Защита от DDoS-атак - DDoS mitigation
Защита от DDoS-атак представляет собой набор методов или инструментов для противодействия или смягчения воздействия Распределенный отказ в обслуживании (DDoS) атаки на сети, подключенные к Интернет за счет защиты целевой и ретрансляционной сети. DDoS-атаки представляют собой постоянную угрозу для предприятий и организаций, угрожая производительности услуг или полностью закрывая веб-сайт, даже на короткое время.[1]
Первое, что нужно сделать для предотвращения DDoS-атак, - это определить нормальные условия для сетевого трафика, определив «шаблоны трафика», которые необходимы для обнаружения угроз и предупреждения.[2] Для предотвращения DDoS-атак также требуется идентификация входящего трафика, чтобы отделить человеческий трафик от человеческого. боты и взломали веб-браузеры. Процесс выполняется путем сравнения подписей и изучения различных атрибутов трафика, включая IP-адреса, печенье вариации, Заголовки HTTP, и JavaScript следы.
После того, как обнаружение сделано, следующий процесс - фильтрация. Фильтрация может выполняться с помощью технологий защиты от DDoS, таких как отслеживание соединений, списки репутации IP-адресов, глубокая проверка пакетов, занесение в черный список /белый список, или же ограничение скорости.[3][4]
Один из методов заключается в пропускании сетевого трафика, адресованного потенциальной целевой сети, через сети с высокой пропускной способностью с фильтрами «очистки трафика».[2]
Ручное предотвращение DDoS-атак больше не рекомендуется, поскольку злоумышленники могут обойти программное обеспечение для предотвращения DDoS-атак, которое активируется вручную.[5] Другие способы предотвращения DDoS-атак могут быть реализованы локально или / или через облачный поставщики решений. Благодаря локальному уменьшению риска технология (чаще всего аппаратное устройство) размещается перед сетью, с тем недостатком, что емкость фильтрации ограничивается емкостью фильтрующего устройства.[6] Средний вариант - это гибридное решение, сочетающее локальную фильтрацию с облачной фильтрацией.[7]
Передовой опыт предотвращения DDoS-атак включает использование как технологий защиты от DDoS-атак, так и служб экстренного реагирования на них.[5] Защита от DDoS-атак также доступна через облачных провайдеров.[2][8]
Способы атаки
DDoS-атаки проводятся против веб-сайтов и сетей избранных жертв. Ряд производителей предлагают "устойчивость к DDoS-атакам". услуги хостинга, в основном на основе техник, аналогичных сети доставки контента. Распределение позволяет избежать единой точки перегрузки и предотвращает концентрацию DDoS-атаки на одной цели.
Один из методов DDoS-атак - использование неправильно настроенных сторонних сетей, которые позволяют усиление[9] из подделанный UDP пакеты. Правильная настройка сетевого оборудования, позволяющая входящая фильтрация и исходящая фильтрация, как указано в BCP 38[10] и RFC 6959,[11] предотвращает усиление и спуфинг, тем самым уменьшая количество ретрансляционных сетей, доступных злоумышленникам.
Смотрите также
Рекомендации
- ^ Гаффан, Марк (20 декабря 2012 г.). "5 принципов защиты от DDoS-атак". Wired.com. Получено 25 марта 2014.
- ^ а б c Паганини, Пьерлуиджи (10 июня 2013 г.). «Выбор решения для защиты от DDoS-атак… облачный подход». Журнал Cyber Defense. Получено 25 марта 2014.
- ^ Гир, Дункан (27 апреля 2012 г.). «Как работает глубокая проверка пакетов». Wired.com. Получено 12 июн 2018.
- ^ Паттерсон, Дэн (9 марта 2017 г.). «Глубокая проверка пакетов: руководство для умных людей». Techrepublic.com. Получено 12 июн 2018.
- ^ а б Тан, Фрэнсис (2 мая 2011 г.). «DDoS-атаки: предотвращение и смягчение». Следующая Сеть. Получено 25 марта 2014.
- ^ Лич, Шон (17 сентября 2013 г.). «Четыре способа защиты от DDoS-атак». Networkworld.com. Получено 12 июн 2018.
- ^ Шмитт, Робин (2 сентября 2017 г.). «Выбор правильного DDoS-решения». Enterpriseinnovation.net. Архивировано из оригинал 12 июня 2018 г.. Получено 12 июн 2018.
- ^ Симонс, Франк (2 ноября 2016 г.). «Защита от DDoS-атак в облаке: что нужно знать предприятиям». SearchCloudSecurity.com. Получено 12 июн 2018.
- ^ Кристиан Россов. «Усиление DDoS-атак».
- ^ «Фильтрация входящего сетевого трафика: подмена IP-адреса источника». IETF. 2000 г.
- ^ «Объем угрозы улучшения проверки адреса источника (SAVI)». IETF. 2013.