Обязательная защита от ddos

8-12-2017, 20:21

Учитывая, что DDoS-атаки становятся все более частыми, настало время, чтобы рассмотреть основные способы защиты и борьбы с ними.
DDoS – это метод нападения, используемый, чтобы запретить доступ для легитимных пользователей онлайн-сервиса. Атака может производиться на банк или сайт электронной коммерции, приложения SaaS, или любой другой тип сетевого сервиса. Некоторые атаки могут быть направлены даже на VoIP инфраструктуры.
Атакующий использует нетривиальный объем вычислительных ресурсов, который он либо построил сам, или, чаще, получил от уязвимых компьютеров по всему миру, чтобы отправить поддельный трафик на выбранный для атаки сайт. Тут подробнее какая Вам подойдет защита от ddos.
Например, если сайт банка может обслуживать одновременно 1000 человек, а злоумышленник отправляет 10000 ложных запросов в секунду. При этом ни один из реальных пользователей зайти на сайт не смогут. Существует множество причин осуществления DDoS атак: вымогательство, активизм, соперничество конкурентов бренда, а также простая скука.
DDoS-атаки различаются по своей сложности и размеру. Злоумышленник может сделать так, что поддельный запрос будет выглядеть как случайный мусор в сети. Также можно осуществить более хлопотное, но эффективное нападение – послать данные, которые выглядят в точности также, как настоящий веб-трафик. Кроме того, если у злоумышленника есть достаточное количество вычислительных ресурсов в своем распоряжении, он может пустить столько трафика, чтобы полностью перегрузить полосу пропускания сайта-жертвы.
Простейшими типами атак считаются DDOS атаки Layer 3 и 4  (IP и udp/TCP в стеке OSI). Получается, что на сервер поступает столько "флуда”, что он просто не может больше обрабатывать реальный сетевой трафик, так как нападение посылает множество данных через сетевое подключение к цели. Более сложной считается атака из 7 layer, которая  "имитирует” реальных пользователей, и пытается использовать веб-приложения, искать контент на сайте или производить другие сложные действия (использовать кнопку "Добавить на карту” или другие функции ресурса).
Существует четыре основных вида защиты от DDoS нападений:
Делать защиту от DDoS самостоятельно.
Это самый простой и наименее эффективный метод. Как правило, кто-то пишет несколько скриптов Python, которые пытаются отфильтровать плохой трафик или предприятие попытается использовать свой существующий брандмауэр для блокировки трафика. Еще в начале 2000-х годов, когда атаки были довольно простыми, это могло сработать. Но сегодня, когда атаки слишком сильные, большие и сложные для этого типа защиты. Брандмауэр не выдержит нагрузки даже самой простой атаки.
Специализированное оборудование.
Это похоже на «Do It Yourself» в том, что предприятие делает всю работу, чтобы остановить атаку, но вместо того, чтобы полагаться на скрипты или существующий брандмауэр, они приобретают и развертывают специализированные устройства для предотвращения DDoS. Это специализированные аппаратные средства, которые расположены в центре обработки данных предприятия перед обычными серверами и маршрутизаторами и специально созданы для обнаружения и фильтрации вредоносного трафика. Однако есть некоторые фундаментальные проблемы с этими устройствами:
Они являются дорогостоящими продуктами, которые могут не работать до того момента, пока вы не подвергнетесь нападению. Они также могут быть дорогими в эксплуатации. Для работы этих устройств нужны квалифицированные инженеры по сети и безопасности, ведь у них нет волшебной кнопки «100% защита от DDoS».
Они должны постоянно обновляться оперативной группой, чтобы быть в курсе последних угроз. Тактика DDoS меняется почти ежедневно. Ваша команда должна быть готова обновить эти устройства до последних версий атак.
Они не могут справиться с объемными атаками. Маловероятно, что у предприятия будет достаточно пропускной способности для обработки очень больших DDoS-атак, происходящих сегодня. Эти аппаратные средства не приносят пользы, когда атака превышает емкость сети.
Интернет-провайдер (ISP).
Некоторые предприятия используют своего провайдера для обеспечения DDoS-смягчения. У этих провайдеров пропускная способность выше, чем у предприятия, что может помочь в крупных объемных атаках, но есть три ключевые проблемы с этими сервисами:
Недостаток основной компетенции: провайдеры занимаются продажей полосы пропускания и не всегда инвестируют необходимый капитал и ресурсы, чтобы опережать последние атаки DDoS. Это может стать повышением затрат на те услуги, которые они должны предоставить, поэтому они делают это как можно дешевле.
Одиночная защита провайдера: Большинство предприятий сегодня имеют несколько хостов в двух или более сетевых провайдерах, чтобы удалить единую точку отказа провайдера. Наличие двух или больше провайдеров – лучшая практика для увеличения времени безотказной работы. Решения по предотвращению DDoS-решений для ISP защищают только их сетевые ссылки, а не другие ссылки, которые у вас есть, поэтому теперь вам нужны службы по отражению DDoS от разных провайдеров, удваивая ваши затраты.
Отсутствие защиты от Облака. Как и в вышеперечисленном случае, многие веб-приложения в наши дни разделены между центрами данных, принадлежащими предприятиям, и облачными службами, такими как Amazon AWS, GoGrid, Rackspace и т. д. Поставщики услуг Интернета не могут защитить трафик от этих облачных сервисов.

Рекомендуем к прочтению:
Интересное о разном: