4 Kernetaktikker for at forhindre DDoS-angreb og holde din netværksinfrastruktur sikker
Hvad er Distributed Denial of Service (DDoS), og hvordan kan vi beskytte netværksmiljøet? | Artikel
Guarding Against Chaos: Strategies to Shield Networks from DDoS Assaults
Distributed Denial of Service (DDoS) er som en trafikprop på internetmotorvejen. Forestil dig, at du kører din bil på en befærdet vej, men tusindvis af andre biler begynder pludselig at myldre ind på den samme vej, hvilket tilstopper banerne og forårsager køling. I den digitale verden er det, hvad der sker under et DDoS-angreb. I stedet for biler er det en strøm af datapakker, der overvælder et websted eller en onlinetjeneste, hvilket gør det utilgængeligt for legitime brugere. Hackere orkestrerer disse angreb ved at bruge netværk af kompromitterede computere, kendt som botnets, til at oversvømme målet med en overvældende mængde trafik.
For at beskytte mod DDoS-angreb anvender netværksmiljøer forskellige strategier, såsom implementering af dedikerede DDoS-reduktionsløsninger, brug af firewalls og systemer til forebyggelse af indtrængen og samarbejde med internetudbydere (ISP'er) for at bortfiltrere ondsindet trafik, før den når målet. Derudover kan implementering af redundans og failover-mekanismer hjælpe med at sikre, at kritiske tjenester forbliver tilgængelige selv under et angreb. Samlet set involverer DDoS-beskyttelse en kombination af proaktive foranstaltninger til at detektere og afbøde angreb i realtid, hvilket beskytter netværksmiljøer mod forstyrrelser og nedetid.
Der er fire faser med at afbøde et DDoS-angreb.
Hver fase skal være på plads og funktionel for at forsvare sig mod angrebet.
- Detektion – for at stoppe et distribueret angreb skal en hjemmeside efterfølgende skelne et angreb fra en høj mængde almindelig trafik, hvis en produktudgivelse eller anden meddelelse har en hjemmeside oversvømmet med lovlige nye besøgende. Den sidste ting webstedet ønsker at gøre, er at drosle dem eller på anden måde stoppe dem fra at se indholdet på webstedet. IP-omdømme, almindelige angrebsmønstre og tidligere data hjælper med korrekt detektion.
- Respons – i dette trin reagerer DDoS-beskyttelsesnetværket på en indkommende identificeret trussel ved intelligent at droppe ondsindet bottrafik og absorbere resten af datatrafikken. Ved at bruge WAF-sideregler for applikationslagsangreb (L7) eller en anden filtreringsproces til at håndtere angreb på lavere niveau (L3/L4) såsom mem-cached eller NTP-forstærkning, kan et netværk afbøde forsøget på afbrydelse.
- Routing - Ved intelligent at dirigere trafik vil en effektiv DDoS-afbødningsløsning bryde den resterende trafik i håndterbare bidder, der forhindrer afvisning af service.
- Tilpasning – Et godt netværk analyserer trafikken for mønstre som f.eks. gentagelse af stødende IP-blokeringer, særlige angreb fra bestemte lande eller misbrug af specifikke protokoller. En beskyttelsestjeneste kan hærde sig mod fremtidige angreb ved at tilpasse sig angrebstilstande.
Kernefiltreringsteknikker, der understøtter DDoS-begrænsning:
- Connection Tracking
- IP-omdømmeliste
- Sortlisting og hvidlisting
- Takstbegrænsning ved kanten
- Tilstrækkelig til miljøet Next Generation Firewall med smart politik
Valg af DDoS-afbødningstjeneste
Traditionelle DDoS-reduktionsløsninger involverede køb af live-udstyr på stedet og filtrering af indgående trafik. Denne tilgang består i at købe og vedligeholde dyrt udstyr og er afhængig af et netværk, der er i stand til at absorbere et angreb. Hvis et DDoS-angreb er stort nok, kan det fjerne netværksinfrastrukturen opstrøms, hvilket forhindrer enhver løsning på stedet i at være produktiv. Når du køber en cloud-baseret DDoS-reduktionstjeneste, skal du evaluere specifikke egenskaber.
