Защита от DDoS-атак - это набор методов и / или инструментов управления сетью для противодействия или смягчения воздействия распределенных атак типа «отказ в обслуживании» (DDoS) на сети, подключенные к Интернету, путем защиты целевой и ретрансляционной сетей. DDoS-атаки представляют собой постоянную угрозу для предприятий и организаций, угрожая производительности услуг или полностью закрывая веб-сайт, даже на короткое время. [1]
Первое, что нужно сделать для предотвращения DDoS-атак, - это определить нормальные условия для сетевого трафика, определив «шаблоны трафика», которые необходимы для обнаружения угроз и оповещения. [2] Защита от DDoS-атак также требует идентификации входящего трафика, чтобы отделить человеческий трафик от человекоподобных ботов и взломанных веб-браузеров. Процесс выполняется путем сравнения подписей и изучения различных атрибутов трафика, включая IP-адреса , варианты файлов cookie , заголовки HTTP и следы JavaScript .
После того, как обнаружение сделано, следующий процесс - фильтрация. Фильтрация может выполняться с помощью технологии защиты от DDoS, такой как отслеживание соединений, списки репутации IP-адресов, глубокая проверка пакетов , внесение в черный / белый список или ограничение скорости . [3] [4]
Один из методов заключается в пропускании сетевого трафика, адресованного потенциальной целевой сети, через сети с высокой пропускной способностью с фильтрами «очистки трафика». [2]
Ручное предотвращение DDoS-атак больше не рекомендуется, поскольку злоумышленники могут обойти программное обеспечение для предотвращения DDoS-атак, которое активируется вручную. [5] Другие способы предотвращения DDoS-атак могут быть реализованы локально или / или через поставщиков облачных решений. Благодаря локальному смягчению последствий технология (чаще всего аппаратное устройство) размещается перед сетью, с тем недостатком, что емкость фильтрации ограничивается емкостью фильтрующего устройства. [6] Средним вариантом является гибридное решение, объединяющее локальную фильтрацию с облачной фильтрацией. [7]
Лучшие методы предотвращения DDoS-атак включают использование как технологии защиты от DDoS-атак, так и служб экстренного реагирования на DDoS-атаки. [5] Защита от DDoS-атак также доступна через облачных провайдеров. [2] [8]
Способы нападения
DDoS-атаки проводятся против веб-сайтов и сетей избранных жертв. Ряд поставщиков предлагают услуги хостинга , устойчивые к DDoS- атакам , в основном на основе методов, аналогичных сетям доставки контента . Распределение позволяет избежать единой точки перегрузки и предотвращает концентрацию DDoS-атаки на одной цели.
Один метод DDoS атак является использование третьей- то упустили сторонних сетей , которые позволяют амплификацию [9] из фальсифицированных UDP пакетов. Правильная конфигурация сетевого оборудования, включающая входящую и исходящую фильтрацию , как описано в BCP 38 [10] и RFC 6959, [11], предотвращает усиление и спуфинг, тем самым уменьшая количество ретрансляционных сетей, доступных злоумышленникам.
Смотрите также
Рекомендации
- ^ Gaffan, Марк (20 декабря 2012). «5 принципов защиты от DDoS-атак» . Wired.com . Проверено 25 марта 2014 года .
- ^ а б в Паганини, Пьерлуиджи (10 июня 2013 г.). «Выбор решения по предотвращению DDoS-атак… облачный подход» . Журнал Cyber Defense . Проверено 25 марта 2014 года .
- ^ Гир, Дункан (27 апреля 2012 г.). «Как работает глубокая проверка пакетов» . Wired.com . Проверено 12 июня 2018 .
- ^ Паттерсон, Дэн (9 марта 2017 г.). «Глубокая проверка пакетов: руководство для умных людей» . Techrepublic.com . Проверено 12 июня 2018 .
- ^ а б Тан, Фрэнсис (2 мая 2011 г.). «DDoS-атаки: предотвращение и смягчение» . Следующая Сеть . Проверено 25 марта 2014 года .
- ^ Лич, Шон (17 сентября 2013 г.). «Четыре способа защиты от DDoS-атак» . Networkworld.com . Проверено 12 июня 2018 .
- ^ Шмитт, Робин (2 сентября 2017 г.). «Выбор правильного DDoS-решения» . Enterpriseinnovation.net . Архивировано из оригинала 12 июня 2018 года . Проверено 12 июня 2018 .
- ^ Симонс, Франк (2 ноября 2016 г.). «Защита от DDoS-атак в облаке: что нужно знать предприятиям» . SearchCloudSecurity.com . Проверено 12 июня 2018 .
- ^ Кристиан Россов. «Усиление DDoS-атак» .
- ^ «Фильтрация входящего сетевого трафика: подмена IP-адреса источника» . IETF. 2000 г.
- ^ «Объем угрозы улучшения проверки адреса источника (SAVI)» . IETF. 2013.