V predchádzajúcom príspevku seriálu sme rozoberali, ako môže automatizácia ušetriť nevyhnutný čas počas DDoS útoku. Hoci je dôležité mať nasadený automatizovaný systém, ktorý dokáže na útoky rýchlo reagovať, rovnako dôležité je aj zavedenie stratégie, ktorá pomôže zabezpečiť dostupnosti služieb pre legitímnych užívateľov.
DDoS útoky sú bežne asynchrónne – nemôžete síce útočníkovi zabrániť v útoku, ale vďaka vhodnej stratégii môžete získať voči útoku odolnosť.
Ukážeme si tri kritické spôsoby, ako môžu obranné systémy zastaviť vplyv DDoS útokov a zároveň chrániť užívateľa:
- Sledovanie odchýlky
- Rozpoznávanie vzorov
- Reputácia
Tri stratégie blokovania DDoS útokov
Všetky tri vyššie uvedené metódy sa radí medzi stratégie zmiernenie DDoS, ktoré sú založené na zdrojoch (source-based mitigation). Tieto stratégie blokujú prevádzku na základe jej pôvodu.
Alternatívou je zmiernenie útoku na základe cieľa (destination-based mitigation), ktoré staví na tvarovanie prevádzky (traffic shaping) zabraňujúce preťaženie a pádu systému. Hoci je tvarovanie prevádzky efektívne z pohľadu ochrany systému pred úplným zahltením počas útoku, má v rovnakej miere negatívne vedľajšie účinky na legitímnych užívateľov.
Pozrime sa bližšie na každú z týchto stratégií:
1. Sledovanie odchýlok: táto stratégia vychádza z priebežného sledovania prevádzky a učenia sa, čo označiť za normálne a čo za hrozbu.
Konkrétne môže obranný systém analyzovať rýchlosť prenosu dát alebo frekvenciu dotazov na základe väčšieho počtu charakteristík (napr. BPS, PPS, pomer SYN-FIN, rýchlosť relácie atď.). Podľa toho určuje, ktorá prevádzka je legitímna a ktorá je škodlivá. Ďalej môže identifikovať roboty alebo spoofovanou prevádzku pomocou dotazov, respektíve ich neschopnosti naň odpovedať.
2. Rozpoznávanie vzorov: stratégia používa strojové učenie k priebežnej analýze nezvyčajných vzorcov správania, ktoré bežne vykazujú DDoS botnety a reflected amplification útoky.
Napríklad, DDoS útok začne útočník využívajúci orchestračnú platformu, ktorá poskytuje distribuované zbrane s inštrukciami, ako zaplaviť obeť nechcenou prevádzkou. Command a control a distribuovaný útok spoločne vykazujú vzorce, ktoré možno v blokovacej stratégii využiť.
3. Reputácia: Pre využitie reputácie ako stratégie blokovanie založené na zdrojoch bude obranný systém používať informácie o hrozbách (threat intelligence) poskytované platformou, ktorá okrem desiatok miliónov exponovaných serverov používaných pri amplifikačných útokoch sleduje IP adresy DDoS botnetov. Systém potom použije túto inteligenciu k blokovaniu odpovedajúcich IP adries počas útoku.
Každá z týchto troch stratégií zmiernenie založených na zdrojoch vyžaduje viac výpočtového výkonu než bežná ochrana. Majú však významnú výhodu v tom, že sú schopné predchádzať blokovaniu legitímnych užívateľov, čím sa zníži prestoje a zamedzí zbytočným stratám.
Keď to vezmeme do úvahy, môžeme povedať, že všetky tieto tri stratégie zmiernenie stoja za investíciu.
Pozrite sa na nižšie uvedené video, kde sa dozviete viac o zásadách ochrany pred DDoS a prečítajte si aj ďalšie príspevky v tejto sérii:
Autor: Donald Shin, A10
Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – Three Ways to Block DDos Attacks