Cum să opriți un atac DDOS – include instrumente esențiale

Ce este un atac DDoS?

Un atac DDoS este un atac cibernetic care utilizează computere exploatate și dispozitive IoT pentru a trimite un val de trafic către o rețea. Un volum mare de trafic congestionează rețeaua și oprește dispozitivele legitime să nu poată comunica între ele. După ce rețeaua este prea congestionată, utilizatorii nu pot accesa internetul.

Se estimează că atacurile DDoS costă între 20.000 $ – 40.000 $ pe oră. Adoptarea unei abordări preventive în combaterea atacurilor DDoS este esențială pentru a rămâne online. Înainte de a privi cum să oprim un atac DDoS, trebuie mai întâi să prezentăm care este un atac DDoS.

Lucrul înspăimântător despre atacurile DDoS este că li se poate întâmpla oricui. Chiar și organizațiile multinaționale cu profesioniști dedicați în domeniul securității cibernetice nu sunt imune să fie atacate.

Există nenumărate exemple de vânzători mari care sunt deraiați de un atacator oportunist:

• În 28 februarie [year], Github a fost atacat de un gigantic atac DDoS care a atins vârful la 1,35 Tbs
• În data de 30 septembrie [year], un atac DDoS a eliminat Loteria Națională din Marea Britanie offline
• Pe 21 octombrie 2016, Dyn a fost atacat de o botnet Mirar care a trimis trafic peste Port 53
• Pe 31 decembrie 2015, site-urile BBC, inclusiv BBC iPlayer, au fost perturbate de un atac DDoS de 602 Gbps

Dacă sunteți aici pentru instrumente și nu aveți timp să citiți întreaga postare, iată lista noastră sumară a celor mai bune instrumente pentru a opri atacurile DDoS:

• Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT) Sistem de prevenire a intruziunilor bazat pe gazdă, care va opri accesul la sursele detectate pentru a efectua un atac DDoS. Se execută pe Windows Server.
• Firewall pentru aplicația site-ului Sucuri (ÎNVĂȚA MAI MULTE) Un serviciu de bord care vă protejează serverele web stând în fața lor și filtrând activitatea rău intenționată de traficul general.
• Paessler PRTG Network Monitor (PROB GRATUIT) O rețea integrală, server și monitor pentru aplicații care include analizoare de trafic care alertează atunci când apar volume de trafic excesive. Se execută pe Windows Server.

Cum funcționează un atac DDoS?

Pentru a stabili o rețea offline, atacatorul trebuie să folosească un grup de dispozitive pentru a lansa un atac. Pentru a face acest lucru, atacatorul își propune să infecteze o rețea de calculatoare cu programe software dăunătoare. Rețeaua de calculatoare infectate formează o botnet. Botnetul este o rețea de dispozitive aflate sub controlul atacatorului pe care atacatorul îl poate folosi pentru a inunda o rețea cu trafic.

Dacă se transmite suficient trafic către rețea, acesta se scoate din acțiune. Raportul DDoSTrends al Verisign a constatat că mărimea medie a atacului DDoS maximă este de 11,2 Gbps. Având în vedere daunele pe care le poate provoca un atac de succes, este important ca întreprinderile să se poată proteja de aceste atacuri.

De ce lansează oamenii atacuri DDoS?

Din păcate, există multe motive pentru care indivizii și grupurile efectuează atacuri DDoS. Unii atacatori sunt motivați prin eliminarea concurenților în timp ce alții sunt motivați din motive politice. O mână doar caută să creeze probleme de dragul ei.

Nu este neobișnuit ca persoanele fizice să plătească pentru cybercriminali să lanseze o botnet în numele lor. Deși există multe motive pentru atacurile DDoS, rezultatul final este același; întreruperea serviciului și timpul oprit.

În cele din urmă, a înțelege de ce atacatorii lansează atacuri nu este la fel de important ca să știi cum să oprești un atac. Procedurile de securitate cibernetică bine definite vă vor oferi șansa să vă apărați indiferent de cine încearcă să vă atacă și v-ar putea ajuta să rămâneți în picioare dacă va veni timpul.

