Szybki przewodnik po atakach DDoS i metodach ich łagodzenia
Opublikowany: 2016-04-25Ponieważ firmy tak bardzo polegają na obecności w Internecie, niezwykle ważne jest zapewnienie odpowiedniej ochrony przed atakami DDoS przed wszelkimi formami ataków. Inwazje typu Distributed Denial of Service (DDoS) to jedne z najprostszych form wirtualnych ataków, które można przeprowadzać za pomocą coraz większej liczby łatwo dostępnych narzędzi, ale mogą również nieść największe zagrożenie. Ataki DDoS mogą być przeprowadzane przez proste usługi sieciowe, ale potrafią unieszkodliwić nawet najbardziej stabilne serwery. Ataki te, mające na celu przytłoczenie usług żądaniami, uniemożliwiają dostęp publiczny i wstrzymują wszelkie potencjalne operacje lub sprzedaż.
Wiele firm, zwłaszcza mniejszych, nie jest w stanie ustanowić niezależnej ochrony przed tego typu atakami ani uzyskać serwerów DDoS Secure. Jednak wraz ze wzrostem zagrożenia atakiem rośnie dostępność pomocy z zewnątrz. W corocznym światowym raporcie o bezpieczeństwie infrastruktury firma Arbor Networks dostrzegła duże zapotrzebowanie klientów na wykrywanie i ochronę przed atakami DDoS, sięgające 74% w porównaniu z zaledwie 4% z poprzedniego roku.
Czym dokładnie są ataki DDoS i jak chronić swoją firmę przed padnięciem ofiarą bezwzględnych inwazji?
Metody ataku DDos
Z pozoru proste w teorii ataki DDoS mogą wykorzystywać różne metody zalewania serwerów, co utrudnia określenie źródła i metody inwazji.
- Ataki wolumetryczne — wykorzystanie całej przepustowości to łatwy sposób na zamknięcie usług. Wysyłaj ogromną liczbę żądań jednocześnie, a nawet najbardziej stabilne serwery internetowe mogą zostać wyłączone. Zwykle odbywa się to za pośrednictwem „botnetu” — zbioru tysięcy zainfekowanych złośliwym oprogramowaniem komputerów z całego świata kontrolowanych przez jednego hakera. Kiedy wszystkie te komputery są kierowane w celu uzyskania dostępu do jednej strony internetowej, sama wielkość ruchu przeciąża serwer, powodując awarie i wyłączanie stron.
- Ataki na warstwę aplikacji — Internet składa się z siedmiu warstw pionowych, z których każda wykorzystuje inne protokoły do wysyłania informacji. Jest to znane jako model Open Systems Interconnection i jest reprezentacją działania sieci. Ostatnia i siódma warstwa tego modelu jest znana jako warstwa aplikacji. Siódma warstwa jest najbardziej znana i przetwarza komunikację HTTP i SMTP z podstawowych usług przeglądania stron internetowych i poczty e-mail. Ataki DDoS na warstwę aplikacji maskują złośliwe działania jako prawdziwe ludzkie zachowanie w dążeniu do przeciążenia i zużycia wszystkich zasobów na tym poziomie. Ponieważ próbują naśladować rzeczywistą aktywność, ataki te są znacznie trudniejsze do zidentyfikowania.
- Ataki na protokoły — zamiast zamykania usług za pomocą samych liczb, ataki na protokoły koncentrują się na blokowaniu zasobów poprzez wysyłanie żądań ping z fałszywych adresów IP. Ataki te wysyłają żądania do serwera z tymi fałszywymi adresami, a gdy serwer próbuje odpowiedzieć, czekają bez końca, mając nadzieję na odpowiedź, lub są zwracane z niepotrzebnie dużymi żądaniami. To blokuje zasoby podczas wykonywania i uzupełniania innych żądań i usług.
Dlaczego potrzebujesz ochrony DDoS?
