کاهش DDoS

کاهش DDoSReviewed by صبا شادروز on Oct 29Rating: 5.0کاهش DDoS چیست و چگونه حل میشود ؟!! | مرکز طراحی سایت ارومیه اصطلاح 'کاهش DDoS' به روند محافظت موفقیت آمیز از یک هدف در برابر حمله انکار سرویس (DDoS) اشاره دارد. که در این مقاله به طور کامل توضیح میدهیم

کاهش DDoS چیست؟

اصطلاح ‘کاهش DDoS’ به روند محافظت موفقیت آمیز از یک هدف در برابر حمله انکار سرویس (DDoS) اشاره دارد.

یک روند کاهش معمولی می تواند بطور گسترده توسط این چهار مرحله تعریف شود:

ردیابی – شناسایی انحرافات جریان ترافیک که می تواند نشانگر حمله DDoS باشد. اثربخشی با توانایی شما در تشخیص حمله در اسرع وقت سنجیده می شود که تشخیص سریع آن هدف نهایی است.
انحراف – ترافیک به دور از هدف خود ، فیلتر شده یا کاملاً دور ریخته می شود.
فیلتر کردن – ترافیک DDoS معمولاً با شناسایی الگویی که فوراً بین ترافیک قانونی (یعنی انسان ، تماس های API و ربات های موتور جستجو) و بازدید کنندگان مخرب متمایز می شوند ، از بین می رود. پاسخگویی تابعی از توانایی شما برای جلوگیری از حمله بدون دخالت در تجربه کاربران است. هدف این است که راه حل شما برای بازدید کنندگان سایت کاملاً شفاف باشد.
تجزیه و تحلیل – گزارش های امنیتی برای جمع آوری اطلاعات در مورد حمله ، هم برای شناسایی مجرم (ها) و هم برای بهبود مقاومت در آینده بررسی می شوند. اثربخشی این فرآیند به وجود سیاهههای مربوط به امنیت است که می تواند دید دانه ای را در ترافیک حمله ایجاد کند.

تکنیک های Diverion: مسیریابی DNS vs BGP

روند توصیف شده فوق متکی بر مکانیسم های تغییر مسیر است که می توانند ترافیک حمله را از هدف خود منحرف کنند.

در اکثر موارد ، یک راه حل کاهش دهنده از مسیریابی DNS (Domain Name System) یا BGP (Border Gateway Protocol) برای منحرف کردن ترافیک حمله استفاده می کند. این انتخاب عملکرد و نوع ویژگیهای امنیتی ارائه شده را تعریف خواهد کرد.

  • مسیریابی DNS (اصطلاحات تغییر مسیر DNS) روشی است که معمولاً توسط خدمات کاهش دهنده DDoS همیشه استفاده می شود. مسیریابی DNS با تغییر CNAME و ضبط شما فعال می شود ، تا آنها را به IP (های) ارائه دهنده کاهش دهنده خود نشان دهید. پس از آن ، DNS در ابتدا کلیه درخواستهای HTTP / S دریافتی را به سرورهای شستشوی ارائه دهنده شما هدایت می کند ، جایی که درخواست های مخرب کاهش یافته و موارد قانونی ارسال می شوند. هدایت مجدد NNS فقط در کاهش حملات لایه برنامه مؤثر است. با این حال ، این مزیت را دارد که آدرس IP دامنه خود را نقاب کنید. این اقدامات محافظت در برابر حملات لایه شبکه مستقیم به IP را ارائه می دهد.

بیشتر بخوانید >> تفاوت میان برنامه های وب و وب سایت چیست؟

  • مسیریابی BGP یک راه حل فعال دستی است. این حمله لایه های شبکه DDoS را به طور مستقیم هدف قرار دادن آدرس های IP سرور میزبان شما و سایر دارایی های شبکه را کاهش می دهد. با استفاده از یک اطلاعیه BGP با استفاده از یک اطلاعیه BGP ، همه بسته های لایه شبکه را از آدرس IP (های شما) به سمت سرورهای شستشوی ارائه دهنده کاهش می دهد. . بسته های مخرب در آنجا فیلتر می شوند ، و بقیه از طریق یک تونل GRE مطمئن به سیستم شما منتقل می شوند. مسیریابی GGP جامع ترین روش انحراف ترافیک است. در همه پروتکل ها موثر است ، و از همه انواع حمله لایه های شبکه و برنامه محافظت می کند. مزایای مسیریابی BGP با نیاز به فعال سازی دستی جبران می شود. این ممکن است زمان پاسخگویی را کند کرده و باعث نشت برخی از ترافیک حمله شود.

