حملات DDoS میتوانند فاجعه بار باشند اما در اختیار داشتن دانش و تاکتیکهای مناسب میتواند تا حد زیادی شانس شما در سرکوب حمله را افزایش دهد.
در این مقاله پنج روش که به واسطه آنها، یک سیستم هوشمند میتواند تا حد زیادی زمان پاسخ به حمله DDoS را کاهش دهد و در عین حال، ابزارهایی برای مسدود کردن چنین حملاتی را ارزیابی نماید؛ بررسی میکنیم.
زمان پاسخ برای هر شرکتی حیاتی است زیرا در جهان ما که همه چیز به هم متصل است، حملات DDoS باعث از کار افتادن سیستمها میشوند و این از کارافتادگی به معنی از دست رفتن فرصتهاست. هر چه سیستمهای شما برای مدت بیشتری از کار افتاده باشند، سود شما کاهش بیشتری خواهد داشت.
اجازه دهید نگاه دقیقتری به همه راههایی داشته باشیم که یک سیستم هوشمند میتواند زمان را در یک حمله DDoS به نفع شما تغییر دهد. ابتدا باید مشخص کنیم یک سیستم دفاعی هوشمند دقیقا چقدر زمان میتواند برای شما ذخیره نماید.
زمان پاسخ در سیستمهای هوشمند در برابر سیستمهای سنتی
قطعا دفاع هوشمند DDoS سریعتر از دفاع سنتی در برابر DDoS خواهد بود، اما تا چه اندازه سریعتر؟
موسس و مدیر کل NimbusDDoS، اخیرا مطالعهای در این زمینه انجام داده است که نتایج بدست آمده، دربردارنده مطالب زیادی بودند: دفاع DDoS هوشمند، زمان واکنش به حمله را پنج برابر کاهش میدهد.
میانگین زمان پاسخ با استفاده از دفاع هوشمند تنها شش دقیقه بود که قابل مقایسه با مدت 35 دقیقهای در صورت استفاده از فرایندهای سنتی، نیست. این اختلاف 29 دقیقهای بسیار قابل توجه است.
در برخی موارد، دفاع هوشمند حتی قادر بوده است زمان پاسخ را به طور کامل حذف نماید. یک سیستم دفاعی هوشمند، به پنج طریق عمده زمان پاسخ را کاهش میدهد. این سیستمها میتوانند:
1. به سرعت حملات وارده را شناسایی کنند:
با استفاده از دادههای جمعآوری شده در زمان عدم حمله، یک سیستم دفاع DDoS هوشمند میتواند به صورت آنی، ترافیک مشکوکی را شناسایی کند که به سادگی از چشم ناظر انسانی دور میماند.
2. مسیر ترافیک را بر اساس واکنش تغییر دهد:
در الگوی استقرار نرم افزار زمانی که حملهای شناسایی شد، سیستم دفاع DDoS هوشمند میتواند با استفاده از سیستم مسیریابی متصل به پروتکل BGP، ترافیک بدخواه را به یک مرکز شناسایی مشترک هدایت کند.
3. استراتژیهای کاهش تنش را به کار گیرد:
زمانی که حمله در حال آسیب وارد کردن به ترافیک است، یک سیستم دفاع DDoS هوشمند براساس سیاستهای تعریف شده شما به شکلی که تنظیم شده، دست به اقدام میزند و در عین حال آسیب متقابل به ترافیک مشروع را نیز به حداقل میرساند.
4. الگوها را در ترافیک حمله شناسایی کند:
با بازرسی دقیق مقادیر گستردهی ترافیک مخرب در دوره زمانی کوتاهی، سیستم دفاع DDoS هوشمند میتواند الگوها را به صورت لحظهای استخراج کند تا حملات بات نت لحظهای را مسدود نماید.
5. اطلاعات تهدید DDoS جاری را به کار گیرد:
یک سیستم دفاع DDoS هوشمند میتواند به لیستهای انسداد IP مبتنی بر تحقیقات و پایگاههای داده تسلیحات DDoS دسترسی یابد و از آن اطلاعات در مورد کل ترافیک مورد حفاظت بهره گیرد.
یک سیستم دفاع DDoS هوشمند، بعد از حمله از کار باز نمیایستد. زمانی که حمله با موفقیت سرکوب شد، گزارشهای دقیقی تولید میکند که شما و ذینفعان میتوانید برای تحلیل جزئیات و اطلاعرسانی به سایرین استفاده کنید.
با این که حمله کنندگان DDoS هرگز از نوآوری و تنظیم روشهای خود باز نمیایستند، ولی سیستمهای هوشمند حفاظت در برابر DDoS هم به همین صورت هستند.
