Czy potrafisz wytrzymać nowoczesne ataki DDoS?

DDOS Attack
DDOS Attack on Red Button on Black Computer Keyboard.

Gdy najnowszy rekord ataku DDoS uderzył w GitHub i zagroził, że przytłoczy jego sieć brzegową, popularna usługa hostingowa Git-repozytorium szybko przełączyła się na routing ruchu ataków na ich usługę łagodzenia DDoS.

Ostatecznie GitHub okazał się całkowicie niedostępny przez pięć minut i sporadycznie niedostępny dla czwórki. Ale choć efekt ataku mógł być gorszy, zespół inżynierów GitHuba ma zamiar zrobić to lepiej następnym razem, gdy zostaną trafieni.

Robert Hamilton, dyrektor ds. Marketingu produktów w Imperva, uważa, że dziewięć minut przerwy to zdecydowanie za dużo. Płacenie znacznej sumy za usługi łagodzące DDoS powinno wiązać się z obietnicą, że ataki zostaną udaremnione w ciągu kilku sekund, mówi, i to właśnie robi Imperva.

Usługi firmy są objęte gwarancją – zapisaną w umowie o poziom usług (SLA) – w celu wykrycia i zablokowania wszystkich ataków w czasie krótszym niż dziesięć sekund.

Oferta jest wyjątkowa na rynku łagodzenia skutków DDoS, a Hamilton twierdzi, że oczekiwali, że niektórzy z ich konkurentów pójdą w ich ślady i zaoferują podobną ofertę. Nikt jednak nie pozwolił mu uwierzyć, że nie są w stanie złagodzić ataku DDoS w mniej niż dziesięć do dwudziestu minut.

Imperva Incapsula

Oczywiście, Imperva jest de facto liderem rynku łagodzenia skutków DDoS i ma globalną sieć o dużej przepustowości. Jeśli ktokolwiek powinien być w stanie łagodzić nowe, masowe ataki, to one.

Usługi łagodzenia skutków Incapsula DDoS są częścią portfela zabezpieczeń i dostarczania treści w chmurze (CDN) i są używane przez dużą bazę klientów, co pomaga im utrzymać przewagę nad krajobrazem zagrożeń DDoS.

“Ponieważ mamy tak wielu klientów, bardzo szybko zobaczymy nowy rodzaj ataków DDoS. Widzieliśmy atak wzmacniający oparty na memcached około tygodnia przed uderzeniem GitHub i wprowadziliśmy przeciwko nim ochronę “- zauważa.

Jest to również jeden z powodów, dla których wierzył, że Akamai powinien był znacznie szybciej niż oni skorygować atak GitHub.

“Mamy stosunkowo duży zespół badaczy bezpieczeństwa wewnętrznego w Izraelu, a jedną z rzeczy, które robią nieprzerwanie, jest monitorowanie sieci pod kątem znanych i nowych rodzajów ataków. Te ostatnie są identyfikowane bardzo szybko, zazwyczaj w ciągu kilku godzin lub nawet minut, a filtr dla nich jest następnie stosowany w naszej sieci, aby podobne przyszłe ataki były łatwo łagodzone, “mówi.

Obserwowanie krajobrazu zagrożenia

W 2016 r. Zagrożenie botnetami IoT angażującymi się w ataki DDoS było duże, zwłaszcza po tym, jak Mirai spowodował masowe przestoje, kiedy trafił na firmę Dyn, zajmującą się zarządzaniem wydajności w Internecie.

Jednak obietnica paraliżujących ataków opartych na botnetach nie nastąpiła w 2017 r. Hamilton uważa, że ​​było to wynikiem skuteczności kolejnych działań służących łagodzeniu skutków DDoS.

Napastnicy byli zmuszeni dowiedzieć się, jak działają usługi i produkty łagodzące skutki DDoS oraz wymyślić nowe podejścia.

Ataki oparte na memcached są jednym z nich. Inna innowacyjna metoda, która stała się coraz bardziej popularna, została po raz pierwszy zauważona wiosną 2017 roku. Nazywana “falą pulsacyjną” ataki składała się z serii krótkotrwałych, intensywnych pakietów, które następowały w kolejności zegarowej, mające na celu od pięciu do dziesięciu lat. organizacje praktycznie w tym samym czasie.

Botnety są tworzone w celu dostarczania impulsów o szczytowej intensywności, gdy atakujący przełączają się między celami w locie.

Ataki te są szczególnie szkodliwe dla rozwiązań, które mają hybrydowe podejście “urządzenie po raz pierwszy, w chmurze drugie” do łagodzenia skutków ataków DDoS, ponieważ wybuchy ruchu powodują, że lokalne urządzenia ograniczające DDoS nie mogą komunikować się z platformą w chmurze i “proszą” o jej pomoc w obsłudze pakietu dużej objętości.

Każdy atak/puls trwa kilka sekund, ale jest wysoce uciążliwy. “To, co mamy, to bardzo krótki atak, który doprowadzi do pewnego okresu przestoju, zanim lokalne urządzenia będą mogły skorzystać z usługi w chmurze, aby złagodzić tę ogromną masę pakietów” – wyjaśnia Hamilton.

Ponadto brak komunikacji uniemożliwia urządzeniu dostarczenie informacji wymaganych do szybkiego utworzenia podpisu ataku, co prowadzi do dalszych opóźnień w zakresie łagodzenia.

“Ataki fali pulsacyjnej mogą być skierowane na większą liczbę celów. Zamiast atakować jedną organizację przez dziesięć minut, atakujący mogą uderzać w dziesięć organizacji jednocześnie przez kilka sekund, maksymalizując wydajność “- zauważa Hamilton. “Ataki typu intensywnego w pakiety, takie jak te, mają na celu przytłaczenie ruterów brzegowych i obniżenie całej sieci, a niestety zwiększają one rozmiar i częstotliwość”.

Atak na poziomie aplikacji to również rosnący problem – kiedyś stanowili oni niewielką część ataków DDoS, a teraz stanowią prawie dwie trzecie wszystkich ataków – mówi.

“Co ciekawe, musisz użyć zupełnie innych technik, aby je zminimalizować. Atak pochodzi od rzeczywistych klientów sieciowych, ale nie można zablokować całego ruchu do witryny, ponieważ legalny ruch musi być możliwy do przejścia do witryny. Potrzebujesz technologii do identyfikacji botów, które są botami atakującymi i które sesje są prawdziwymi ludźmi próbującymi wykonać akcję na stronie internetowej. “

Dokonanie właściwego wyboru

Opcje łagodzenia skutków DDoS pochodzą z samodzielnych urządzeń w siedzibie; rozwiązania hybrydowe łączące urządzenia i usługi ochrony w chmurze; i “as-a-Service”.

Imperva oferuje czystą, opartą na chmurze usługę łagodzenia skutków DDoS-as-a-Service i oferuje coś, na co powinny zwrócić uwagę wszystkie organizacje: gwarantowane ograniczenie ataków w czasie poniżej dziesięciu sekund, niezależnie od wielkości ataku i bez wchodzenia w drogę legalnego ruchu.

Bądź pierwszy, który skomentuje ten wpis

Dodaj komentarz

Twój adres email nie zostanie opublikowany.


*