Jak udaremnić ataki DDoS?


Jak udaremnić ataki DDoS?

Kiedy haker wysyła atak na Twoją stronę internetową lub usługę, w sieci zachodzi kilka zjawisk. W tym przewodniku opisujemy, jakie kroki należy podjąć w celu mitygacji ataku DDoS.

Stop_DDOS_step
Mitigating_normal_state

Krok 1: Zwyczajny stan funkcjonowania serwera (bez ataku)

Kiedy serwer znajduje się w zwyczajnym stanie funkcjonowania, strony WWW lub usługi są w pełni dostępne. Z operacyjnego punktu widzenia warto na tym etapie odnotować poziom ruchu sieciowego, który dociera do Twoich usług (na przykład: przepustowość sieci w bps, pps, liczbę zapytań na sekundę lub obciążenie infrastruktury).

Możesz również skonfigurować specjalne reguły zapory sieciowej Edge Network Firewall, które będą włączane automatycznie w przypadku wystąpienia ataku. Reguły te pozwalają odciążyć program iptable serwera i zapobiec wysyceniu łącza. Powinny być one co jakiś czas weryfikowane.

Dobrym pomysłem jest ponadto korzystanie z dashboardu monitorującego usługi nie tylko pod względem technicznym, ale także biznesowym. Może to być przydatne w czasie ataku, gdyż daje ogląd sytuacji z perspektywy klienta.

Krok 2: Rozpoczyna się atak

Gdy atak DDoS zostaje uruchomiony przy użyciu botnetu złożonego ze skoordynowanych urządzeń, pierwszym ogniwem, w którym może zostać on zauważony jest punkt obecności (Point of Presence, PoP). PoP to miejsce, w którym OVHcloud łączy się z routerami innych operatorów, aby uzyskać dostęp do Internetu. Ruch wywołany przez atak trafia stamtąd do naszej globalnej sieci szkieletowej, a dzięki bardzo dużej przepustowości zazwyczaj żadne łącze nie zostaje wysycone.

Następnie cyberatak dociera do serwera, który zaczyna go przetwarzać. O nietypowej aktywności świadczy wysokie zużycie zasobów, niska wydajność sieci spowodowana zwiększonym ruchem internetowym lub pogorszenie jakości usług. Jednocześnie analiza ruchu realizowana przez system Anty-DDoS powinna doprowadzić do wykrycia ataku i uruchomienia mitygacji. W następstwie uruchomione zostaną również reguły Edge Network Firewall dla danego adresu IP, jeśli nie zostały one wcześniej wymuszone. W przypadku wielu krótkich ataków, które powodują każdorazowe uruchomienie VAC, można rozważyć wydłużenie limitu czasu mitygacji za pomocą REST API.

Jeśli część Twojej infrastruktury znajduje się poza siecią OVHcloud, możesz użyć narzędzi innych podmiotów, aby udaremnić atak. Możesz także spróbować skontaktować się z NOC (Network Operations Center) i podać szczegóły dotyczące ataku, skalować usługi, ograniczyć szybkość transmisji lub aktywować przycisk „Moje serwery stały się celem ataku”, o ile taki przycisk jest dostępny.

Mitigating_attack_starts
Mitigates_attack

Krok 3: Anty-DDoS (VAC) mityguje atak

Po wykryciu ataku mitygacja rozpoczyna się w ciągu kilku sekund. Ruch przychodzący do serwera jest „wchłaniany” przez nasze węzły VAC. Atak blokowany jest wówczas niezależnie od jego rozmiaru czy czasu trwania. Pożądany ruch nadal płynie i nieprzerwanie dociera do serwera. Proces ten, zwany „automitygacją”, jest w pełni zarządzany przez OVHcloud. Powiadomimy Cię o tym fakcie (e-mailem). Można to również zaobserwować podczas analizy ścieżki pakietów kierowanych do serwera lub usługi (za pomocą mtr lub traceroute), pojawią się „etapy VAC Anty-DDoS”.

Krok 4: Koniec ataku DDoS

Uruchomienie ataku DDoS jest kosztowne, a w przypadku niepowodzenia - nieopłacalne. Typowy atak trwa od 10 do 12 minut. Anty-DDoS wyłącza się automatycznie po zakończeniu ataku lub po upływie zdefiniowanego, indywidualnie określonego limitu czasu i pozostaje w stanie gotowości do obrony przed kolejnym atakiem.

Mitigating_attack_end

Jesteś gotowy?

Załóż konto i zacznij od razu korzystać z rozwiązania.

FAQ

Przed jakimi atakami chroni infrastruktura Anty-DDoS od OVHcloud?

Stragegia cyberbezpieczeństwa zakłada walkę z wieloma zagrożeniami. Nasza infrastruktura Anty-DDoS jest przygotowana do odparcia ataków, takich jak rozproszona odmowa dostępu do usługi, zalew pakietów (w tym SYN flood) spoofing, zwielokrotnienie i odbicie, etc. Większości z tych ataków nie możesz filtrować samodzielnie, ponieważ mogą one wysycić łącze sieciowe przed serwerem.