تصمیم گیری در مورد راه حل مبتنی بر DNS و BGP معمولاً به این سؤال می رسد که من با چه نوع حملات مواجه هستم؟

با این حال ، از دیدگاه امنیتی ، بهترین راه حل استفاده از مسیریابی DNS و BGP در نظر گرفته شده است ، اولین مورد برای محافظت در برابر حمله لایه های برنامه و دومی دفاع در برابر حملات مستقیم به IP و سایر تهدیدهای لایه شبکه. به همین دلیل ، امروز معمول است که هر دو روش توسط همان ارائه دهنده کاهش دهنده به شما پیشنهاد شود.

انتخاب ارائه دهنده کاهش

علاوه بر روش انحراف ترافیک ، چندین جنبه مهم دیگر نیز وجود دارد که باید هنگام انتخاب ارائه دهنده کاهش ، در نظر بگیرید. این شامل:

ظرفیت شبکه

ظرفیت شبکه یک راه عالی برای محک زدن یک سرویس کاهش DDoS است. در Gbps (گیگابیت بر ثانیه) یا Tbps (ترابیت در ثانیه) اندازه گیری می شود و مقیاس پذیری کلی موجود در طول حمله را نشان می دهد.

به عنوان مثال ، یک شبکه 1 Tbps از لحاظ تئوری می تواند تا همان حجم ترافیک حمله را مسدود کند ، منفی پهنای باند مورد نیاز برای حفظ عملکرد منظم خود.

اکثر خدمات کاهش مبتنی بر ابر ظرفیت شبکه چند Tbps را ارائه می دهند – چیزی فراتر از آنچه ممکن است هر مشتری شخصی نیاز داشته باشد. از طرف دیگر ، وسایل کاهش DDoS به صورت پیش فرض ، به طور پیش فرض پوشانده می شوند – هم به اندازه لوله شبکه سازمان و هم از نظر سخت افزار داخلی.

قابلیت های پردازش

علاوه بر ظرفیت توان ، باید به قابلیت های پردازش راه حل کاهش شما نیز توجه شود. آنها با نرخ حمل و نقل ، اندازه گیری شده در Mpps (میلیون ها بسته در ثانیه) ارائه می شوند.

امروزه حملات غیر معمول نیستند که به اوج های بالاتر از 50 مگابیت در ثانیه برسند ، و برخی از آنها به 200 – 300 مگابیت در ثانیه و بیشتر برسد. یک حمله بیش از قدرت پردازش ارائه دهنده کاهش می یابد دفاع خود را از بین می برد ، به همین دلیل باید در مورد چنین محدودیتی در خط مقدم تحقیق کنید.

زمان کاهش

پس از شناسایی یک حمله ، زمان کاهش آن بسیار مهم است. بیشتر حملات می توانند ظرف چند دقیقه هدف را از بین ببرند و روند بازیابی ساعت ها طول می کشد. تأثیر منفی چنین خرابی را می توان به طور بالقوه توسط سازمان شما برای هفته ها و ماه ها پیش احساس کرد.

با ارائه تشخیص پیشگیرانه ، راه حلهای همیشگی در اینجا مزیت مشخصی دارند. آنها تقریباً فوری را کاهش می دهند – غالباً در هنگام هرگونه حمله ، سازمان ها را از اولین سالو محافظت می کنند.

اما همه راه حلهای همیشه روشن چنین سطح پاسخگویی را ارائه نمی دهند. به همین دلیل است که علاوه بر آزمایش در حین آزمایش سرویس ، باید در هنگام ارزیابی یک ارائه دهنده محافظت از DDoS ، در لیست زمان قرار دهید.

تکنیک های کاهش لایه شبکه

ارائه دهندگان خدمات مختلف روش های متفاوتی برای محافظت در برابر لایه شبکه (لایه OSI 3-4) حملات DDoS دارند ، که برخی از آنها نسبت به سایرین ارجحیت کمتری دارند:

  • مسیریابی Null – مسیریابی Null (a.k.a. ، blackholing) کلیه ترافیک ها را به یک آدرس IP غیر وجود هدایت می کند. نکته منفی آن این است که به احتمال زیاد باعث ایجاد نسبت زیاد مثبت کاذب خواهد شد – دفع بازدید کنندگان مخرب و مشروع.
  • Sinkholing – این روش ترافیک مخرب را از هدف خود منحرف می کند ، معمولاً با استفاده از لیستی از آدرس های IP مخرب شناخته شده برای شناسایی ترافیک DDoS. اگرچه به همان اندازه مسیریابی غیرقابل تفکیک نیست ، sinkholing هنوز هم مستعد مثبت کاذب است زیرا IP IP های بات نت نیز می توانند توسط کاربران قانونی استفاده شوند. علاوه بر این ، sinkholing در برابر کلاهبرداری IP بی اثر است – یک ویژگی مشترک در حملات لایه شبکه.
  • شستشو – پیشرفت در کارد و چنگ زدن به دلخواه ، مسیریابی همه مسیرهای عبور و مرور از طریق یک سرویس امنیتی. بسته های شبکه مخرب بر اساس محتوای سرصفحه ، اندازه ، نوع ، نقطه مبدأ و غیره آنها شناسایی می شوند.

