Různé způsoby obrany proti DDoS útokům

Různé DDoS útoky jsou čím dál tím častější a ničivější, je proto třeba myslet na spolehlivou ochranu proti nim. Existuje několik způsobů obrany, které pro vás vysvětlujeme v následujících bodech.

1) Vlastní ochrana

Chránit se před DDoS útoky svépomocí se může na první pohled jevit jako nejjednodušší a nejlevnější ochrana. Bohužel ve finále jde o přesný opak. Zkusme se na tento způsob podívat blíže.

Provozujete středně velký e-shop běžící na několika serverech a máte dohledový monitoring. Najednou zjišťujete, že latence serverů se začíná dost zvyšovat, provoz na sítí je několikanásobně vyšší než provoz běžný a možná vám i začnou kolabovat servery a e-shop se stane totálně nedostupným.

Rozhodnete se řešit si ochranu sami. Ze všeho nejdříve byste měli být schopni útok vůbec rozpoznat a sami si zanalyzovat nedávno provedený DDoS útok na vaši službu. Pokud byste sledovali pouze růst provozu a nastavili limit, po jehož přesáhnutí začnete pakety automaticky zahazovat, sice tím ochráníte svoji službu, ale pro běžné uživatele se stane prakticky nepřístupná.

V lepším případě máte k dispozici PCAP provozu a po časově náročnějším zkoumání jednotlivých paketů útoků si dokážete sestavit jeho společné vlastnosti (tzv. signatura) a ty nastavit např. na firewallu, který bude provoz automaticky zahazovat na základě zjištěné signatury. Tento přístup by pravděpodobně relativně spolehlivě fungoval v dřívějších dobách, řekněme v počátcích tohoto milénia.

Dnešní útoky jsou ale tak komplexní a velké, že bez sofistikované analýzy provozu vaší služby vás ručně vytvořená pravidla neuchrání. A v případě, že už si práci s takto sofistikovaným algoritmem dáte, pravděpodobně vám službu odstaví banální, ale zato velký volumetrický útok, který jen zahltí vaší vstupní linku.

Výhody:

• Radost z vlastního řešení.

Nevýhody:

• Neefektivní detekce DDoS.
• Ochrana zpravidla znamená odstavení celé služby zákazníkům.
• Po sečtení nákladu za práci a vynaložený čas zjistíte, že tento způsob řešení není vůbec rentabilní.
• Je nutná expertní znalost počítačových sítí a programování.

2) ISP ochrana

Další možností může být ochrana přes vašeho poskytovatele internetového připojení (ISP). Někteří ISP investují finance do ochrany proti DDoS, ale bohužel nikdy nebudete přesně vědět, jaký typ útoku na vás jde, v jakém objemu a jestli nějakým způsobem zasáhnul do legitimního provozu.

Pokud jste pod DDoS útokem, můžete kontaktovat ISP a ten by měl podniknout kroky vedoucí k omezení následků útoku. Způsob řešení záleží na sítí, infrastruktuře a technologii ochrany proti DDoS samotného ISP. Buď provoz jdoucí na vaši službu zahodí ve své síti a vaše služba bude dočasně bez příchozího provozu, anebo může v případě velkého útoku propagovat do celého internetu, ať se provoz na vaši službu zahazuje rovnou.

Jestli má ISP sofistikovanější způsob ochrany proti DDoS, možná na vás šlo již mnoho útoků a ani jste to díky této ochraně nezaznamenali.

Výhody:

• Rychle řešení DDoS útoku v případě nulové ochrany.

Nevýhody:

• Odstavení celé služby zákazníkům (záleží na způsobu ochrany ISP).

3) CPE ochrana

Pokud přeci jen chcete mít kontrolu nad ochranou ve svých rukou, nabízí se možnost pomocí hardwarového řešení umístěného přímo ve vaší síti, serverovně. Jde o tzv. Customer-premises equipment (CPE), které je dodáváno specialisty na ochranu proti DDoS.

Tato zařízení, v závislosti na kvalitě, mívají vyvinuta spolehlivé algoritmy na detekci útoků v reálném čase, aplikaci pro statistiky dohledu a způsoby notifikace o detekovaných a probíhajících útocích. Tato řešení sice dokáží identifikovat a mírnit blížící se nebo čerstvě spuštěný DDoS útok, stále ovšem nedokážou vyřešit problém při velkých volumetrických útocích zahlcujících vstupní linku.

Výhody:

• Efektivní detekce DDoS útoků a mírnění jejich následků.
• Součástí bývá monitorovací aplikace.

Nevýhody:

• Nedokáže zmírnit volumetrické útoky.
• Nutná znalost počítačových sítí.
• Nutná znalost obsluhy daného CPE.

4) Cloud

Ochrana pomocí cloud řešení dokáže mírnit masivní volumetrické DDoS útoky tím, že rozloží útok napříč celým internetem díky distribuované architektuře. Cloudové služby jsou schopny reagovat na poslední DDoS útoky, mají stále updatované signatury a dokážou zahodit pouze legitimní traffic. Při ochraně tedy dosáhnete stejných až lepších kvalit jako při vlastním CPE řešení, ale navíc se schopnostní vypořádat se s velkými volumetrickými útoky.

Výhody:

• Komplexní a kvalitní ochrana proti všem typům DDoS útoků.
• Monitorovací aplikace.
• Není nutná vyšší odborná znalost.

Nevýhody:

• Nonstop provoz přes cloud může být finančně náročnější.