- Skalerbarhed – en praktisk løsning skal kunne tilpasse sig behovene i en voksende virksomhed og reagere på den stadigt stigende størrelse af DDoS-angreb. Angreb større end 1 TB pr. sekund (TBPS) har fundet sted, og der er intet, der tyder på, at tendensen i angrebstrafikstørrelse er nedadgående. Cloudflares netværk kan håndtere DDoS-angreb 10 gange større, end der nogensinde er sket.
- Fleksibilitet – oprettelse af ad hoc-politikker og -mønstre gør det muligt for en webejendom hurtigt at tilpasse sig indkommende trusler. Evnen til at implementere sideregler og udfylde disse ændringer på tværs af hele netværket er en kritisk funktion i at holde et websted online under et angreb.
- Pålidelighed – ligesom en sikkerhedssele er DDoS-beskyttelse noget, du kun har brug for, når du har brug for det, men når den tid kommer, må den hellere være funktionel. En DDoS-løsnings pålidelighed er afgørende for enhver beskyttelsesstrategis succes. Sørg for, at tjenesten har høje oppetidsrater, og at ingeniører om webstedets pålidelighed arbejder 24 timer i døgnet for at holde netværket online og identificere nye trusler. Redundans, fail-over og et ekspansivt netværk af datacentre bør være centralt i platformens strategi.
- Netværksstørrelse – DDoS-angreb har mønstre på tværs af internettet, da bestemte protokoller og angrebsvektorer ændrer sig over tid. Et stort netværk med omfattende dataoverførsel gør det muligt for en DDoS-reducerende udbyder at analysere og reagere hurtigt og effektivt og ofte stoppe angreb, før de opstår. Cloudflares netværk kører 10% af internettet, hvilket skaber en fordel ved at analysere data fra angrebstrafik over hele kloden.
Her er 10x almindelige DDoS-angreb og måder at beskytte mod dem:
- Volumetriske angreb: Oversvømmer netværket med en stor mængde trafik.
Beskyttelse: Implementer trafikfiltrering og hastighedsbegrænsning for at afbøde virkningen af store trafikmængder. Anvend et indholdsleveringsnetværk (CDN) til distribueret trafikhåndtering. - UDP-oversvømmelser: Oversvømmer netværket med UDP-pakker (User Datagram Protocol).
Beskyttelse: Implementer stateful inspektionsfirewalls eller intrusion prevention systems (IPS) for at bortfiltrere illegitim UDP-trafik. Brug UDP-oversvømmelsesbeskyttelsesfunktioner i netværksenheder. - SYN Oversvømmelser: Udnytter TCP-håndtrykprocessen ved at sende en strøm af SYN-anmodninger.
Beskyttelse: Konfigurer SYN-cookies eller implementer SYN-oversvømmelsesbeskyttelsesmekanismer i firewalls og routere. Brug hastighedsbegrænsning til at kontrollere antallet af indgående forbindelsesanmodninger. - HTTP-oversvømmelser: Overvælder webservere med et stort antal HTTP-anmodninger.
Beskyttelse: Implementer webapplikationsfirewalls (WAF'er) for at bortfiltrere ondsindet HTTP-trafik. Brug hastighedsbegrænsning og CAPTCHA-udfordringer til at identificere og blokere mistænkelige anmodninger. - DNS-forstærkning: Udnytter åbne DNS-servere til at forstærke trafik rettet mod et mål.
Beskyttelse: Deaktiver åbne DNS-resolvere eller konfigurer adgangskontrol for at begrænse forespørgsler. Implementer DNS-hastighedsbegrænsning og brug DNS-filtreringstjenester til at blokere ondsindede anmodninger. - NTP-forstærkning: Misbruger NTP-servere (Network Time Protocol) til at forstærke trafikken mod et mål.
Beskyttelse: Deaktiver ubrugte NTP-tjenester, eller begræns kun adgangen til betroede klienter. Implementer hastighedsbegrænsning og pakkefiltrering for at blokere NTP-forstærkningsangreb. - SSDP-refleksion: Udnytter Simple Service Discovery Protocol (SSDP) til at forstærke trafikken mod et mål.
Beskyttelse: Deaktiver SSDP-tjenester på sårbare enheder, eller implementer adgangskontrol for at begrænse SSDP-trafik. Brug pakkefiltrering og hastighedsbegrænsning til at blokere SSDP-reflektionsangreb. - ICMP-oversvømmelser: Oversvømmer netværket med Internet Control Message Protocol (ICMP) ekkoanmodninger.