روشهای کاهش لایه کاربرد

حملات DDoS که بسیار مخفی تر از همتایان لایه شبکه خود هستند ، به طور معمول ترافیک کاربر مشروع را تقلید می کنند تا از اقدامات امنیتی خودداری کنند. برای متوقف کردن آنها ، راه حل شما باید توانایی نمایش ترافیک ورودی HTTP / S را داشته باشد ، و تمایز بین ربات های DDoS و بازدید کنندگان مشروع را داشته باشد.

در طول آزمایشات خدمات کاهش ، آزمایش لایه های دفاعی کاربرد آن ضروری است. فیلتر کارآمد علاوه بر IP و شماره سیستم خودمختار (ASN) علاوه بر اطلاعات IP و شماره سیستم خودمختار ، از بازرسی متری محتوای HTTP / S و الگوهای رفتاری نیز استفاده می کند. بسیاری از سرویس های امنیتی همچنین از انواع مختلفی از چالش ها استفاده می کنند ، مانند آزمایش هر درخواست برای توانایی آن در تجزیه JavaScript و نگه داشتن کوکی ها.

تأیید اینکه این سرویس از CAPTCHA ها ، ‘صفحات تأخیر’ و سایر روش های فیلتر کردن که فقط برای آزار بازدید کنندگان مشروع استفاده می کنند ، به همان اندازه مهم است.

حمایت از دارایی های ثانویه

زیرساختهای شبکه شما احتمالاً شامل تعدادی سرور و سایر داراییهای IT است. اینها ممکن است شامل سرورهای وب ، سرورهای DNS ، سرورهای ایمیل ، سرورهای FTP و سیستم عامل های backoffice CRM یا ERP باشد. در یک سناریوی حمله DDoS ، آنها همچنین ممکن است توسط یک فرد متخلف هدف قرار گیرند و باعث خرابی و یا فلج شدن کار شما شوند.

قیمت گذاری و SLA

قیمت گذاری برای خدمات کاهش DDoS از هزینه ماهانه مسطح تا پرداخت همانطور که می خواهید متغیر است.

حالت دوم مبتنی بر پهنای باند حمله تجمعی (به عنوان مثال ، 50 گیگابیت در ساعت در ماه) یا تعداد تجمعی ساعت ها تحت حمله (مثلاً 12 ساعت در ماه) است. از آنجا که حمله DDoS می تواند چند ساعت یا چند روز (و بعضی اوقات هفته ها) ادامه داشته باشد ، چنین هزینه هایی می تواند به سرعت از دست خارج شود. به همین دلیل است که معمولاً برای توافق های بلند مدت هزینه ماهانه مسطح ترجیح داده می شود.

توافق نامه سرویس ارائه دهنده کاهش (SLA) مورد توجه مهم دیگری است – گاهی اوقات بیشتر از قیمت. در اینجا ، حتماً آن را برای موارد زیر بررسی کنید:

  • تضمین Uptime – پنج نود (99.999٪) بهترین حالت را نشان می دهد. هر چیزی زیر سه نان (99.9٪) غیرقابل قبول است.
  • سطح حفاظت – همانطور که در اینجا شرح داده شده است ، SLA ارائه دهنده باید انواع حمله ، اندازه و مدت زمان پوشش را تعریف کند.
  • سطح خدمات پشتیبانی – SLA باید زمان پاسخ ارائه دهنده را برای مشکلات پشتیبانی بیان کند. اینها معمولاً بر اساس میزان شدت مشکل تعریف می شوند.

عمومی یا متخصص

طیف متنوعی از فناوری ها ، خدمات و ارائه دهندگان بازار کاهش DDoS را تشکیل می دهند.

شرکت های تخصصی با تمرکز امنیتی راه حل های پیشرفته تری ارائه می دهند – بطور معمول با متخصصانی که به تحقیقات امنیتی مداوم و نظارت بصورت شبانه روزی بردارهای حمله جدید متعهد هستند.

متخصصان عمومی ، مانند ISP ها و ارائه دهندگان میزبان ، راه حل های اصلی کاهش را به عنوان ‘افزودنی’ برای خدمات اصلی خود ، با هدف ارتقاء آنها به مشتریان موجود ، ارائه می دهند.

خدمات کاهش ارائه شده توسط ژنرالیستها ممکن است برای حملات کوچک و ساده کافی باشد. اما اگر برنامه های آنلاین شما برای انجام فعالیتهای روزمره تجاری ضروری است ، ارائه دهنده تخصصی بهترین و کمترین انتخاب ریسک برای سازمان شما است.

منبع

نوشتن نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *