Защита от DDoS-атак
DDoS-атаки представляют собой существенную угрозу непрерывности бизнеса. По мере того как организации становятся все более зависимыми от Интернета и веб-приложений и служб, их доступность стала критические важной.
Распределенная атака типа "отказ в обслуживании" (DDoS) - это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегрузив целевую инфраструктуру потоком интернет-трафика.
Эффективность атак DDoS достигается за счет использования нескольких скомпрометированных компьютерных систем в качестве источников трафика атак. Эксплуатируемые компьютеры могут включать в себя компьютеры и другие сетевые ресурсы, такие как устройства IoT.
DDoS - это не только угроза для e-commerce и финансовых организаций с очевидной потребностью в доступности. Атаки DDoS также нацелены на критически важные бизнес-приложения, от которых ваша организация зависит в управлении повседневными операциями, такими как электронная почта, автоматизация отдела продаж, CRM и многие другие.
Кроме того, компании промышленности, фармацевтики и здравоохранения, телекома и энергетики обладают внутренними веб-сервисами, на которые контрагенты и другие деловые партнеры полагаются в повседневной работе. Все это является мишенью для современных изощренных киберпреступников.
Распределенная атака типа "отказ в обслуживании" (DDoS) - это злонамеренная попытка нарушить нормальный трафик целевого сервера, службы или сети, перегрузив целевую инфраструктуру потоком интернет-трафика.
Эффективность атак DDoS достигается за счет использования нескольких скомпрометированных компьютерных систем в качестве источников трафика атак. Эксплуатируемые компьютеры могут включать в себя компьютеры и другие сетевые ресурсы, такие как устройства IoT.
DDoS - это не только угроза для e-commerce и финансовых организаций с очевидной потребностью в доступности. Атаки DDoS также нацелены на критически важные бизнес-приложения, от которых ваша организация зависит в управлении повседневными операциями, такими как электронная почта, автоматизация отдела продаж, CRM и многие другие.
Кроме того, компании промышленности, фармацевтики и здравоохранения, телекома и энергетики обладают внутренними веб-сервисами, на которые контрагенты и другие деловые партнеры полагаются в повседневной работе. Все это является мишенью для современных изощренных киберпреступников.
Как работает DDoS-атака?
DDoS-атаки проводятся с сетями машин, подключенных к Интернету. Эти сети состоят из компьютеров и других устройств (например, IoT-устройств), зараженных вредоносным ПО, что позволяет злоумышленнику удаленно управлять ими. Эти отдельные устройства называются ботами (или зомби), а группа ботов называется бот-сетью. Как только бот-сеть создана, злоумышленник может направлять атаку, посылая удаленные инструкции каждому боту. Они посылают запросы на IP-адрес цели, что может привести к перегрузке сервера или сети и, как следствие, к отказу в обслуживании нормального трафика. Поскольку каждый бот является легитимным интернет-устройством, отделение трафика атаки от нормального трафика может быть затруднено.
Как определить DDoS-атаку?
Самым очевидным симптомом DDoS-атаки является то, что сайт или сервис внезапно становится медленным или недоступным. Но так как легитимный всплеск трафика может создать похожие проблемы с производительностью, обычно требуется дальнейший анализ трафика расследование. Инструменты анализа могут помочь вам обнаружить некоторые из признаков DDoS-атаки:
• Подозрительные объемы трафика с одного IP-адреса или диапазона IP-адресов;
• Наводнение трафика от пользователей, которые имеют общий поведенческий профиль, такой как тип устройства, геолокация или версия веб-браузера;
• Необъяснимое увеличение количества запросов на одну страницу или конечную точку.
• Наводнение трафика от пользователей, которые имеют общий поведенческий профиль, такой как тип устройства, геолокация или версия веб-браузера;
• Необъяснимое увеличение количества запросов на одну страницу или конечную точку.
Типы DDos-атак:
• Атаки на сетевом уровне OSI представляют из себя «забивание» канала. Примером может быть CMP-флуд — атака, которая использует ICMP-сообщения, которые снижают пропускную способность атакуемой сети и перегружают межсетевой экран;• Атаки транспортного уровня выглядят как нарушение функционирования и перехват трафика. Например, SYN-флуд или Smurf-атака (атака ICMP-запросами с изменёнными адресами). Последствия такой DDoS-атаки — превышение количества доступных подключений и перебои в работе сетевого оборудования;
• На сеансовом уровне атакам подвергается сетевое оборудование;
• Высокоуровневые атаки прикладного уровня ориентированы на стирание памяти или информации с диска, «воровство» ресурсов у сервера, извлечение и использование данных из БД.
Этапы смягчения DDoS-атак:
Смягчение многовекторной DDoS-атаки требует применения различных стратегий для противодействия различным видам угроз.
Вообще говоря, чем сложнее атака, тем больше вероятность того, что трафик атаки будет сложно отделить от нормального трафика. Цель атакующего - как можно больше влиться в него, сделав усилия по смягчению последствий как можно более неэффективными.
Попытки смягчить атаку, которые включают в себя беспорядочное падение или ограничение трафика, могут вытеснить хороший трафик с плохим, и атака может также измениться и адаптироваться для обхода контрмер. Для преодоления сложной попытки срыва многоуровневое решение даст наибольшую выгоду.
Вообще говоря, чем сложнее атака, тем больше вероятность того, что трафик атаки будет сложно отделить от нормального трафика. Цель атакующего - как можно больше влиться в него, сделав усилия по смягчению последствий как можно более неэффективными.
Попытки смягчить атаку, которые включают в себя беспорядочное падение или ограничение трафика, могут вытеснить хороший трафик с плохим, и атака может также измениться и адаптироваться для обхода контрмер. Для преодоления сложной попытки срыва многоуровневое решение даст наибольшую выгоду.
• Обнаружение. Чтобы остановить распределенную атаку, веб-сайт должен уметь отличать атаку от большого объема обычного трафика. IP-репутация, распространенные шаблоны атак и предыдущие данные помогают в правильном обнаружении.
• Ответ. На этом этапе сеть защиты от DDoS реагирует на входящую выявленную угрозу, грамотно сбрасывая трафик вредоносных ботов и поглощая остальной трафик. Используя правила WAF-страниц для атак прикладного уровня (L7) или другой процесс фильтрации для обработки атак более низкого уровня (L3/L4), таких как мемкэширование или усиление NTP, сеть способна смягчить попытку прерывания работы.
• Маршрутизация. Благодаря интеллектуальной маршрутизации трафика эффективное решение для предотвращения атак DDoS разбивает оставшийся трафик на управляемые части, предотвращающие отказ в обслуживании.
• Адаптация. В хорошей сети трафик анализируется на предмет выявления таких закономерностей, как повторные атаки на блоки IP-адресов, отдельные атаки, исходящие из определенных стран, или неправильное использование определенных протоколов. Адаптируясь к шаблонам атак, служба защиты может защититься от будущих вторжений.
• Ответ. На этом этапе сеть защиты от DDoS реагирует на входящую выявленную угрозу, грамотно сбрасывая трафик вредоносных ботов и поглощая остальной трафик. Используя правила WAF-страниц для атак прикладного уровня (L7) или другой процесс фильтрации для обработки атак более низкого уровня (L3/L4), таких как мемкэширование или усиление NTP, сеть способна смягчить попытку прерывания работы.
• Маршрутизация. Благодаря интеллектуальной маршрутизации трафика эффективное решение для предотвращения атак DDoS разбивает оставшийся трафик на управляемые части, предотвращающие отказ в обслуживании.
• Адаптация. В хорошей сети трафик анализируется на предмет выявления таких закономерностей, как повторные атаки на блоки IP-адресов, отдельные атаки, исходящие из определенных стран, или неправильное использование определенных протоколов. Адаптируясь к шаблонам атак, служба защиты может защититься от будущих вторжений.