Tři strategie blokování DDoS útoků

DDoS útoky jsou běžně asynchronní – nemůžete sice útočníkovi zabránit v útoku, ale díky vhodné strategii můžete získat vůči útoku odolnost.

Tři strategie blokování DDoS útoků



Přestože je důležité mít nasazený automatizovaný systém, který dokáže na útoky rychle reagovat, stejně důležité je i zavedení strategie, která pomůže zajistit dostupnosti služeb pro legitimní uživatele. 

Ukážeme si tři kritické způsoby, jak mohou obranné systémy zastavit dopad DDoS útoků a zároveň chránit uživatele:sledování odchylky, rozpoznávání vzorů a reputace.

Všechny tři metody se řadí mezi strategie zmírnění DDoS, které jsou založené na zdrojích (source-based mitigation). Tyto strategie blokují provoz na základě jeho původu.

Alternativou je zmírnění útoku na základě cíle (destination-based mitigation), které staví na tvarování provozu (traffic shaping) zabraňujícímu přetížení a pádu systému. Ačkoliv je tvarování provozu efektivní z pohledu uchránění systému před úplným zahlcením během útoku, má ve stejné míře negativní vedlejší účinky na legitimní uživatele.

Podívejme se blíže na každou z těchto strategií:

1. Sledování odchylek: tato strategie vychází z průběžného sledování provozu a učení se, co označit za normální a co za hrozbu.

Konkrétně může obranný systém analyzovat rychlost přenosu dat nebo četnost dotazů na základě většího počtu charakteristik (např. BPS, PPS, poměr SYN-FIN, rychlost relace atd.). Podle toho určuje, který provoz je legitimní a který je škodlivý. Dále může identifikovat roboty nebo spoofovaný provoz pomocí dotazů, respektive jejich neschopnosti na něj odpovědět.

2. Rozpoznávání vzorů: strategie používá strojové učení k průběžné analýze neobvyklých vzorců chování, které běžně vykazují DDoS botnety a reflected amplification útoky.

Například, DDoS útok zahájí útočník využívající orchestrační platformu, která poskytuje distribuované zbraně s instrukcemi, jak zaplavit oběť nechtěným provozem. Command a control a distribuovaný útok společně vykazují vzorce, které lze v blokovací strategii využít.

3. Reputace: K využití reputace jako strategie blokování založené na zdrojích bude obranný systém používat informace o hrozbách (threat intelligence) poskytované platformou, která kromě desítek miliónů exponovaných serverů používaných při amplifikačních útocích sleduje IP adresy DDoS botnetů. Systém pak použije tuto inteligenci k blokování odpovídajících IP adres během útoku.

Každá z těchto tří strategií zmírnění založených na zdrojích vyžaduje více výpočetního výkonu než běžná ochrana. Mají však významnou výhodu v tom, že jsou schopny předcházet blokování legitimních uživatelů, čímž se sníží prostoje a zamezí zbytečným ztrátám.

Když to vezmeme v potaz, můžeme říct, že všechny tyto tři strategie zmírnění stojí za investici.

Autor: Donald Shin, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC (www.vpgc.com)

Zdroj: A10 Networks – Three Ways to Block DDos Attacks


Redakce nenese zodpovědnost za správnost a platnost uvedeného textu. Obsah vkládají distributoři a výrobci.








Úvodní foto: VPGC

Komentáře