Mikä on DDoS-lieventäminen?


Mikä on DDoS-lieventäminen?

Hajautettu palvelunestohyökkäys (DDoS) on yksi vahingollisimmista uhista tietoverkkouhkien maisemassa. Hallitukset, monikansalliset yritykset ja yksityiset verkot ovat kaikki antautuneet DDoS-hyökkäykseen. Hyökkäykset voidaan suorittaa lukemattomilla tavoilla. Pahinta, että nämä hyökkäykset eivät välttämättä edellytä asiantuntijoiden mahdollisuuksia hakkereina vetää pois.


Minkä tahansa organisaation tavoitteena tulee riippumatta sen koosta, olla näiden hyökkäysten uhan vähentäminen. Kuinka tämä voidaan saavuttaa?

DDoS-lieventämisstrategiat.

DDoS-lieventämisen ymmärtämiseksi on ensin ymmärrettävä DDoS-hyökkäys ja sen variantit. Yksinkertaistetusti; DDoS-hyökkäys pyrkii poistamaan verkon käytöstä ylikuormittamalla sitä liikenteellä. Tämä voi tapahtua monissa muodoissa virheellisistä paketeista, jotka tulvat a UDP protokolla, osittaisten HTTP-pyyntöjen lähettämiseen, kunnes laillista liikennettä ei enää voida käyttää.

Mikä tekee DDoS hyökkäyksen monimutkaisuus on nykyään niin vaikea lieventäminen. Aikaisemmin oli aika, että DDoS-hyökkäykset kohdistuivat vain Open Systems Interconnection (OSI) -mallin ylempiin kerroksiin. Tällaisia ​​kerroksia olivat kuljetus- ja verkkosegmentit. Nyt DDoS-hyökkäykset ovat kuitenkin kehittyneet siten, että ne voivat kohdistaa alemmille tasoille (etenkin sovelluskerrokselle). Tämä antaa SysAdminsille ja kyberturvallisuuden sinisille ryhmille (puolustuspoliittisille asiantuntijoille) paljon enemmän harkita DDoS-lieventämisstrategioissaan.

Jokaiseen hyvään DDoS-lieventämisstrategiaan on neljä peruskomponenttia. Nämä komponentit ovat havaitseminen, reaktio, reititys, ja sopeutuminen. Tutkitaanpa syvemmin kaikkia näitä lieventämisstrategioita.

havaitseminen

Lieventämisstrategian ensimmäisessä vaiheessa pyritään selvittämään, mikä liikenne on laillista, ja päinvastoin, mikä on haitallista. Ei voi olla tilannetta, jossa vaarattomat käyttäjät estetään vahingossa verkkosivustolta.

Tämä voidaan välttää pitämällä vakaa loki mustalle listalle IP osoitteita. Vaikka tämä voi silti vahingoittaa viattomia käyttäjiä, kuten käyttäjiä, jotka käyttävät välityspalvelimia tai TOR turvallisuuteen, se on silti kunnollinen ensimmäinen askel. IP-osoitteiden estäminen on riittävän yksinkertaista, mutta se on vain yksi osa tunnistusstrategiaa.

Seuraavaksi organisaatiosi on tunnistettava DDoS-hyökkäys tunnistettava tämä tyypillinen liikennevirta päivittäin. Se auttaa myös metriikan saamisessa tiheän liikenteen päivinä, joten lähtökohdan mittaus on olemassa. Tämä auttaa erottamaan poikkeuksellisen suuresta liikennevirrasta verrattuna aiemmin saatuihin kokemuksiin “laillisesti” korkean liikenteen kanssa.

reaktio

Jos havaitseminen on vakaa, reaktion käynnissä olevaan DDoS-hyökkäykseen pitäisi olla automaattinen. Tämä vaatii todennäköisesti kolmannen osapuolen palvelun, joka on erikoistunut DDoS-ennaltaehkäisyyn. DDoS-reaktioiden manuaalista konfigurointia ei enää suositella. Syynä tähän on se, että verkkorikolliset ovat saaneet viisauden moniin tekniikoihin.

Vahvassa DDoS-puolustuksessa reaktiovaihe alkaa heti estää haitallista liikennettä. Se ymmärtää, että bottiverkon zombilaitteet luovat suurta liikennevirtaa. Tämän suodatuksen tulisi alkaa heikentää hyökkäystä. Vastaus riippuu palveluntarjoajan kyvyistä. Ihannetapauksessa suojapalvelu käyttää metodien yhdistelmää. Edellä mainitun lisäksi IP: n musta lista, siellä pitäisi olla kyky tarkastaa paketit sekä harjoittaa nopeutta rajoittavaa toimintaa.

reititys

Reititys ottaa vastaan ​​jäljellä olevan liikenteen, jota ei voitu käsitellä automaattisessa reaktiovaiheessa. Tavoitteena on hajottaa liikenne ja pitää se poissa kohdistettavista palvelimista. Ensisijaisia ​​reititysstrategioita on kaksi.

Ensimmäinen näistä on DNS-reititys. Tämä on todella tehokasta vain DDoS-hyökkäyksissä, jotka kohdistuvat OSI-mallin sovelluskerrokseen. Tämä tarkoittaa, että vaikka peität todellisen IP-osoitteesi, hyökkäys on silti onnistunut. DNS-reititys pakottaa haitallisen liikenteen ohjaamaan uudelleen “aina päällä” olevaan DDoS-suojauspalveluun. Se kestää hyökkäyksen kuormituksen, jolloin palvelimelle pääsee vain laillisella liikenteellä. Tämä tehdään muuttamalla CNAME- ja A-tietueita. Tietue osoittaa tiettyyn IP-osoitteeseen, kun taas CNAME luo salaisuuden aliaksen IP-osoite.

Toista reititysstrategiaa kutsutaan Border Gateway Protocol -reititykseksi. Tämä on manuaalinen kokoonpano, joka pakottaa kaiken verkkopohjaan kohdistuvan haitallisen liikenteen lievittäjälle. Se pakottaa DDoS-liikenteen poistumaan ainakin suurimmaksi osaksi. Kuten aikaisemmin mainittiin, manuaalisella kokoonpanolla on ongelmia. Se on hitaampaa, ja sen seurauksena se voi antaa haitallisen liikenteen päästä kohdepalvelimeen.

sopeutuminen

Tämä on enemmän tai vähemmän DDoS-hyökkäyksen post mortem -analyysi. Se on osa lieventämisstrategiaa, jolla pyritään oppimaan, mitä tehtiin oikein ja väärin. Tämä tarkoittaa hyökkäyksen lähteen analysointia, sen selvittämistä, mikä oli sallittua, yrittämistä saada selville kuinka nopeasti puolustukset otettiin käyttöön, ja mikä tärkeintä, kuinka estää hyökkäys 100 prosenttisesti tehokkaasti tulevaisuudessa.

DDoS-lieventäminen on monimutkaista. Hyökkäysten jatkuessa kehittyessä kyberturvallisuus on valitettavasti aina askeleen taakse. Vihollista ei voi taistella; he eivät vielä ymmärrä. Vasta uuden hyökkäysvektoripinnan jälkeen voidaan rakentaa puolustuksia. Silti vahvojen DDoS-lieventämistekniikoiden toteuttaminen voi säästää organisaatiollesi paljon potentiaalisesti menetettyä aikaa ja rahaa.

Lisätietoja DDoS: sta

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me