DDoS АТАКИ - ВЪТРЕШЕН ПОГЛЕД - Персонализирани Ddos атаки
Същността на DDoS атака
- Атаки на приложения. При тези DDoS атаки атакуващите използват очакваното поведение на протоколи като TCP и HTTP. Те поемат изчислителните ресурси, като им пречат да обработват транзакции и заявки. Пример за атаки от този тип върху приложения: това са атаки с полуотворени HTTP връзки и с грешни HTTP връзки.
Използване на ACL за сигурност
Мнозина вярват, че рутерите, които използват списъци за контрол на достъпа (ACL) за филтриране на „нежелания“ трафик, осигуряват защита срещу DDoS атаки. Всъщност ACL могат да предпазват от прости и добре познати DDoS атаки, като ICMP атаки.
- Атаки на приложния слой. Докато ACL могат да блокират атаки от страна на клиента, като дефектни HTTP връзки и полуотворени HTTP връзки (ако приемем, че е възможно да се определи източникът на атаката и конкретни неподправени източници), администраторът ще трябва да конфигурира стотици и в в някои случаи хиляди списъци. ACL за всяка потенциална DDoS цел.
Използване на защитни стени за защита
Защитните стени играят изключително важна роля в системата за сигурност на всяка компания, но те не са създадени специално като инструмент за предотвратяване на DDoS атаки. Всъщност защитните стени имат редица присъщи свойства, които им пречат да осигурят пълна защита срещу най-модерните DDoS атаки.
На първо място, става въпрос за местоположение. Защитните стени са твърде далеч от носителя по пътя на данните и това не осигурява достатъчна защита за линията на комуникационния канал, който свързва превозвача и крайния рутер на корпоративната система, което прави тези компоненти уязвими за DDoS атаки. Всъщност, тъй като защитните стени са изградени по линеен начин, те често са обект на атакуващи, които се опитват да нарушат ресурсите за обработка на данни, за да причинят провал.
Използване на система за откриване на проникване (IDS) за защита
Докато IDS системите отлично откриват атаки на ниво приложение, те също имат слабост: те не могат да открият DDoS атака, която използва правилните пакети, а днес повечето атаки използват правилните пакети. Докато IDS предоставят специфични механизми, базирани на аномалии, за откриване на тези атаки, те изискват обширна ръчна настройка и не идентифицират специфични потоци от трафик на атаки.
Друг потенциален проблем при използването на IDS системи като платформа за защита срещу DDoS атаки е, че те само откриват атака, но не предприемат никакви действия за отстраняването й. В решения, базирани на IDS, могат да се препоръчат филтри за рутери и защитни стени, но, както бе споменато по-горе, това не осигурява ефективно елиминиране на съвременните DDoS атаки.
Като цяло IDS е най-добрият инструмент за откриване на атаки на ниво подпис, базирани на подписи. Тъй като сложните DDoS атаки се откриват чрез аномално поведение на 3-то и 4-то ниво, съвременната IDS технология не е подходяща за откриване и елиминиране на DDoS атаки.
Описание на компонентите, включени в решението за защита DDoS
Cisco Traffic Anomaly Detector е устройство за наблюдение, което открива признаци, които показват наличието на DDoS атаки. Cisco Traffic Anomaly Detector обработва целия входящ трафик в защитения сегмент. Детекторът е свързан към SPAN порта на рутер (превключвател) или с помощта на сплитер. Това позволява непрекъснат анализ на целия входящ трафик. Този анализ включва сравняване на текущото поведение на трафика с базовите прагове за идентифициране на ненормално поведение на трафика. Ако се открие ненормално поведение и изглежда като възможна атака, детекторът изпраща сигнал до Cisco Guard да започне да анализира и елиминира атаката.
Cisco Guard е скрубер за трафик, който има способността да идентифицира и блокира злонамерен трафик. Cisco Guard се основава на архитектурата на уникален патентован процес на мултивифициране (MVP), който използва усъвършенствани ресурси за откриване на аномалии за динамично прилагане на интегрирани техники за идентификация на източника и анти-подправяне, съчетано с високоефективно филтриране за идентифициране и блокиране на специфични потоци от трафик на атака, като същевременно по този начин, осигурете преминаването на надеждни транзакции. В комбинация с интуитивен графичен интерфейс и мощна многопластова система за наблюдение и отчитане, която осигурява пълен преглед на всички действия, придружаващи атака, Cisco Guard осигурява най-пълната защита срещу DDoS атаки.