Смягчение последствий DDoS-атак

Методы снижения воздействия распределенных атак типа «отказ в обслуживании»

Смягчение DDoS-атак представляет собой набор методов управления сетью и/или инструментов для противодействия или смягчения последствий распределенных атак типа «отказ в обслуживании» (DDoS) на сети, подключенные к Интернету, путем защиты целевых и ретрансляционных сетей . DDoS-атаки представляют постоянную угрозу для предприятий и организаций, замедляя работу служб или полностью закрывая веб-сайты . ^[1]

Смягчение DDoS-атак работает путем определения базовых условий для сетевого трафика путем анализа «шаблонов трафика», что позволяет обнаруживать угрозы и оповещать об этом. ^[2] Смягчение DDoS-атак также требует идентификации входящего трафика для отделения человеческого трафика от человекоподобных ботов и взломанных веб-браузеров . Этот процесс включает сравнение сигнатур и изучение различных атрибутов трафика, включая IP-адреса , вариации файлов cookie , заголовки HTTP и отпечатки браузера .

После обнаружения атаки следующим процессом является фильтрация . Фильтрация может осуществляться с помощью анти-DDoS-технологий, таких как отслеживание соединений, списки репутации IP-адресов, глубокая проверка пакетов , черный / белый список или ограничение скорости . ^[3]^[4]

Одним из методов является передача сетевого трафика, адресованного потенциально целевой сети, через сети с высокой пропускной способностью с фильтрами «очистки трафика». ^[2]

Ручное смягчение DDoS-атак больше не рекомендуется из-за того, что масштаб атак часто превышает человеческие ресурсы, доступные во многих фирмах/организациях. ^[5] Могут быть реализованы другие методы предотвращения DDoS- атак, такие как локальные и/или облачные поставщики решений. Локальная технология смягчения (чаще всего аппаратное устройство) часто размещается перед сетью. Это ограничит максимальную доступную пропускную способность по сравнению с тем, что предоставляется поставщиком услуг Интернета . ^[6] Обычные методы включают гибридные решения, объединяющие локальную фильтрацию с облачными решениями. ^[7]

Методы атаки

DDoS-атаки выполняются против веб-сайтов и сетей выбранных жертв. Ряд поставщиков предлагают услуги хостинга , «устойчивые к DDoS» , в основном основанные на методах, похожих на сети доставки контента . Распределение позволяет избежать единой точки перегрузки и не дает DDoS-атаке сосредоточиться на одной цели.

Одним из методов DDoS-атак является использование неправильно настроенных сторонних сетей, что позволяет усиливать ^[8]поддельные пакеты UDP . Правильная настройка сетевого оборудования, включающая фильтрацию входящего и исходящего трафика , как описано в BCP 38 ^[9] и RFC 6959 ^[10] , предотвращает усиление и подмену, тем самым уменьшая количество сетей ретрансляции, доступных злоумышленникам.

Методы смягчения последствий

Использование протокола клиентской головоломки или протокола головоломки с гидом
Использование сетей доставки контента
Внесение IP-адресов в черный список
Использование систем обнаружения вторжений и межсетевых экранов

Смотрите также

Ссылки

^ Гаффан, Марк (20 декабря 2012 г.). «5 основных принципов предотвращения DDoS-атак». Wired.com . Получено 25 марта 2014 г.
^ ab Paganini, Pierluigi (10 июня 2013 г.). «Выбор решения по смягчению DDoS-атак... облачный подход». Cyber Defense Magazine . Получено 25 марта 2014 г.
^ Geere, Duncan (27 апреля 2012 г.). «Как работает глубокая проверка пакетов». Wired.com . Получено 12 июня 2018 г. .
^ Паттерсон, Дэн (9 марта 2017 г.). «Глубокая проверка пакетов: руководство для умных людей». Techrepublic.com . Получено 12 июня 2018 г. .
^ Тан, Фрэнсис (2 мая 2011 г.). «DDoS-атаки: предотвращение и смягчение». The Next Web . Получено 25 марта 2014 г.
^ Лич, Шон (17 сентября 2013 г.). «Четыре способа защиты от DDoS-атак». Networkworld.com . Архивировано из оригинала 12 июня 2018 г. Получено 12 июня 2018 г.
^ Шмитт, Робин (2 сентября 2017 г.). «Выбор правильного решения DDoS». Enterpriseinnovation.net . Архивировано из оригинала 12 июня 2018 г. . Получено 12 июня 2018 г. .
^ Россов, Кристиан. «Усиление DDoS».
^ Сени, Дэниел; Фергюсон, Пол (2000). «Фильтрация входящего трафика в сети: подмена исходного IP-адреса». IETF.
^ Макферсон, Дэнни Р.; Бейкер, Фред; Хэлперн, Джоэл М. (2013). «Область угрозы улучшения проверки исходного адреса (SAVI)». IETF. doi : 10.17487/RFC6959 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )

[1] Гаффан, Марк (20 декабря 2012 г.). «5 основных принципов предотвращения DDoS-атак». Wired.com . Получено 25 марта 2014 г.

[CyberDefenseMagApproach-2] Paganini, Pierluigi (10 июня 2013 г.). «Выбор решения по смягчению DDoS-атак... облачный подход». Cyber Defense Magazine . Получено 25 марта 2014 г.

[3] Geere, Duncan (27 апреля 2012 г.). «Как работает глубокая проверка пакетов». Wired.com . Получено 12 июня 2018 г. .

[4] Паттерсон, Дэн (9 марта 2017 г.). «Глубокая проверка пакетов: руководство для умных людей». Techrepublic.com . Получено 12 июня 2018 г. .

[NextWebDDOS-5] Тан, Фрэнсис (2 мая 2011 г.). «DDoS-атаки: предотвращение и смягчение». The Next Web . Получено 25 марта 2014 г.

[6] Лич, Шон (17 сентября 2013 г.). «Четыре способа защиты от DDoS-атак». Networkworld.com . Архивировано из оригинала 12 июня 2018 г. Получено 12 июня 2018 г.

[7] Шмитт, Робин (2 сентября 2017 г.). «Выбор правильного решения DDoS». Enterpriseinnovation.net . Архивировано из оригинала 12 июня 2018 г. . Получено 12 июня 2018 г. .

[8] Россов, Кристиан. «Усиление DDoS».

[9] Сени, Дэниел; Фергюсон, Пол (2000). «Фильтрация входящего трафика в сети: подмена исходного IP-адреса». IETF.

[10] Макферсон, Дэнни Р.; Бейкер, Фред; Хэлперн, Джоэл М. (2013). «Область угрозы улучшения проверки исходного адреса (SAVI)». IETF. doi : 10.17487/RFC6959 . {{cite journal}}: Цитировать журнал требует |journal=( помощь )