Kiedy podejrzewany jest już atak, organizacja ma kilka możliwości mitygacji i złagodzenia jego skutków.
Spis treści
Ocena ryzyka
Organizacje powinny regularnie przeprowadzać oceny ryzyka i audyty swoich urządzeń, serwerów i sieci. Chociaż całkowite uniknięcie ataku DDoS jest niemożliwe, dokładna znajomość zarówno mocnych, jak i słabych stron zasobów sprzętowych i programowych organizacji jest bardzo pomocna. Znajomość najbardziej wrażliwych segmentów sieci organizacji jest kluczem do zrozumienia, jaką strategię należy wdrożyć, aby zmniejszyć szkody i zakłócenia, jakie może spowodować atak DDoS.
Różnicowanie ruchu
Jeżeli organizacja uważa, że właśnie padła ofiarą ataku DDoS, jedną z pierwszych rzeczy, które należy zrobić, jest określenie jakości lub źródła nietypowego ruchu. Oczywiście, organizacja nie może całkowicie odciąć ruchu, ponieważ byłoby to wyrzucenie dobrego ze złym.
Jako strategia łagodząca, należy użyć sieci Anycast, aby rozproszyć ruch związany z atakiem w sieci rozproszonych serwerów. Jest to wykonywane w taki sposób, że ruch jest absorbowany przez sieć i staje się bardziej zarządzalny.
Black Hole Routing
Inną formą obrony jest black hole routing, w którym administrator sieci – lub dostawca usług internetowych organizacji – tworzy trasę do tzw. czarnej dziury i przekierowuje do niej ruch. Dzięki tej strategii cały ruch, zarówno dobry, jak i zły, jest kierowany do trasy null (zerowej) i zasadniczo porzucany z sieci. Może to być dość ekstremalne, ponieważ legalny ruch jest również zatrzymywany i może prowadzić do strat biznesowych.
Ograniczanie szybkości
Innym sposobem na złagodzenie ataków DDoS jest ograniczenie liczby żądań, które serwer może przyjąć w określonym czasie. Samo to nie jest wystarczające do zwalczania bardziej wyrafinowanych ataków, ale może służyć jako element wielostronnego podejścia.
Firewalle
Aby zmniejszyć wpływ ataku w warstwie aplikacji lub warstwie 7, niektóre organizacje decydują się na zastosowanie zapory sieciowej (WAF). WAF jest urządzeniem, które znajduje się pomiędzy Internetem a serwerami firmy i działa jako odwrotne proxy. Podobnie jak w przypadku wszystkich zapór sieciowych, organizacja może stworzyć zestaw reguł filtrujących żądania. Mogą zacząć od jednego zestawu reguł, a następnie modyfikować je w oparciu o to, co obserwują jako wzorce podejrzanej aktywności realizowanej przez DDoS.
Jeśli organizacja uważa, że właśnie padła ofiarą DDoS, jedną z pierwszych rzeczy, które należy zrobić, jest określenie jakości lub źródła nietypowego ruchu. Oczywiście, organizacja nie może całkowicie odciąć ruchu, ponieważ byłoby to wyrzucenie dobrego ze złym.
Jako strategia łagodząca, należy użyć sieci Anycast, aby rozproszyć złośliwy ruch w sieci rozproszonych serwerów. Odbywa się to w taki sposób, że ruch jest absorbowany przez sieć i staje się bardziej zarządzalny.
Rozwiązanie do ochrony przed DDoS
W pełni solidne rozwiązanie do ochrony przed DDoS zawiera elementy, które pomagają organizacji zarówno w obronie, jak i monitorowaniu. Ponieważ poziom zaawansowania i złożoności ataków stale się zmienia, firmy potrzebują rozwiązania, które pomoże im zarówno w przypadku ataków znanych, jak i ataków typu zero-day. Rozwiązanie do ochrony przed DDoS powinno wykorzystywać szereg narzędzi, które mogą bronić się przed każdym typem ataku DDoS i monitorować setki tysięcy parametrów jednocześnie.