Napjaink internetének egyik legégetőbb problémája a DDoS támadások. Mivel botnetek felhasználásával viszonylag olcsón lehet támadást indítani, azonban mivel a célzott szolgáltatónál már nagy mennyiségben érkezik a támadó forgalom, annak kiszűrése - úgy, hogy a szolgáltatások végig elérhetőek maradjanak - nem feltétlenül triviális.
Hogyan lehet felismerni a szolgáltatásmegtagadási (DDoS) támadást?
Ahhoz, hogy kivédhesse a támadást, tudnia kell, hogy mi közeledik Ön felé. Ha észrevesz egy kísérletet arra, hogy egy kiszolgáló (szerver vagy VPS), szolgáltatás vagy hálózat szabályos működését megzavarják azáltal, hogy nem kívánt forgalommal terhelik meg, akkor elosztott szolgáltatásmegtagadási (DDoS) támadással van dolga.
A DDoS-támadás úgy próbálja elérhetetlenné tenni a hozzáférést (vagy magát a szolgáltatást) egy szerverhez, hogy nagy mennyiségű rosszindulatú internetes forgalmat generál, amely túlterheli a célpont rendelkezésre álló erőforrásait. Az ilyen támadások megelőzése és a maximális üzemidő garantálása érdekében forgalomszűrő megoldásokat alkalmazunk.
Hogyan néz ki egy támadás?
Képzelje el, hogy 2000 Mbps UDP forgalom indul egy 1000 Mbps sávszélességű VPS felé. Könnyedén látható, hogy a támadó forgalom alapból több mint amennyi sávszélesség rendelkezésre áll a VPS felé, és ebben még benne sincs a normál forgalom sávszélesség igénye.
A DDoS-támadásokat gyakran nehéz enyhíteni, mivel általában egy vagy több botnet hálózatok veszik célba Önt. Egy botnet sok fertőzött rendszerből áll á mely általában gyanútlan emberek számítógépei - így a saját maga elleni küzdelem a legtöbbször haszontalannak bizonyul.
## Hogyan kezeljük a DDoS támadásokat?
Infrastruktúránkban két DDoS hatását csökkentő megoldás áll rendelkezésre a bejövő támadások kezelésére: a kevésbé drasztikus forgalom szűrés, vagy egy bizonyos szint felett null-routolás (RTBH).
A null routeolás lehetőséget kínál a nem kívánt forgalom gyors eldobására, mielőtt az beérkezne a hálózatunkba. Bár ez a módszer hatékonyan védi infrastruktúránkat, azonban gyakorlatilag levágja az internetről a támadás alatt álló IP címet így az azon futó szolgáltatásokat is, így az ott lévő szolgáltatások elérhetetlenek lesznek. Végeredményben a támadó elérik céljukat. Ezért ehhez módszerhez csak a legvégső esetben fordulunk.
Néhány esetben lehetőség van arra, hogy csak bizonyos irányokból érkező forgalom legyen null-routolva, így hatástalanítva a támadó forgalmat.
A Forgalom szűrés egy szofisztikáltabb DDoS-védelem szolgáltatásaink számára. Csak a rosszindulatú forgalmat próbálja megállítani, ahelyett, hogy az egészet eldobná. A rosszindulatú forgalom azonosítása az infrastruktúránkon keresztül áthaladó csomagok vizsgálatával történik.
Első lépésként előre beállított szabályrendszer alapján minden olyan forgalom eldobásra kerül, ami nem szükséges szolgáltatásunkhoz. Pl. egy webszerver esetén, az UDP csomagokat el lehet dobni anélkül, hogy a weboldal elérhetetlen lenne. Ha ez önmagában nem elég, automata rendszerünk megpróbálja kiszűrni az olyan forgalmat ami gyanús, láthatóan hamisított forrás IP-ről jön, vagy a mintája túl egyforma egy normál forgalom véletlenszerűségéhez.
Összességében rendszerünk - ameddig technikailag lehetséges - megpróbálja úgy elhárítani a DDoS támadást, hogy ügyfeleink szolgáltatásában ne történjen kiesés, vagy nagy mértékű lassulás.
2022-09-24