W swoim raporcie o bezpieczeństwie Arbor Networks określił znaczny wzrost ataków DDoS z poprzednich lat. W 2015 r. 44% dostawców usług odnotowało ponad 21 ataków miesięcznie, co stanowi wzrost w porównaniu z poprzednimi 38%. Ze względu na zapotrzebowanie na stałą łączność i natychmiastowy dostęp, klienci mogą być zniechęceni do korzystania z Twojej usługi, jeśli ataki DDoS zawsze powodują awarię Twojej witryny. W samej branży VOIP w raporcie stwierdzono, że liczba ataków DDoS na dostawców wzrosła z zaledwie 9% wszystkich ataków w 2014 r. do 19% w 2015 r.
Według badania, główną motywacją do ataków DDoS wydają się być „przestępcy wykazujący zdolności do ataków”, a „gry” i „próby wymuszenia przestępczego” nie są zbyt daleko w tyle. Zgadza się – wymuszenie kryminalne. Nierzadko zdarza się, że hakerzy wysyłają małe, ostrzegające ataki DDoS jako zagrożenie, po których następuje wiadomość e-mail z okupem z groźbą bardziej intensywnych przerw w działaniu usług.
Nie tylko mogą one przerwać Twój strumień usług, ale Arbor Networks odnotował również wzrost liczby ataków DDoS wykorzystywanych jako zasłona dymna, próba maskowania innych złośliwych działań, takich jak infekcja złośliwym oprogramowaniem, kradzież informacji, a nawet oszustwo.
Jak działa łagodzenie ataków DDoS
Ze swej natury ataki DDoS są bardzo trudne do radzenia sobie w miarę ich występowania. Najlepszą linią obrony jest proaktywne przyjmowanie i konfigurowanie środków, które aktywnie analizują przychodzące dane i łagodzą wszelkie fałszywe lub złośliwe żądania. Jednak wybór najlepszej ochrony przed atakami DDoS może być tak samo przytłaczający jak ataki i ważne jest, aby zwrócić uwagę nie tylko na funkcje, które obejmują te zabezpieczenia, ale także na ich metody i sieci wsparcia. Chociaż jedna usługa może oferować najlepsze funkcje i metody, bez odpowiedniej sieci wspierającej, która jest w stanie obsłużyć sam wolumen, ochrona zawiedzie.
-Jesteś atakowany?
Najpierw należy ustalić, czy Twoja usługa rzeczywiście jest ofiarą ataku DDoS – ochrona musi być w stanie odróżnić dobry ruch (Twoich klientów) od złego (atak). Jeśli usługa ograniczania ryzyka po prostu wykryje ruch i odetnie wszystkie przychodzące żądania, masz ten sam problem z legalnymi użytkownikami, którzy nie mogą uzyskać dostępu do Twojej strony internetowej lub usługi. W tym miejscu wkraczają usługi Bot Discernment i Deep Packet Inspection, metody te są opracowywane w celu rozróżnienia między dobrym a złym ruchem.
-Przekieruj zły ruch
Po rozpoznaniu zły ruch musi zostać odpowiednio złagodzony i przekierowany z serwera. Tutaj w grę wchodzi siła i poziom ochrony sieci. Wszystkie złe pingi zostaną od Ciebie odebrane i przefiltrowane przez infrastrukturę łagodzącą – do samej usługi ochrony. Ten zły ruch jest filtrowany przez Centra operacji zabezpieczeń Twojej usługi ochrony. Przy zbyt słabej sieci i zbyt małej liczbie centrów usługa ochrony nie będzie w stanie poradzić sobie z napływem żądań. To w istocie unieważniłoby jakąkolwiek prawdziwą ochronę przed atakiem. Dlatego ważne jest, aby przy rozważaniu dostawców ochrony porównać liczbę i lokalizację tych centrów operacji bezpieczeństwa lub czyszczenia.
-Korzystając z ochrony
Ponieważ większość usług ochrony można dostosować do potrzeb Twojej firmy, sposób konfigurowania i utrzymywania ochrony przed atakami DDoS może się znacznie różnić. W zależności od poziomu ważności Twoja ochrona może działać cały czas i zawsze, przerywana w określonych godzinach lub nawet włączana i wyłączana. Różne metody wdrażania różnią się również w zależności od tego, jak mają działać usługi — w chmurze, ze sprzętem na miejscu lub w modelu hybrydowym wykorzystującym oba te rozwiązania. Wybór odpowiedniej metody wdrażania będzie się różnić w zależności od wielkości firmy, pilności ochrony, a nawet możliwości IT. Sprzęt na miejscu może wymagać dodatkowej pomocy na miejscu i może być zbyt duży dla małych zespołów IT. Tymczasem większość usług w chmurze będzie w pełni obsługiwana przez dostawcę i będzie ostrzegać Cię w przypadku ataku – zamiast przełączać ochronę, gdy dowiesz się o ataku.
