Hvad er DDoS-begrænsning?


Hvad er DDoS-begrænsning?

Et Distribueret-Denial-of-Service-angreb (DDoS) -angreb er en af ​​de mest skadelige trusler i cybertruskelandskabet. Regeringer, multinationale selskaber og private netværk har alle bukket under for DDoS-angrebet. Der er utallige måder, hvorpå angrebene kan udføres. Værst af alt kræver disse angreb ikke nødvendigvis ekspert evne som en hacker til at trække af.


Målet for enhver organisation, uanset størrelse, bør være at begrænse truslen om disse angreb. Hvordan kan dette opnås?

DDoS-afbødningsstrategier.

For at forstå DDoS-begrænsning skal man først forstå DDoS-angrebet og dets varianter. Kort sagt; et DDoS-angreb søger at deaktivere et netværk ved at overbelaste det med trafik. Dette kan antage mange former, fra misdannede pakker, der oversvømmer a UDP protokol, til at sende delvise HTTP-anmodninger, indtil den legitime trafik ikke længere er tilgængelig.

Hvad laver DDoS afhjælpning så vanskelig i dag er angrebets kompleksitet. Der var en tid i fortiden, hvor DDoS kun angriber målrettede øvre lag af Open Systems Interconnection (OSI) -modellen. Sådanne lag inkluderede transport- og netværkssegmenterne. Nu har DDoS-angreb imidlertid udviklet sig, så de kan målrette mod lavere niveauer (især applikationslaget). Dette giver SysAdmins og cybersecurity-blå teams (forsvarsorienterede eksperter) meget mere at overveje i deres DDoS-afbødningsstrategier.

Der er fire grundlæggende komponenter til enhver god DDoS-afbødningsstrategi. Disse komponenter er Opdagelse, Reaktion, routing, og Tilpasning. Lad os gå nærmere ind på hver af disse afbødningsstrategier.

Opdagelse

Den første fase af afbødningsstrategien søger at skelne mellem, hvilken trafik der er legitim, og omvendt hvilken trafik, der er ondsindet. Man kan ikke have en situation, hvor uskyldige brugere blokeres fra et websted ved et uheld.

Dette kan undgås ved at føre en stabil log på sortlistet IP adresser. Selvom dette stadig kan skade uskyldige brugere, såsom dem, der bruger proxy-IP’er eller TOR til sikkerhed, er det stadig et anstændigt første skridt. Det er enkelt nok at blokere IP-adresser, men det er kun en del af detektionsstrategien.

Dernæst skal din organisation ved at opdage et DDoS-angreb vide, at den typiske trafik flyder dagligt. Det hjælper også med at have en beregning på dage med høj trafik, så der er en basismåling. Dette vil hjælpe med at skelne fra unormalt stor tilstrømning af trafik kontra tidligere erfaringer med “legitimt” høj trafik.

Reaktion

Hvis din detektion er solid, skal reaktionen på et igangværende DDoS-angreb være automatisk. Dette vil sandsynligvis kræve en tredjepartstjeneste, der er specialiseret i DDoS-forebyggelse. Manuel konfiguration af DDoS-reaktioner anbefales ikke længere. Årsagen til dette er, at cyberkriminelle er blevet kloge til mange af teknikkerne.

I et stærkt DDoS-forsvar vil reaktionstrinnet straks begynde at blokere ondsindet trafik. Det vil indse, at den høje trafikflow skabes af zombieenheder på et botnet. Denne filtrering skulle begynde at svække angrebet. Svaret afhænger af udbyderens muligheder. Ideelt set vil beskyttelsestjenesten bruge en kombination af teknikker i dens metode. Ud over de tidligere nævnte IP-sortlistning, der skal være mulighed for at inspicere pakker såvel som at engagere sig i hastighedsbegrænsning.

routing

Routing påtager sig den resterende trafik, der ikke kunne håndteres i den automatiske reaktionstrin. Målet er at nedbryde trafikken og holde den væk fra serverne, der målrettes. Der er to primære rutestrategier.

Den første af disse er DNS-routing. Dette er virkelig kun effektivt med DDoS-angreb, der er målrettet mod applikationslaget i OSI-modellen. Hvad dette betyder er, at selvom du maskerer din rigtige IP-adresse, vil angrebet stadig være en succes. DNS Routing tvinger den ondsindede trafik til at blive omdirigeret til din “altid” On DDoS-beskyttelsestjeneste. Det vil påtage sig belastningen af ​​angrebet og således kun give lovlig trafik adgang til serveren. Dette gøres ved at ændre CNAME- og A-posten. A-posten peger på en bestemt IP-adresse, mens CNAME opretter et alias til det samme IP-adresse.

Den anden routingstrategi kaldes Border Gateway Protocol routing. Dette er en manuel konfiguration, der tvinger al ondsindet trafik, der er målrettet mod netværkslaget, til din formildende udbyder. Det tvinger DDoS-trafikken til i det mindste for det meste. Som nævnt tidligere har en manuel konfiguration sine problemer. Det er langsommere, og som et resultat kan det muligvis, at ondsindet trafik når målserveren.

Tilpasning

Dette er mere eller mindre en post-mortem analyse af et DDoS-angreb. Det er den del af afbødningsstrategien, der søger at lære, hvad der blev gjort både korrekt og forkert. Dette betyder at analysere kilden til angrebet, se, hvad der var tilladt igennem, forsøge at finde ud af, hvor hurtigt forsvar der blev anvendt, og vigtigst af alt, hvordan man kan forhindre dette angreb med 100 procent effektivitet i fremtiden.

DDoS-begrænsning er kompliceret. Når angreb fortsætter med at udvikle sig, vil cybersikkerhed desværre altid være et skridt bagefter. Man kan ikke bekæmpe en fjende; de forstår endnu ikke. Først efter en ny angrebsvektoroverflade kan der bygges forsvar. Stadig kan implementering af stærke DDoS-begrænsningsteknikker spare din organisation en masse potentielt tabt tid og penge.

Lær mere om DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me