Tipuri de atacuri DDoS

Apărarea împotriva atacurilor DDoS începe prin dezvoltarea conștientizării tipurilor de atacuri DDoS pe care le poți întâlni. În general, atacurile DDoS pot fi împărțite în trei tipuri principale; atacuri bazate pe volum, atacuri de protocol și aplicații în straturi de atac. Fiecare dintre aceste atacuri funcționează într-un mod diferit:

Atacuri bazate pe volum

Atacurile bazate pe volum sunt un tip de atac DDoS care se bazează pe volum pentru a perturba un serviciu. Aceste tipuri de atacuri includ atacuri de inundații de pachete precum Inundații UDP, și Inundațiile ICMP. În cazul unui atac de inundație UDP, atacatorul trimite pachete UDP către porturi aleatorii de pe un computer sau rețea. Gazda continuă să caute aplicația ascultând în port, dar nu găsește nimic. Rezultatul final este o rețea congestionată.

Atacuri de protocol

Atacurile de protocol sunt atacuri DDoS care folosesc protocoale pentru monopolizarea resurselor serverului. Atacurile protocolare comune sunt Ping-ul morții, SYN inundații și atacuri de droguri. În cazul unui Inundații SYN, atacatorul trimite mesaje SYN spoofed pentru a iniția o strângere de mână TCP cu o mașină fără a închide conexiunea.

Atacuri de strat de aplicație

Atacurile stratului de aplicații vizează stratul superior al modelului OSI, în încercarea de a utiliza consumatorul și resursele de rețea. Atacurile stratului de aplicație sunt populare, deoarece atacatorul trebuie să ia doar un grad mic de lățime de bandă pentru a avea un efect mare. Slow-rata și atacuri joase și lente aSunt tipuri comune de atacuri în straturi de aplicații pe care le întâlnesc întreprinderile. Un atac scăzut și lent este acela în care traficul este utilizat pentru a viza aplicațiile sau resursele serverului.

Strategia de prevenire a atacului DDoS

După ce știți ce este un atac DDoS, puteți începe să proiectați o strategie pentru a preveni atacurile viitoare. O strategie eficientă DDoSprevention are mai multe componente de bază:

• Un instrument de analiză jurnal
• Un firewall de aplicație de site web
• Un analizator NetFlow
• Închiriați în casă DDoSexperts

DDoSPrevention Tool # 1: Detectarea atacurilor cu instrumentele de gestionare a jurnalului

Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT)

Apararea impotriva atacurilor DDoS inainte de a avea loc inseamna vizibilitate. Dacă aveți transparență în datele dvs. de jurnal vă arată ce se întâmplă în mediul dvs. local. Manager de evenimente de securitate SolarWinds oferă o soluție de gestionare a jurnalului în timp real care arată datele jurnalului în timp real astfel încât să puteți vedea activitate neobișnuită în rețeaua dvs..

Instrumentul are, de asemenea, alerte cu răspunsuri automate pentru a opri atacurile DDoS după ce au fost lansate. Pentru a vă asigura că nu sunteți vulnerabil la actorii răi cunoscuți, Manager de evenimente de securitate SolarWinds scanează listele dispozitivelor dăunătoare cunoscute și pot creează automat o alertă sau blochează direct IP-ul.

Răspunsurile automate sunt eficiente la reducerea expunerii dvs. la atacatori prin reducerea timpului de răspuns. Cu cât timpul de răspuns este mai mic, cu atât este mai capabil să minimizezi daunele unui atac.

Dacă un atac DDoS trece prin apărarea ta, poți folosi analiza cauzelor rădăcină pentru a vedea de unde s-a produs atacul. Analiza cauzelor principale vă ajută să modificați procedurile de securitate pentru a vă asigura că atacurile viitoare nu vă vor afecta serviciul. Puteți descărca proba gratuită aici.

Manager de evenimente de securitate SolarWinds Descărcați încercarea GRATUITĂ de 30 de zile

Instrumentul de protecție DDoS nr. 2: protejarea unui site web de un atac DDoS cu un WAF

Firewall pentru aplicația site-ului Sucuri (ÎNVĂȚAȚI MAI MULTE)

A Firewall pentru aplicații web (WAF) ar trebui să fie în centrul strategiei de apărare DDoS. Un firewall de aplicație web filtrează și monitorizează traficul HTTP pentru a găsi activitate dăunătoare. Odată recunoscut traficul, firewallul îl poate bloca și lista neagră a IP-urilor mașinilor implicate.

