Skydda webbapplikationer och serverinfrastrukturer från DDoS-attacker är inte längre ett val för organisationer som har en närvaro på nätet. Tillkomsten av DDoS-uthyrningstjänster har effektivt sänkt ribban för dem som kan utföra ett angrepp, vilket gör alla webbenheter till ett potentiellt mål.
En lyckad DDoS-attack har en negativ inverkan på en organisations rykte, förutom att den skadar befintliga kundrelationer. Betydande ekonomiska förluster kan uppgå till så mycket som 40 000 dollar per timme för stora företag. Mindre enheter kan drabbas av tiotusentals dollar i skador, medan längre, oavslutade angrepp har potential att bli affärsdrivande.
I stort sett finns det flera tillvägagångssätt för att stoppa DDoS-attacker. De vanligaste lösningarna bygger på gör-det-själv-metoder (DIY), begränsningsapparater på plats och molnbaserade lösningar utanför lokalen.
Alla erbjuder sina egna fördelar, men deras totala effektivitet när det gäller att stoppa DDoS-attacker är baserad på ett antal faktorer. Dessa inkluderar skalbarhet och filtreringsmöjligheter, kostnad och enkel integrering samt användarvänlighet och värdkompatibilitet.
Do It Yourself | On-Premise | Off-Lokalt | |
CAPEX | Ingen | Dyrt | Måttligt |
OPEX | Minimal | Dyrt | Måttligt |
Tillämpningsmetod | På begäran | På efterfrågan | På begäran /alltid på |
Tid till begränsning | Signifikant | Signifikant | Måttlig /ingen |
Skalerbarhet | Ingen | Begränsad | Nästan obegränsad |
Filtrering | Begränsad | Signifikant | Signifikant |
Användbarhet | Komplex | Måttlig | Mycket lätt |
Integration | Komplex | Måttlig | Lätt |
Kompatibilitet med hostingalternativ |
Annat | Eget och dedikerat | Annat |
DIY-skydd
DIY-skydd anses allmänt som ett svagt tillvägagångssätt för att begränsa DDoS. I praktiken bygger det på att man fastställer statiska tröskelvärden för trafik (t.ex. genom att använda mod_evasive) och urskillningslösa regler för svartlistning av IP-adresser. Den föredras oftast av budgetskäl och övervägs sällan av onlineföretag.
En stor nackdel med DIY-lösningar är att de ofta används som en reaktiv åtgärd. Nästan alltid justeras en konfiguration manuellt efter att en första attackvåg har slagit till. Även om en sådan lösning kan stoppa liknande framtida angrepp, är den framgångsrika första vågen vanligtvis tillräcklig för att orsaka flera timmars driftstopp och andra problem.
Förövare kan dessutom lätt ändra sina metoder, angripa från olika källor och använda olika vektorer. Detta håller din organisation i en defensiv position, där den måste upprepade gånger distribuera ytterligare konfigurationer, samtidigt som den försöker återhämta sig från flera nedtidshändelser. Detta kan pågå i flera dagar i taget.
Det verkliga problemet med alla gör-det-själv-strategier är dock att de alltid begränsas av nätverksbandbredden, vilket allvarligt begränsar den skalbarhet som krävs för att stoppa DDoS-attacker på nätverksnivå.
Med tanke på att de flesta angrepp registrerar över 10 Gbps och att få organisationer har mer än en 10 Gbps burst uplink är gör-det-själv-lösningen nästan alltid dömd att misslyckas.
Apparat på plats
Den lokala metoden för DDoS-skydd använder hårdvaruapparater som installeras i ett nätverk, placerade framför skyddade servrar.
Dessa apparater har vanligtvis avancerade funktioner för trafikfiltrering som är beväpnade med en kombination av geoblockering, hastighetsbegränsning, IP-rekrytering och identifiering av signaturer.
Typiska begränsningsapparater kan effektivt användas för att filtrera bort skadlig inkommande trafik. Detta gör dem till ett gångbart alternativ för att stoppa attacker i applikationsskiktet.
Men flera faktorer gör att det inte är möjligt att förlita sig på apparaterna:
- Skalerbarhet är fortfarande ett problem. Hårdvarans förmåga att hantera stora mängder DDoS-trafik begränsas av nätverkets uplink, som sällan är mer än 10 Gbps (burst).
- Apparater på plats måste sättas in manuellt för att stoppa en attack. Detta påverkar svarstiden och begränsningen, vilket ofta leder till att organisationer drabbas av driftstopp innan en säkerhetsperimeter kan upprättas.
- För det sista är kostnaden för att köpa, installera och underhålla hårdvara relativt hög, särskilt om man jämför med ett mindre kostsamt och effektivare molnbaserat alternativ. Detta gör begränsningsapparater till ett opraktiskt inköp, såvida inte en organisation är tvungen att använda lokala lösningar (t.ex. genom branschspecifika bestämmelser).
I det sistnämnda scenariot är hårdvara vanligtvis en del av en hybridinstallation, där den kompletteras med molnbaserade lösningar som kan försvara sig mot attacker i nätverksskiktet.
Off-premise, molnbaserade lösningar
Off-premise-lösningar är antingen ISP-tillhandahållna eller molnbaserade. Internetleverantörer erbjuder vanligtvis endast skydd för nätverksskiktet, medan molnbaserade lösningar tillhandahåller ytterligare filtreringsfunktioner som krävs för att stoppa attacker i applikationsskiktet. Båda erbjuder praktiskt taget obegränsad skalbarhet, eftersom de används utanför ett nätverk och inte begränsas av de tidigare identifierade begränsningarna för uppkoppling.
Generellt sett är lösningar för begränsning utanför lokalerna hanterade tjänster. De kräver inga av de investeringar i säkerhetspersonal eller underhåll som krävs för DIY-lösningar och hårdvara på plats. De är också betydligt mer kostnadseffektiva än lösningar på plats, samtidigt som de ger ett bättre skydd mot hot mot både nätverks- och applikationsskiktet.
Off-premise-lösningar används antingen som en on-demand- eller always-on-tjänst, och de flesta marknadsledande leverantörer erbjuder båda alternativen.
On-demand-alternativet
Aktiverat av BGP-omdirigering stoppar on-demand-alternativet attacker mot nätverksskiktet, inklusive de attacker som är direkt riktade mot originalservern och andra komponenter i infrastrukturen för det centrala nätverket. Dessa inkluderar SYN- eller UDP-floods, som är volumetriska attacker som är utformade för att täppa till nätverksrör med falska datapaket.
Always-on-alternativet
Always-on-alternativet aktiveras genom DNS-omdirigering. Det stoppar angrepp på programskiktet som försöker upprätta TCP-anslutningar med ett program i ett försök att uttömma serverresurser. Dessa inkluderar HTTP-floods, DNS-floods och olika low-and-slow-attacker (t.ex, Slowloris) .
Se hur Imperva DDoS Protection kan hjälpa dig med DDoS-attacker.
Imperva DDoS-skydd
Imperva dämpar en massiv HTTP-flood: 690 000 000 000 DDoS-förfrågningar från 180 000 botnets IP-adresser.
Imperva erbjuder ett lättanvänt, kostnadseffektivt och heltäckande DDoS-skydd som tänjer på gränserna för molnbaserad begränsningsteknik.
Genom en kombination av on-demand- och always-on-lösningar, ett globalt nätverk som erbjuder nästan gränslös skalbarhet och prisbelönta filterlösningar för transparent begränsning, skyddar Imperva sina kunder fullständigt från alla typer av DDoS-attacker.
Besök här för att få veta mer om Impervas DDoS-skyddstjänster.