شرکتها با استفاده از سیستم هوشمند جهت شناسایی سریع و سرکوب تهدیدات با کمک اطلاعات تهدید بهروز، میتوانند از خود در برابر حملات DDoS به سرعت دفاع نمایند.
سه استراتژی کلیدی برای مسدود کردن حملات DDoS
درحالیکه بسیار حیاتی است که از سیستمهای هوشمند برخوردار باشید که بتوانند به سرعت به حملات پاسخ دهد، به همان اندازه نیز مهم است که استراتژیهایی به کار بگیرید که به دستیابی شما به هدف تضمین دسترسی سرویس برای کاربران مجاز نیز کمک کنند.
هرچه باشد، حملات DDoS ماهیتا غیرهمگام هستند. شما نمیتوانید مانع از آغاز حمله از سوی حمله کننده شوید، ولی با سه استراتژی حیاتی میتوانید نسبت به حمله انعطاف داشته باشید و در عین حال از کاربران خود محافظت کنید.
هریک از سه روش لیست شده در زیر به عنوان یک استراتژی سرکوب DDoS مبتنی بر منبع، شناخته میشود.
استراتژیهای مبتنی بر منبع (Source-Based)، از علت به عنوان مبنایی برای انتخاب ترافیکی که باید مسدود شود، استفاده میکنند. روش سرکوب مبتنی بر مقصد (Destination-Based)، برای جلوگیری از سقوط ترافیک، متکی به مدیریت ترافیک (Traffic Shaping) است.
درحالیکه شکلدهی ترافیک مقصد، در حفظ سلامت سیستم در برابر اشباع شدن در زمان حمله موثر است ولی به همان اندازه برای کاربران مجاز آسیب متقابل ناخواسته دارد.
– پیگیری انحراف:
استراتژی پیگیری انحراف بدین صورت عمل میکند که ترافیک را به صورت پیوسته مورد نظارت قرار میدهد تا بیاموزد چه چیزی نرمال است و چه چیزی نشان دهنده تهدید میباشد.
به طور خاص، سیستم دفاعی میتواند نرخ دادهها یا نرخ درخواستها را بر اساس چند ویژگی تحلیل کند (برای مثال BPS ، PPS، نسبت SYN-FIN Session Rate و مانند آن) تا تعیین نماید چه ترافیکی مشروع و چه ترافیکی بدخواه است، یا ممکن است باتها یا ترافیک جعلی را به واسطه ناتوانی آنها در پاسخ به سوالات چالشی شناسایی نماید.
– تشخیص الگو:
استراتژی تشخیص الگو از یادگیری ماشین برای یافتن الگوی رفتار غیرمعمولی استفاده میکند که عموما به صورت لحظهای از سوی DDoS botnets و حملات Reflected Amplification بروز می شود.
– Reputation:
برای استفاده از Reputation به عنوان یک استراتژی مسدودسازی مبتنی بر منبع (Source-Based)، سیستم دفاع DDoS از اطلاعات تهدید ارائه شده از سوی محققان آدرسهای اینترنی باتنت DDoS، به علاوه دهها میلیون سرور انتشار دهنده حملات Reflected Amplification استفاده میکند.
سپس، سیستم از آن اطلاعات برای مسدود کردن آدرسهای اینترنتی دارای مطابقت در زمان حمله استفاده میکند.
هریک از این سه استراتژی سرکوب DDoS مبتنی بر منبع (Source-Based) مستلزم قابلیتهای محاسباتی بیشتری، نسبت به حفاظت بیرویه در مقصد را دارد. ولی از آن جهت دارای مزیت قابل توجه هستند که قادرند مانع مسدود شدن کاربران مجاز گردند و بدین صورت زمان قطعی را کاهش داده و مانع از بین رفتن بیجهت سود میشوند.
با دانستن این مطلب میتوانیم بگوییم هر سه این استراتژیهای سرکوب حمله، ارزش سرمایهگذاری را دارند.
در این بین کمپانی فورتینت با استفاده از محصول فورتی دیداس اقدام به ارائه مجموعه گستردهای از متدولوژیهای DDoS شناخته شده و ایجاد یک رویکرد چند لایه برای کاهش حملات، از مراکز داده سازمانی در برابر حملات DDoS دفاع میکند.
همچنین رفتار دادهها را برای شناسایی حملات جدید تجزیه و تحلیل میکند و به سیستم اجازه میدهد تا تهدیدات روز صفر را متوقف نماید. این فرآیند به ارتقاء کسبوکار شما کمک مینماید.