Firewall-urile aplicațiilor web sunt esențiale pentru blocarea traficului defectuos dintr-un atac DDoS care ar putea pune site-ul dvs. offline. WAF-ul lui Sucuri este un firewall standard pentru aplicații web care vine cu un antivirus al site-ului. Instrumentul a fost conceput special pentru apărați împotriva atacurilor DDoS asupra straturilor 3,4, și 7 a unei rețele.

Pentru a vă apăra împotriva atacatorilor, Sucuri vă permite să configurați seturi de reguli personalizate pentru a filtra traficul suspect și pentru a bloca botnetele de a încerca să vă consumă lățimea de bandă. Ca bonus suplimentar, Sucuri se poate bloca și malware-ului, atacuri de zile zero și forța brută se apucă.

Planuri Firewall pentru aplicații web Sucuri & Detalii

Instrumentul de protecție DDoS # 3: Utilizarea unui analizor NetFlow pentru a capta trafic suspect

Paessler PRTG Network Monitor (PROB GRATUIT)

Cel mai mare risc pentru rețeaua dvs. este volumul traficului trimis de un atacator. Cantitatea de trafic pe care o poate reuni un Botnet determină gravitatea atacului. Analizoare NetFlow sunt excelente la ridicarea vârfurilor de trafic care indică un atac.

Analizoarele NetFlow ca. Paessler PRTG Network Monitor vă poate arăta fluctuațiile traficului de rețea și vă pot arăta când sunteți atacat. NetFlow V5, NetFlow V9, și Senzori IPFIX vă poate arăta dacă traficul rău intenționat vă este trimis. Există grafice ale datelor dvs. de trafic în direct în care puteți căuta vârfuri neobișnuite de trafic.

Puteți chiar configurați pragurile de alertă astfel încât să vi se trimită o notificare dacă traficul atinge un anumit nivel. A avea transparență în traficul de rețea vă ajută să săriți într-un răspuns imediat ce un atac va ajunge în rețea.

Paessler PRTG Network Monitor Descărcați încercarea GRATUITĂ pentru 30 de zile

Angajare în experți House DDoS sau un furnizor de securitate pentru aplicații manager

Dacă aveți bugetul pe care să-l permiteți, angajarea unor experți în securitate cibernetică pentru combaterea atacurilor DDoS poate fi, de asemenea, extrem de benefică. Profesioniștii din domeniul securității cibernetice vor fi familiarizați cu tipurile de atacuri pe care le utilizează ciberneticii și vor putea identifica locul în care organizația dvs. este vulnerabilă. Profesioniștii în domeniul securității cibernetice cunoscători sunt deosebit de utili pentru a face față atacurilor mai dificile ale stratului 7, la care atacatorii apelează din ce în ce mai mult.

Cu toate acestea, dacă nu vă puteți permite personalul intern, puteți obține rezultate bune investind într-un furnizor de securitate gestionat, care asigură monitorizarea continuă a traficului și testarea penetrării.

Lucrul cu un furnizor de securitate gestionat va oferi în continuare avantajul îndrumării experților, dar fără o parte din cheltuielile generale care vin cu angajarea unui angajat full-time. Un furnizor de securitate gestionat este o opțiune excelentă pentru accesarea unei expertize suplimentare, rămânând rentabil.

Alte bune practici pentru tratarea atacurilor DDoS

Există o serie de bune practici pe care le puteți încorpora pentru a lucra alături de măsurile de apărare. Acestea sunt următoarele:

• Lățimea de bandă a serverului de supraprovisionare
• Utilizați o rețea de distribuție de conținut (CDN)
• Protejați-vă rețeaua

Lățimea de bandă a serverului de supraprovisionare

Supraprovisionarea este practica de a achiziționa mai multă lățime de bandă a serverului decât aveți nevoie pentru operațiunile cotidiene. Având o capacitate mai mare de lățime de bandă vă oferă mai multă rezistență împotriva unui atac. Motivul este că atacatorul trebuie să trimită un volum mai mare de trafic pentru a vă perturba serviciul. Supravegherea poate ajuta la combaterea unor atacuri de volum mai mic.

