Jak skutecznie odeprzeć ataki DDoS?

Przeczytaj także: Ataki ddos: jak chronić firmę?

Ataki DDoS (ang. Distributed Denial of Service) najczęściej wycelowane są w branżę usług finansowych. Na drugim miejscu najbardziej pożądanych celów znajduje się zaś administracja publiczna. Poza znacznym ograniczeniem przepustowości pasma lub jego całkowitym wysyceniem w wyniku tzw. „powodzi zapytań” (ang. flood), ataki DDoS są coraz częściej wykorzystywane do zamaskowania bardziej wyrafinowanych prób wykradnięcia danych finansowych lub handlowych. Tego rodzaju ataki częstokroć mają na celu uniemożliwienie uzyskania dostępu do strategicznych informacji.

Ataki DDoS mogą być motywowane różnymi względami, najczęściej jednak cyberprzestępcy sięgają po tą broń ze względów politycznych, odwetowych lub finansowych. Wyłączenie botnetu lub rozbicie organizacji cyberprzestępczej może pociągnąć za sobą działania odwetowe wymierzone w tych, którzy pomagali lub współpracowali z organami ścigania. Ataki o pobudkach finansowych są zwykle zlecane i opłacane przez zewnętrznego zleceniodawcę. Niezależnie jednak od motywów przeprowadzenia ataku, rezultaty są zawsze takie same: sieć i usługi internetowe stają się niedostępne i pozostają w tym stanie przez dłuższy czas.

Uwaga na zaawansowane ataki DDoS przeprowadzane w warstwie aplikacji

Obecnie stosowanych jest wiele różnych rodzajów ataków DDoS. Wciąż wykorzystywane są nawet stare metody, znane od początków istnienia Internetu. Najnowszą „Wunderwaffe” w arsenale hakerów są jednak zaawansowane ataki przeprowadzane w warstwie 7, których celem są usługi aplikacyjne. Najczęściej spotykane są zalewy żądań SYN i HTTP GET. Służą one do zakłócenia pracy połączeń sieciowych lub przeciążenia serwerów znajdujących się za firewallami i systemami zapobiegania włamaniom (IPS, ang. Intrusion Prevention System).

Najbardziej martwiące jest jednak wykorzystywanie w atakach przeprowadzanych w tej warstwie dalece bardziej wyrafinowanych mechanizmów biorących na cel sieci i usługi ofiary. Zamiast zwyczajnie zalać sieć intensywnym ruchem lub ogromną liczbą sesji, atakowane są konkretne aplikacje i usługi w celu powolnego wyczerpania zasobów.

Ataki przeprowadzane w warstwie aplikacji mogą być bardzo skuteczne przy nawet bardzo małym natężeniu ruchu, wskutek czego mogą pozostać niewykryte przez większość tradycyjnych metod wykrywania ataków DDoS.

Możliwości zabezpieczenia się przed atakami DDoS

Większość dostawców Internetu oferuje ochronę przed atakami DDoS w warstwach 3 i 4, chroniąc łącza swoich klientów przed zalaniem nadmierną ilością danych. Nie mają jednak możliwości wykrycia dużo subtelniejszych ataków w warstwie 7. Operatorzy centrów przetwarzania danych i właściciele przedsiębiorstw nie mogą oczekiwać, że ich dostawca Internetu zapewni im ochronę w warstwie aplikacji. Powinni rozważyć samodzielne wprowadzenie jednego z omówionych poniżej środków:

1. Zamówienie pakietu bezpieczeństwa u dostawcy usług ochrony przed atakami DDoS

Na rynku dostępnych jest wiele rozwiązań ochrony przed atakami DDoS w chmurze, obejmujących warstwy 3, 4 i 7. Mogą to być niedrogie usługi dla niewielkich serwisów WWW lub rozbudowane usługi korporacyjne obejmujące cały ekosystem różnych stron. Są zwykle bardzo proste w konfiguracji. Większość tego rodzaju usług oferowana jest w różnych pakietach cenowych. Wiele usług kierowanych do dużych przedsiębiorstw może się poszczycić funkcjami wykrywania ataków w warstwie 7. Wymagają one zainstalowania wyspecjalizowanych czujników w centrum przetwarzania danych. Wiele firm decyduje się na wykupienie takich usług, aczkolwiek część narzeka na nieprzewidywalne, często olbrzymie opłaty w przypadku wykrycia bardzo intensywnego ataku. Także wydajność takich rozwiązań często nie spełnia oczekiwań klientów, ponieważ usługodawcy przekierowują ruch DDoS do centrów interwencyjnych, zamiast zwyczajnie blokować go w czasie rzeczywistym. Jest to szczególnie uciążliwe w przypadku napotykanych zazwyczaj krótkotrwałych ataków.