Ataki DDoS: jak sobie z nimi radzić?
- Józef Muszyński,
- Roger Grimes,
- 23.12.2011, godz. 10:00
Ataki DDoS (Distributed Denial of Service) nigdy nie były zbyt wymyślne - w centrum zainteresowania znalazły się głównie z tego powodu, iż często używano ich bez skrupułów w ramach różnych działań społecznych czy politycznych. Sprawców rzadko spotykała jakkolwiek kara, a niektóre sądy takie praktyki uznawały nawet za legalne. Jak w takiej sytuacji radzić sobie z atakami DDoS?
Z technicznego punktu widzenia ataki DDoS stają się coraz intensywniejsze. Jeszcze niedawno natężenie ruchu o wielkości 1 Gbps, emitowanego w kierunku ofiary, uważane było za duże, ale dzisiaj można już obserwować ataki o natężeniu 20 Gbps, a nawet większym. Jednak największym wyzwaniem stała się złożoność ataków DDoS, przenoszących się z warstwy 3 i 4 sieci (routing i transport) na warstwę 7 (aplikacyjną). W takich atakach rozpoznaje się np. jakie elementy tworzą najpopularniejsze strony WWW ofiary i które z nich zabierają najwięcej czasu przy ładowaniu oraz mają najmniejszą redundancję. Napastnicy poświęcają teraz więcej czasu na rozpracowanie celów i aplikacji atakowanego obiektu, próbując określić gdzie mogą spowodować największe kłopoty poszczególnym aplikacjom.
Zobacz również:
- Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS
- Wbudowana słabość protokołu HTTP/2 wykorzystana do masowych ataków DDoS
- Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania
Polecamy: Jak zabezpieczyć sieć WiFi w firmie?
Najbardziej złożone ataki DDoS mogą mieć jednocześnie wiele wektorów, co znacznie zwiększa ich uciążliwość. Taktyka ta sprawia, że obrona staje się dużo trudniejsza. I tak np. napastnik może rozpocząć atak prostym zalewaniem pakietami (flooding) ICMP czy UDP, zwiększając ruch i utrudniając jego obsługę. Z chwilą, gdy ofiara zacznie sobie radzić z ruchem ICMP i UDP, napastnik może przełączyć się na TCP, a kiedy ofiara zacznie zajmować się problemami z TCP, może zwiększyć liczbę botów (automatów generujących ruch) i tym samym intensywność ruchu, coraz bardziej wciągając ofiarę w tę "zabawę".
Polecamy: Bezpłatny skaner zabezpieczeń dla IIS, ASP.Net, SQL i serwerów Windows
Coraz większa liczba ofiar ataków DDoS przyznaje, że napastnicy używają tego typu wielostronnych, wielodniowych ataków jako przynęty odciągającej uwagę od bardziej niszczących ataków w sieci. Ofiara ataku DDoS może łatwo wpaść w panikę i zaangażować duże zasoby do radzenia sobie z tym problemem, tym samym jednak odsuwając je od zadań monitorowania innych zagrożeń w sieci.
Jak więc radzić sobie z atakami DDoS? Oto kilka praktycznych porad.
Po pierwsze, jako generalną zasadę należy przyjąć optymalizację wydajności. Należy tak skonfigurować hosty i urządzenia, aby zapewnić im najlepszą wydajność. Większość dostawców zapewnia możliwość skonfigurowania ustawień anty-DDoS na zasobach, które z dużym prawdopodobieństwem mogą stać się celem tych ataków.