Hlavným cieľom ochrany pred DDoS je zabezpečiť dostupnosť služieb legitímnym užívateľom. Súbežne s tým platí, že ochrana infraštruktúry služieb pred prehltením má byť v súlade so zabezpečením prístupu užívateľov. IT oddelenia občas zabúdajú nuansy tejto priority, pretože sú hodnotené na základe merateľnej päťdeviatkovej dostupnosti, ale zriedka kedy za vnímanie samotného užívateľa.
Ak organizácii záleží na užívateľské skúsenosti, najúčinnejšia je proaktívna, v ceste zapojená (L3 alebo L2) DDoS ochrana. Výhodou „always-on“ proaktívnej obrany je okamžitá reakcia na narušenie politík a viditeľnosť do aplikačnej vrstvy na úrovni paketov. To umožňuje multi-vektorovú anti-DDoS ochranu v plnej šírke.
Lenže u veľkých a rýchlych sietí budú primárnym problémom náklady na nasadenie proaktívneho riešenia. Bezpečnostná stratégia totiž vyžaduje mať obrannú kapacitu 1:1 voči celkovej prichádzajúcej prevádzke. V takom prípade nedôjde k využívaniu obranných kapacít podľa aktuálnej potreby, ako je tomu u reaktívneho nasadenia založeného na informačných tokoch (flow-based).
Ďalšími bežne uvádzanými obavami z implementácie „always-on“ obrany sú chybne spúšťané mitigácie a navýšenie latencie spôsobené inšpekciou prevádzky na úrovni paketov počas stavu pokoja.
Chyby a latencia sú legitímnymi obavami u starších anti-DDoS riešení, ktoré majú statické, manuálne aktivované alebo trvalo nastavené zásady. Niektorí výrobcovia odporúčajú pre detekciu na úrovni paketov používať „tap mode“. Hoci ide o neinvazívnu techniku hodnotenia prevádzky, v produkčných prostrediach sa zriedka používa kvôli vysokým nákladom a zložitosti.
Päť úrovní ochrany
A10 Networks rieši tento problém pomocou užívateľsky definovaných adaptívnych politík implementovaných v piatich úrovniach ochrany. Adaptívne funkcie eskalácie umožňujú správcovi definovať sady mitigačných pravidiel, ktoré Thunder TPS počas DDoS útoku aplikuje postupne v piatich úrovniach.
Prvá úroveň (L0) je zvyčajne definovaná ako stav pokoja bez uplatnenia mitigačných pravidiel a s latenciami na úrovni mikrosekúnd. Počas tejto fázy Thunder TPS sleduje výkyvy v prevádzke naprieč niekoľkými ukazovateľmi pre každú definovanú zónu, ktorých môže byť až 3 000 na jedno zariadenie.
Tabuľka 1 nižšie predstavuje ukazovatele prevádzky, ktoré boli namerané počas stavu pokoja. Odchýlky slúži na určenie útoku na TCP služby vnútri zóny. Podobne sú podporované ukazovatele pre UDP, ICMP, IP a ďalšie protokoly. Akonáhle dôjde k narušeniu ktoréhokoľvek z týchto „naučených“ prahov detekcie, dôjde k eskalácii a na zónu sa aplikuje ďalšia sada ochranných pravidiel.
Sledovanie väčšieho počtu ukazovateľov než len BPS a PPS zvyšuje účinnosť detekcie, a to najmä pre detekciu útokov na sieťovej a aplikačnej úrovni. Jedným, horšie zrozumiteľným, ale užitočným ukazovateľom je Session Miss Rate. Názov trochu mätie, ale ide o sledovanie počtu nových IP adries. Vlna doteraz neznámych IP adries je dobrým indikátorom DDoS útoku alebo možno len náporu nových užívateľov (flash crowd). V každom prípade je čas na rozsiahlejšiu kontrolu.
Ďalším dôležitým argumentom pre použitie adaptívnych politík je to, že nie všetky stratégie mitigácie sú z pohľadu ochrany užívateľov rovnaké. Napríklad RTBH (remotely triggered black hole) a tvarovanie cieľového prevádzky (destination traffic shaping), ktoré neoddeliteľne a bez rozdielu čistí prevádzku, aby ochránilo infraštruktúru, zatiaľ čo spôsobuje vedľajšie škody legitímnym užívateľom. Adaptívne zásady umožňujú rozfázovať mitigáciu podľa konkrétnych potrieb vašej siete a aplikácie.
Môžete napríklad začať blokovaním IP adries s využitím reflected amplifier threat intelligence a nastaviť široké source rate limity pre potlačenie silných amplifikačních útokov, potom sprísniť prístupové rýchlosti na prijateľnú úroveň, aktivovať ZAPR (Zero-Day Attack Pattern Recognition) a spustiť kontrolu botnetov; a potom ako poslednú možnosť použiť tvarovanie cieľovej prevádzky (destination traffic shaping). Adaptívny prístup umožňuje bezpečnostnému správcovi aplikovať na útok adekvátnu úroveň mitigácie a zároveň v čo najvyššej možnej miere minimalizovať negatívne dopady na používateľa.
Už sme spomínali nárazové pripojenie veľkého množstva používateľov (flash crowds). Pri použití adaptívnych politík bude prechádzať každý skutočný užívateľ bez toho, aby porušil pravidlá, kým počet pripojení nenarastie do príliš veľkého objemu, kedy bude nutné ako posledná úroveň nasadiť ochranu infraštruktúry.
Vaši zamestnanci a zákazníci sú hnacou silou a najcennejšími zdrojmi vášho podnikania, preto k nim buďte ústretoví. Vďaka adaptívnym technikám môžete pri DDoS útoku dosiahnuť piatich deviatok dostupnosti a pritom chrániť svojich užívateľov.
Ďalšie informácie o anti-DDoS riešeniach nájdete webe A10 Networks alebo VPGC.
Autor: Donald Shin, A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – How Zones Facilitate a Proactive DDoS Defense that Protects Real Users