Beskyttelse: Implementer ICMP-hastighedsbegrænsning og -filtrering for at blokere for stor ICMP-trafik. Konfigurer routere og firewalls til at slippe ICMP-pakker fra mistænkelige kilder. - slowloris: Udnytter serverens maksimale samtidige forbindelsesgrænse ved at sende delvise HTTP-anmodninger og binde serverressourcer.
Beskyttelse: Konfigurer webservere for at begrænse det maksimale antal samtidige forbindelser pr. klient. Implementer timeouts for anmodninger og begrænsning af forbindelseshastigheden for at opdage og blokere langsomme HTTP-angreb. - Angreb på applikationslag: Målret mod specifikke applikationer eller tjenester med store anmodninger eller ressourcekrævende angreb.
Beskyttelse: Brug webapplikationsfirewalls (WAF'er) til at opdage og blokere skadelig programlagstrafik. Implementer hastighedsbegrænsning og anomalidetektion for at identificere og afbøde applikationslagsangreb i realtid. Opdater og patch software regelmæssigt for at løse kendte sårbarheder, som angribere kan bedrift.
Nogle værdifulde indlæg inden for emnet
Hvordan kan du beskytte hele dit netværk mod cyberangreb?
Hvad er en firewall? Hvad er afgørende ved Enterprise Firewall?
10 bedste netværksdesign bedste praksis for din infrastruktur
DDoS-beskyttelse med Cisco Firepower - Radware
Se denne video for at blive fortrolig med Radware DDoS-beskyttelses- og afbødningsmodulet på Cisco Firepower NGFW. Videoen demonstrerer, hvordan Firepower registrerer zero-day netværks- og applikations-DDoS-angreb på få sekunder og blokerer dem nøjagtigt uden at blokere legitim brugertrafik.
Forebyggelse af DDoS-angreb | Netværksinfrastruktursikkerhed | Beskyt mod DDoS | DDoS-forsvarsstrategier | Beskyt netværk fra DDoS | Undgå DDoS-angreb | Netværkssikkerhedsforanstaltninger | DDoS afbødningstaktik | Sikker netværksinfrastruktur | Forsvar mod DDoS-angreb
Hvordan kommer man i gang med at udnytte AI?
Ny innovativ AI-teknologi kan være overvældende - vi kan hjælpe dig her! Ved at bruge vores AI-løsninger til at udtrække, forstå, analysere, gennemgå, sammenligne, forklare og fortolke information fra de mest komplekse, langvarige dokumenter, kan vi tage dig på en ny vej, guide dig, vise dig, hvordan det gøres, og støtte dig hele vejen.
Start din GRATIS prøveperiode! Intet kreditkort påkrævet, fuld adgang til vores cloud-software, annuller til enhver tid.
Vi tilbyder skræddersyede AI-løsninger'Sammenligning af flere dokumenter' og 'Vis højdepunkter'
Planlæg en GRATIS demo!
Nu ved du, hvordan det gøres, start!
Automatisering til finansielle og juridiske sektorer, der udnytter AI/ML (Video)
Se vores casestudier og andre stillinger for at finde ud af mere:
Hvordan kan du beskytte hele dit netværk mod cyberangreb?
Web Application Firewall (WAF) - Shield for Application
F5 WAF på AWS; innovative løsninger til sikring af webapplikationer
Sagen om multifaktorgodkendelse, der stopper næsten 100 % af automatiserede angreb
False Positive, False Negative, True Positive og True Negative
#ddos #detektion #respons #netværk #infrastruktur
AI SaaS på tværs af domæner, casestudier: IT, Financial Services, Forsikring, Underwriting Aktuar, Pharmaceutical, Industriel fremstilling, Energi, Politikker, Medier og underholdning, Turisme, Rekruttering, Luftfart, Medicinal, Telekommunikation, Advokatfirmaer, Mad og drikkevarer og Automotive.
Daniel Czarnecki
Blogindlægget, der oprindeligt blev skrevet på engelsk, gennemgik en magisk metamorfose til arabisk, kinesisk, dansk, hollandsk, finsk, fransk, tysk, hindi, ungarsk, italiensk, japansk, polsk, portugisisk, spansk, svensk og tyrkisk sprog. Hvis noget subtilt indhold mistede sin gnist, lad os kalde den originale engelske gnist tilbage.