Přestože je důležité mít nasazený automatizovaný systém, který dokáže na útoky rychle reagovat, stejně důležité je i zavedení strategie, která pomůže zajistit dostupnosti služeb pro legitimní uživatele.
Ukážeme si tři kritické způsoby, jak mohou obranné systémy zastavit dopad DDoS útoků a zároveň chránit uživatele:sledování odchylky, rozpoznávání vzorů a reputace.
Všechny tři metody se řadí mezi strategie zmírnění DDoS, které jsou založené na zdrojích (source-based mitigation). Tyto strategie blokují provoz na základě jeho původu.
Alternativou je zmírnění útoku na základě cíle (destination-based mitigation), které staví na tvarování provozu (traffic shaping) zabraňujícímu přetížení a pádu systému. Ačkoliv je tvarování provozu efektivní z pohledu uchránění systému před úplným zahlcením během útoku, má ve stejné míře negativní vedlejší účinky na legitimní uživatele.
Podívejme se blíže na každou z těchto strategií:
1. Sledování odchylek: tato strategie vychází z průběžného sledování provozu a učení se, co označit za normální a co za hrozbu.
Konkrétně může obranný systém analyzovat rychlost přenosu dat nebo četnost dotazů na základě většího počtu charakteristik (např. BPS, PPS, poměr SYN-FIN, rychlost relace atd.). Podle toho určuje, který provoz je legitimní a který je škodlivý. Dále může identifikovat roboty nebo spoofovaný provoz pomocí dotazů, respektive jejich neschopnosti na něj odpovědět.
2. Rozpoznávání vzorů: strategie používá strojové učení k průběžné analýze neobvyklých vzorců chování, které běžně vykazují DDoS botnety a reflected amplification útoky.
Například, DDoS útok zahájí útočník využívající orchestrační platformu, která poskytuje distribuované zbraně s instrukcemi, jak zaplavit oběť nechtěným provozem. Command a control a distribuovaný útok společně vykazují vzorce, které lze v blokovací strategii využít.
3. Reputace: K využití reputace jako strategie blokování založené na zdrojích bude obranný systém používat informace o hrozbách (threat intelligence) poskytované platformou, která kromě desítek miliónů exponovaných serverů používaných při amplifikačních útocích sleduje IP adresy DDoS botnetů. Systém pak použije tuto inteligenci k blokování odpovídajících IP adres během útoku.
Každá z těchto tří strategií zmírnění založených na zdrojích vyžaduje více výpočetního výkonu než běžná ochrana. Mají však významnou výhodu v tom, že jsou schopny předcházet blokování legitimních uživatelů, čímž se sníží prostoje a zamezí zbytečným ztrátám.
Když to vezmeme v potaz, můžeme říct, že všechny tyto tři strategie zmírnění stojí za investici.
Autor: Donald Shin, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC (www.vpgc.com)
Zdroj: A10 Networks – Three Ways to Block DDos Attacks