Utilizați un CDN

Atacurile DDoS funcționează vizând serverul dvs. de găzduire, dar dacă vă răspândiți datele pe mai multe servere globale, există niciun singur punct de eșec. Dacă nu aveți un singur punct de eșec înseamnă că nu puteți fi deconectat de un singur server, deoarece veți avea în continuare alte servere disponibile. Un CDN este o metodă excelentă pentru a rămâne rezistent împotriva atacurilor.

Protejați-vă rețeaua

A se asigura că rețeaua dvs. este protejată de atacatori este esențială pentru evitarea unui atac. Pentru a vă păstra rețeaua în siguranță, nu trebuie doar să vă scanați infrastructura de rețea, ci și să folosiți un sistem de detectare a intruziunilor alături de soluția de gestionare a jurnalului pentru a căuta vulnerabilități.

Antrenează-ți angajații

Educarea angajaților cu privire la pericolele cyberattack-urilor și modul de securizare a dispozitivelor de rețea este esențială pentru a preveni deteriorarea rețelei. Angajații tăi vor fi oamenii de pe teren când se va întâmpla un atac. Instruirea lor pentru a detecta malware sau activitatea suspectă și cum să reacționeze la un atac va reduce la minimum daunele potențiale ale unui atac.

Sfaturi pentru a răspunde la un atac DDoS

Chiar și cu cea mai bună strategie din lume, nu puteți împiedica un atac DDoS să alunece pe net. Este vital să aveți un plan pentru a răspunde după ce știți că se întâmplă un atac. Modul în care răspundeți odată ce un atac va trăi va determina cât de mult este făcut și cât timp sunteți offline. Iată câteva sfaturi pentru a răspunde la un atac DDoS:

1. Cunoaște semnele unui atac

Primul lucru de care ai nevoie pentru un răspuns prompt la un atac este să te educi pe tine și pe angajații tăi asupra semnelor unui atac. Dispozitivele nu pot accesa internetul? Există o grămadă de trafic neobișnuit în rețea? Puterea de a detecta semnele de atac ale unui atac vă va grăbi răspunsurile. Angajații nu pot intra în acțiune pentru a aborda un atac dacă nu recunosc un atac!

Un instrument de monitorizare a lățimii de bandă poate fi esențial pentru a căuta cantități mari de trafic în rețea. Aveți o fereastră mică de timp înainte ca serverul dvs. să fie copleșit pentru a șterge jurnalele serverului pentru a vă ajuta să rămâneți online.

1. Diagnosticați originea atacului

Pentru a răspunde eficient, trebuie să știți de unde provine atacul și ce tip de atac este. Restaurarea rapidă a operațiunilor în rețeaua dvs. este imposibilă dacă nu știți de unde provine atacul. În cazul în care nu poți spune originea, vei fi obligat să primești o lovitură și să aștepți să treacă atacul.

1. Analizați atacul după eveniment

Odată ce atacul a trecut, este timpul să evaluăm ce s-a întâmplat. Identificați dacă au existat vulnerabilități sau inadecvare în procesul de răspuns. Unitatea de monitorizare a lățimii de bandă ar putea avea o vizibilitate mai bună? Poate fi mai bună comunicarea echipei tale sau timpul de răspuns mai rapid? Identificarea acestor zone pentru îmbunătățire este o modalitate excelentă de a vă asigura că sunteți pregătit dacă întâlniți vreodată un alt atac DDoS.

Cheia unei apărări de succes: prevenire și răspunsuri rapide

Prevenirea și răspunsurile rapide sunt elementele de bază ale unei strategii de apărare DDoS. Instrumente precum soluțiile de gestionare a jurnalelor, firewall-urile site-urilor web sau analizatorii de rețea vă vor ajuta să surprindeți atacurile din timp, dar nu sunt suficiente pentru a opri atacurile să vă afecteze linia de jos.

Un grad mare de rezistență dvs. la un atac va depinde de cât de rapid va răspunde echipa dvs. sub presiune. Construirea unei culturi a angajaților care subliniază securitatea cibernetică și recunoaște modul de luptă a unui atac DDoS va reduce daunele dacă un atacator alunecă prin plasă.