Protejarea aplicațiilor web și a infrastructurilor de servere împotriva atacurilor DDoS nu mai este o alegere pentru organizațiile care au o prezență online. Apariția serviciilor DDoS-for-hire a coborât efectiv ștacheta pentru cei capabili să execute un atac, făcând din toate entitățile web o țintă potențială.
Un atac DDoS de succes are un impact negativ asupra reputației unei organizații, pe lângă faptul că deteriorează relațiile existente cu clienții. Pierderile financiare semnificative se pot ridica până la 40.000 de dolari pe oră pentru marile întreprinderi. Entitățile mai mici se pot confrunta cu pagube de zeci de mii de dolari, în timp ce atacurile mai îndelungate și nemijlocite au potențialul de a fi evenimente care pun capăt afacerii.
În linii mari, există mai multe abordări pentru a opri atacurile DDoS. Cele mai comune soluții se bazează pe metode de tip „do-it-yourself” (DIY), pe dispozitive de atenuare la fața locului și pe soluții bazate pe cloud off-premise.
În timp ce fiecare dintre acestea își oferă propriile beneficii, eficacitatea lor generală în oprirea atacurilor DDoS se bazează pe o serie de factori. Aceștia includ scalabilitatea și capacitățile de filtrare, costul și ușurința de integrare, precum și ușurința de utilizare și compatibilitatea cu găzduirea.
| Do It Yourself | On-Premise | Off…Premise | |||
| CAPEX | Nimic | Costisitor | Moderat | ||
| OPEX | Minimal | Costisitor | Moderat | ||
| Metoda de desfășurare | La cerere | La cerere | La cerere cerere | La cerere /întotdeauna |
|
| Timp de atenuare | Semnificativ | Semnificativ | Semnificativ | Moderat /nimic |
|
| Scalabilitate | Nimic | Limitat | Virtualmente nelimitat | ||
| Filtrare | Limitată | Semnificativă | Semnificativă | ||
| Facilitate de utilizare | Complex | Moderat | Mult ușor | ||
| Integrare | Complex | Moderat | Complex | Moderat | Facil |
| Compatibilitate cu opțiuni de găzduire |
Orice | Propriu și dedicat | Orice |
Protecție DIY
Protecția DIY este considerată pe scară largă ca fiind o abordare slabă pentru atenuarea DDoS. În termeni practici, aceasta se bazează pe stabilirea unor praguri de trafic statice (de exemplu, folosind mod_evasive) și pe reguli nediscriminatorii de includere a IP-urilor în liste negre. Este preferată mai ales din motive bugetare și este rareori luată în considerare de întreprinderile online.
Un dezavantaj major al soluțiilor DIY este că sunt adesea folosite ca măsură reactivă. Aproape întotdeauna, o configurație este ajustată manual după ce un val inițial de atac a lovit. Deși o astfel de soluție ar putea opri viitoarele atacuri similare, primul val de succes este, de obicei, suficient pentru a provoca ore de întrerupere a activității și alte probleme.
În plus, autorii își pot modifica cu ușurință metodele, atacând din surse disparate și folosind vectori diferiți. Acest lucru menține organizația dvs. într-o poziție defensivă, în care trebuie să implementeze în mod repetat configurații suplimentare, încercând în același timp să recupereze din multiplele evenimente de indisponibilitate. Acest lucru poate dura zile în șir.
Reala problemă cu orice abordare DIY, totuși, este că este întotdeauna constrânsă de lățimea de bandă a rețelei, ceea ce limitează sever scalabilitatea necesară pentru a opri atacurile DDoS la nivel de rețea.
Cu majoritatea atacurilor înregistrând peste 10Gbps și puține organizații având mai mult de o legătură ascendentă în rafală de 10Gbps, soluția DIY este aproape întotdeauna condamnată la eșec.
Dispozitive on-premise
Abordarea on-premise a protecției DDoS utilizează dispozitive hardware implementate în interiorul unei rețele, plasate în fața serverelor protejate.
Aceste dispozitive au, de obicei, capacități avansate de filtrare a traficului, înarmate cu o combinație de geo-blocare, limitare a ratei, reputație IP și identificare a semnăturilor.
Dispozitivele de atenuare tipice pot fi utilizate în mod eficient pentru a filtra traficul de intrare rău intenționat. Acest lucru le face să fie o opțiune viabilă pentru oprirea atacurilor la nivelul aplicațiilor.
Cu toate acestea, mai mulți factori fac nefezabilă încrederea în aparate:
- Scalabilitatea rămâne o problemă. Capacitatea hardware-ului de a face față unor cantități mari de trafic DDoS este limitată de legătura ascendentă a unei rețele, care este rareori mai mare de 10Gbps (în rafală).
- Dispozitivele on-premise trebuie să fie implementate manual pentru a opri un atac. Acest lucru are un impact asupra timpului de răspuns și de atenuare, determinând adesea organizațiile să sufere timpii de nefuncționare înainte de a putea fi stabilit un perimetru de securitate.
- În cele din urmă, costul de achiziționare, instalare și întreținere a hardware-ului este relativ ridicat – în special în comparație cu o opțiune mai puțin costisitoare și mai eficientă bazată pe cloud. Acest lucru face ca dispozitivele de atenuare să fie o achiziție nepractică, cu excepția cazului în care o organizație este obligată să utilizeze soluții on-premise (de exemplu, prin reglementări specifice industriei).
În acest din urmă scenariu, hardware-ul este de obicei o parte a unei implementări hibride, în care este completat de soluții bazate pe cloud capabile să se apere împotriva atacurilor la nivelul rețelei.
Soluții off-premise, bazate pe cloud
Soluțiile off-premise sunt fie furnizate de ISP, fie bazate pe cloud. ISP-urile oferă de obicei doar protecție la nivelul rețelei, în timp ce soluțiile bazate pe cloud oferă capacități suplimentare de filtrare necesare pentru a opri atacurile la nivelul aplicațiilor. Ambele oferă o scalabilitate practic nelimitată, deoarece sunt implementate în afara unei rețele și nu sunt constrânse de limitările uplink identificate anterior.
În general, soluțiile de atenuare off-premise sunt servicii gestionate. Ele nu necesită niciuna dintre investițiile în personal de securitate sau întreținerea cerute de soluțiile DIY și de hardware-ul din incintă. De asemenea, sunt semnificativ mai eficiente din punct de vedere al costurilor decât soluțiile on-premise, oferind în același timp o protecție mai bună atât împotriva amenințărilor de la nivelul rețelei, cât și a celor de la nivelul aplicațiilor.
Soluțiile off-premise sunt implementate fie ca un serviciu la cerere, fie ca un serviciu permanent, majoritatea furnizorilor lideri de piață oferind ambele opțiuni.
Opțiunea la cerere
Activată prin redirecționarea BGP, opțiunea la cerere oprește atacurile de la nivelul rețelei – inclusiv pe cele care vizează direct serverul de origine și alte componente ale infrastructurii rețelei centrale. Printre acestea se numără SYN sau UDP floods, care sunt atacuri volumetrice concepute pentru a bloca conductele de rețea cu pachete de date false.
Opțiunea always-on
Opțiunea always-on este activată prin redirecționarea DNS. Aceasta oprește atacurile la nivelul aplicațiilor care încearcă să stabilească conexiuni TCP cu o aplicație în încercarea de a epuiza resursele serverului. Printre acestea se numără HTTP floods, DNS floods și diverse atacuri de tip low-and-slow (de ex, Slowloris) .
Vezi cum Imperva DDoS Protection te poate ajuta cu atacurile DDoS.
Protecție DDoS Imperva
Imperva atenuează o inundație HTTP masivă: 690.000.000.000 de cereri DDoS de la 180.000 de IP-uri botnet.
Imperva oferă o protecție DDoS ușor de utilizat, rentabilă și cuprinzătoare, care împinge limitele tehnologiei de atenuare bazate pe cloud.
Prin intermediul unei combinații de soluții la cerere și permanente, o rețea globală care oferă o scalabilitate aproape nelimitată și soluții de filtrare premiate pentru o atenuare transparentă, Imperva își protejează complet clienții de orice tip de atac DDoS.
Vizitați aici pentru a afla mai multe despre serviciile de protecție DDoS Imperva.
.