Written by Hlavním cílem ochrany před DDoS je zajistit dostupnost služeb legitimním uživatelům. Souběžně s tím platí, že ochrana infrastruktury služeb před přehlcením má být v souladu se zajištěním přístupu uživatelů. IT oddělení občas opomíjejí nuance této priority, protože jsou hodnocené na základě měřitelné pětidevítkové dostupnosti, ale zřídka kdy za vnímání samotného uživatele.
Pokud organizaci záleží na uživatelské zkušenosti, nejúčinnější je proaktivní, v cestě zapojená (L3 nebo L2) DDoS ochrana. Výhodou „always-on“ proaktivní obrany je okamžitá reakce na narušení politik a viditelnost do aplikační vrstvy na úrovni paketů. To umožňuje multi-vektorovou anti-DDoS ochranu v plné šíři.
Jenže u velkých a rychlých sítí budou primárním problémem náklady na nasazení proaktivního řešení. Bezpečnostní strategie totiž vyžaduje mít obrannou kapacitu 1:1 vůči celkovému příchozímu provozu. V takovém případě nedojde k využívání obranných kapacit podle aktuální potřeby, jako je tomu u reaktivního nasazení založeného na informačních tocích (flow-based).
Dalšími běžně uváděnými obavami z implementace „always-on“ obrany jsou chybně spouštěné mitigace a navýšení latence způsobené inspekcí provozu na úrovni paketů během klidového stavu.
Chyby a latence jsou legitimní obavami u starších anti-DDoS řešení, které mají statické, manuálně aktivované nebo trvale nastavené zásady. Někteří výrobci doporučují pro detekci na úrovni paketů používat „tap mode“. Přestože jde o neinvazivní techniku hodnocení provozu, v produkčních prostředích se zřídka používá kvůli vysokým nákladům a složitosti.
Pět úrovní ochrany
A10 Networks řeší tento problém pomocí uživatelsky definovaných adaptivních politik implementovaných v pěti úrovních ochrany. Adaptivní funkce eskalace umožňují správci definovat sady mitigačních pravidel, které Thunder TPS během DDoS útoku aplikuje postupně v pěti úrovních.
První úroveň (L0) je obvykle definována jako klidový stav bez uplatnění mitigačních pravidel a s latencemi na úrovni mikrosekund. Během této fáze Thunder TPS sleduje výkyvy v provozu napříč několika ukazateli pro každou definovanou zónu, kterých může být až 3 000 na jedno zařízení.
Tabulka 1 níže představuje ukazatele provozu, které byly naměřeny během klidového stavu. Odchylky slouží k určení útoku na TCP služby uvnitř zóny. Podobně jsou podporovány ukazatele pro UDP, ICMP, IP a další protokoly. Jakmile dojde k narušení kteréhokoli z těchto „naučených“ prahů detekce, dojde k eskalaci a na zónu se aplikuje další sada ochranných pravidel.
Sledování většího počtu ukazatelů než jen BPS a PPS zvyšuje účinnost detekce, a to zejména pro detekci útoků na síťové a aplikační úrovni. Jedním, hůře srozumitelným, ale užitečným ukazatelem je Session Miss Rate. Název trochu mate, ale jde o sledování počtu nových IP adres. Vlna dosud neznámých IP adres je dobrým indikátorem DDoS útoku nebo možná jen náporu nových uživatelů (flash crowd). V každém případě je čas na důkladnější kontrolu.
Dalším důležitým argumetem pro použití adaptivních politik je to, že ne všechny strategie mitigace jsou z pohledu ochrany uživatelů stejné. Například RTBH (remotely triggered black hole) a tvarování cílového provozu (destination traffic shaping), který neoddělitelně a bez rozdílu čistí provoz, aby ochránil infrastrukturu, zatímco způsobuje vedlejší škody legitimním uživatelům. Adaptivní zásady umožňují rozfázovat mitigaci podle konkrétních potřeb vaší sítě a aplikace.
Můžete například začít blokováním IP adres s využitím reflected amplifier threat intelligence a nastavit široké source rate limity pro potlačení silných amplifikačních útoků, poté zpřísnit přístupové rychlosti na přijatelnou úroveň, aktivovat ZAPR (Zero-Day Attack Pattern Recognition) a spustit kontrolu botnetů; a poté jako poslední možnost použít tvarování cílového provozu (destination traffic shaping). Adaptivní přístup umožňuje bezpečnostnímu správci aplikovat na útok adekvátní úroveň mitigace a zároveň v co nejvyšší možné míře minimalizovat negativní dopady na uživatele.
Už jsme zmiňovali nárazové připojení velkého množství uživatelů (flash crowds). Při použití adaptivních politik bude procházet každý skutečný uživatel, aniž by porušil pravidla, dokud počet připojení nenaroste do příliš velkého objemu, kdy bude nutné jako poslední úroveň nasadit ochranu infrastruktury.
Vaši zaměstnanci a zákazníci jsou hnací silou a nejcennějšími zdroji vašeho podnikání, proto k nim buďte vstřícní. Díky adaptivním technikám můžete při DDoS útoku dosáhnout pěti devítek dostupnosti a přitom chránit své uživatele.
Další informace o anti-DDoS řešeních najdete webu A10 Networks nebo VPGC.
Autor: Donald Shin, A10 Networks
Překlad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – How Zones Facilitate a Proactive DDoS Defense that Protects Real Users