Hoe worden DDoS-aanvallen gestopt?


Hoe worden DDoS-aanvallen gestopt?

Als een hacker een aanval aan uw webpagina of service inzet, gebeuren diverse zaken op het netwerk. Deze gids beschrijft stap voor stap alle acties die tijdens de DDoS-aanvalsmitigatie plaatsvinden.

Stop_DDOS_step
Mitigating_normal_state

Stap 1: Normale status (geen aanval)

In wat normale status wordt genoemd, zijn websites of services volledig beschikbaar. Vanuit operationeel oogpunt is het goed om het niveau van netwerkverkeer dat in deze status uw diensten bereikt (bijvoorbeeld: netwerkbandbreedte in bps, pps, verzoeken-per-seconde of infrastructuurbelasting) vast te leggen, zodat u de beginsituatie weet.

Klanten kunnen ook speciale regels voor de Edge Network Firewall configureren. Deze worden automatisch actief als een aanval zou plaatsvinden. Deze regels kunnen worden gebruikt om iptables van een server te verplaatsen en te verhinderen dat de serververbinding verzadigd raakt. Deze regels kunt u beter af en toe controleren.

Het is ook een goed idee om een dashboard te hebben dat uw diensten niet alleen vanuit een technisch oogpunt, maar ook vanuit zakelijk oogpunt bewaakt. Dit kan nuttig zijn om tijdens een aanval te bekijken wat klanten ervaren.

Stap 2: De aanval begint

Wanneer een distributed-denial-of-service-aanval vanaf een botnet van gekoppelde apparaten wordt ingezet, kan dit als eerste worden opgemerkt bij een Point-of-Presence (PoP). Dit is de plek waar OVHcloud verbinding legt met de routers van andere operators om toegang tot het internet te krijgen. Van daar komt aanvallend verkeer ons wereldwijde backbone-netwerk binnen. Dankzij onze zeer hoge bandbreedtecapaciteit raken de verbindingen gewoonlijk niet verzadigd.

Daarna bereikt de cyberaanval de server, die het begint te verwerken. Tekenen van ongewone activiteit zijn hoog resourcesverbruik, lage netwerkprestaties door toegenomen internetverkeer of een verslechtering van de service. Tegelijkertijd moet de verkeersanalyse van de Anti-DDoS-infrastructuur van OVHcloud de DDoS-aanval detecteren en mitigatie activeren. Dit zal ook de regels van de Edge Network Firewall voor dergelijke IP-adressen activeren, als deze al niet permanent actief waren. Als u veel korte aanvallen ondervindt die iedere keer VAC activeren, dan kunt u overwegen om een langere time-out voor mitigatie toe te voegen via onze REST API.

Als een deel van uw infrastructuur zich buiten het OVHcloud-netwerk bevindt, moet u mogelijk tools van derden gebruiken om een aanval te beperken. U kunt ook proberen om contact op te nemen met het NOC en aanvalsdetails te verstrekken, uw diensten op te schalen, snelheden te beperken of, indien beschikbaar, de knop "Ik word aangevallen" te activeren.

Mitigating_attack_starts
Mitigates_attack

Stap 3: Anti-DDoS (VAC) mitigeert de aanval

Zodra een aanval wordt gedetecteerd, begint de mitigatie binnen enkele seconden. Het binnenkomende verkeer van de server wordt ‘weggezogen’ door onze VAC-nodes. De aanval wordt dan geblokkeerd, zonder enige beperking qua volume of duur. Legitiem verkeer blijft doorstromen en bereikt de server. Dit proces wordt ‘auto-mitigation’ genoemd en wordt volledig beheerd door OVHcloud. We zullen u van de gebeurtenis op de hoogte stellen (per e-mail). Het kan ook worden gevolgd door het pad te analyseren van packets naar uw server of service (met behulp van mtr of traceroute): er zullen ‘anti-DDoS vac stages’ verschijnen.

Stap 4: Einde DDoS-aanval

Het starten van DDoS-aanvallen is arbeidsintensief en het is niet kosteneffectief als ze mislukken. Een typische aanval duurt 10 tot 12 minuten. Het anti-DDoS-systeem wordt automatisch gedeactiveerd als een aanval ten einde is of na een gedefinieerde, veranderbare time-out. Het blijft stand-by staan, klaar om een volgende aanval af te slaan.

Mitigating_attack_end

Klaar om te beginnen?

Maak een account aan en start uw services binnen een paar minuten.

FAQ

Waartegen kan de Anti-DDoS-infrastructuur verdedigen?

Cyberveiligheid beslaat een groot aantal bedreigingen. Onze Anti-DDoS-infrastructuur is bedoeld voor de belangrijkste hiervan: Distributed-Denial-of-Service-aanvallen, packet-floods (met inbegrip van syn flood), spoofing, malformed- of amplificatie-aanvallen, enz. De meeste hiervan kunt u zelf niet filteren, omdat ze de netwerkverbinding voor uw server kunnen verzadigen.