Porównaj 6 najlepszych rozwiązań łagodzących ataki DDoS
Mając solidne zrozumienie, czym są ataki DDoS i jak można je złagodzić, ważne jest, aby dokładnie przeanalizować różne oferty rozwiązań dostępnych na rynku, aby określić ich skuteczność. Jak omówiono wcześniej, ważne jest, aby ochrona nie tylko wykorzystywała odpowiednie metody ochrony, ale także odpowiednio wspierała sieć, aby właściwie łagodzić wszelkie ataki. Poza prostymi funkcjami należy zwrócić uwagę na liczbę centrów operacyjnych bezpieczeństwa, jakimi dysponuje ochrona, a także przepustowość sieci.
Przy zbyt małej liczbie centrów bezpieczeństwa lub zbyt małej przepustowości sieci najlepsze narzędzia łagodzące nie byłyby w stanie właściwie zapobiec atakowi, ponieważ nie ma dokąd wysłać ruchu. Łatwym sposobem na zrozumienie tego jest powiązanie tego z punktem poboru opłat za przejazd przez most. Punkty szybkiego wjazdu, które nie wymagają zatrzymywania samochodów i uiszczania opłat drogowych, pozwalają na szybsze przejazdy, ale jeśli liczba punktów wjazdowych jest ograniczona do 2 lub 3, w godzinach szczytu napływ samochodów zostanie skierowany do ograniczonej liczby wjazdów zwrotnica. Bez odpowiedniej infrastruktury umożliwiającej dostęp do większej liczby punktów wejścia system staje się przytłoczony, a korzyści płynące z szybszych systemów płatności zostają zniweczone.
Ataki DDoS są trudne do symulacji, a testowanie każdej indywidualnej usługi ochrony nie jest w pełni wykonalne. W celu rozbicia ofert każdego dostawcy pozyskaliśmy informacje z ich poszczególnych stron internetowych, a także niezależne badania i kontakt z dostawcami. Poniżej znajdziesz tabelę przedstawiającą najważniejsze usługi i ich porównywalne funkcje.
 |  |  |  |  |  | |
| Liczba Centrów Operacyjnych Bezpieczeństwa | 4 | 42 | 4 | 27 | 3 | 5 |
| Pojemność sieci (mierzona w TB na sekundę) | 1 | Nie dotyczy | 1 | 1,5 | 0,5 | 1,7 |
| Zapora | Nie | tak | tak | tak | Nie | Nie |
| Automatyczne rozpoznawanie botów | tak | tak | tak | tak | tak | tak |
| Głęboka inspekcja pakietów | tak | Nie dotyczy | tak | tak | tak | tak |
| Przekierowanie DNS | tak | tak | tak | tak | tak | tak |
| Proxy | Nie | tak | tak | tak | tak | tak |
| Monitorowanie na żywo | tak | tak | tak | tak | tak | tak |
| Blokowanie IP | tak | tak | tak | tak | tak | tak |
| Zawsze włączone | tak | tak | tak | tak | tak | tak |
| Ochrona oparta na chmurze | tak | tak | tak | tak | tak | tak |
| Ochrona hybrydowa | tak | Nie | Nie | tak | tak | tak |
| Monitoring na miejscu | tak | Nie | Nie | tak | Nie | Nie |
| Obsługa klienta 24/7 | tak | tak | tak | tak | tak | tak |
| Wsparcie emailowe | tak | tak | tak | tak | tak | tak |
| Wsparcie telefoniczne | tak | tak | tak | tak | tak | tak |
| Czat na żywo | Nie | Nie | tak | tak | tak | Nie |
| Więcej informacji | Więcej szczegółów | Więcej szczegółów | Więcej szczegółów | Więcej szczegółów | Więcej szczegółów | Więcej szczegółów |