostatnim scenariuszu sprzęt jest zazwyczaj częścią wdrożenia hybrydowego, w którym jest uzupełniany przez rozwiązania oparte na chmurze zdolne do obrony przed atakami w warstwie sieciowej.
Off-premise, rozwiązania oparte na chmurze
Off-premise to rozwiązania dostarczane przez dostawców usług internetowych lub oparte na chmurze. Dostawcy usług internetowych zazwyczaj oferują tylko ochronę warstwy sieciowej, natomiast rozwiązania oparte na chmurze zapewniają dodatkowe możliwości filtrowania wymagane do powstrzymania ataków w warstwie aplikacji. Oba oferują praktycznie nieograniczoną skalowalność, ponieważ są wdrażane poza siecią i nie są ograniczone przez wcześniej zidentyfikowane ograniczenia łącza uplink.
Generalnie, rozwiązania łagodzące poza siedzibą firmy są usługami zarządzanymi. Nie wymagają one żadnych inwestycji w personel bezpieczeństwa lub utrzymanie wymagane przez rozwiązania typu „zrób to sam” i sprzęt na miejscu. Są one również znacznie bardziej opłacalne niż rozwiązania lokalne, zapewniając jednocześnie lepszą ochronę przed zagrożeniami zarówno w warstwie sieciowej, jak i aplikacyjnej.
Rozwiązania zewnętrzne są wdrażane jako usługa na żądanie lub zawsze włączona, przy czym większość wiodących na rynku producentów oferuje obie opcje.
Opcja na żądanie
Uruchamiana przez przekierowanie BGP, opcja na żądanie zatrzymuje ataki w warstwie sieciowej – w tym ataki bezpośrednio wymierzone w serwer źródłowy i inne komponenty infrastruktury sieci rdzeniowej. Obejmują one powodzie SYN lub UDP, które są atakami objętościowymi zaprojektowanymi w celu zapchania rur sieciowych fałszywymi pakietami danych.
Opcja zawsze włączona
Opcja zawsze włączona jest włączana przez przekierowanie DNS. Zatrzymuje ona ataki warstwy aplikacji próbujące nawiązać połączenia TCP z aplikacją w celu wyczerpania zasobów serwera. Obejmują one zalewanie HTTP, zalewanie DNS i różne ataki typu low-and-slow (np, Slowloris) .
Zobacz, jak Imperva DDoS Protection może pomóc w przypadku ataków DDoS.
Imperva DDoS protection
Imperva łagodzi potężny zalew HTTP: 690 000 000 żądań DDoS ze 180 000 IP botnetów.
Imperva zapewnia łatwą w użyciu, efektywną kosztowo i kompleksową ochronę DDoS, która przesuwa granicę dla technologii łagodzenia skutków w chmurze.
Dzięki połączeniu rozwiązań na żądanie i zawsze włączonych, globalnej sieci oferującej niemal nieograniczoną skalowalność oraz nagradzanych rozwiązań filtrujących zapewniających przejrzyste łagodzenie skutków, firma Imperva całkowicie chroni swoich klientów przed każdym rodzajem ataku DDoS.
Odwiedź tutaj, aby dowiedzieć się więcej o usługach ochrony DDoS firmy Imperva.