IDS

Хотя IDS обеспечивают отличные возможности обнаружения атаки на уровне приложений, у них есть слабость: они не могут обнаруживать атаки DDoS с использованием действительных пакетов, и большинство современных атак используют действительные пакеты. Хотя IDS действительно предлагают некоторые возможности, основанные на аномалии, которые необходимы для обнаружения таких атак, они требуют обширной ручной настройки экспертами и не определяют конкретные потоки атаки.
Еще одна потенциальная проблема с IDS как защитной платформой DDoS заключается в том, что они только обнаруживают — они ничего не делают для смягчения последствий атаки. Решения IDS могут рекомендовать фильтры для маршрутизаторов и брандмауэров, но, как описано ранее, они не совсем эффективны для смягчения современных сложных DDoS-атак. Требуемые IDS — это дополнительное решение для смягчения последствий, которое обеспечивает следующий уровень идентификации конкретного потока атаки, интегрированный с немедленными возможностями обеспечения соблюдения.
Таким образом, IDS оптимизированы для обнаружения атаки на уровне приложений на основе сигнатур. Поскольку сложные атаки DDoS определяются аномальным поведением на уровнях 3 и 4, текущая технология IDS не оптимизирована для обнаружения или смягчения DDoS.

Обработка ответов на DDoS-атаки руками

Ручная обработка, используемая как часть защиты от DDoS, случаются слишком поздно и неэффективны. Первый ответ жертвы на DDoS-атаку обычно заключается в том, чтобы попросить ближайшего провайдера соединений по восходящему потоку — провайдера интернет-услуг (ISP), хостинг-провайдера или базового оператора — попытаться идентифицировать источник. С поддельными адресами это может быть долгим и утомительным процессом, который требует сотрудничества между многими провайдерами. И хотя источник может быть идентифицирован, его блокирование будет означать блокирование всего трафика — хорошего и плохого.

Другие стратегии

Чтобы противостоять атакам DDoS, корпоративные операторы рассмотрели различные стратегии, такие как избыточное предложение, то есть покупку избыточной полосы пропускания или избыточных сетевых устройств для обработки любых всплесков спроса. Такой подход не особенно экономичен, особенно потому, что он требует добавления избыточных сетевых интерфейсов и устройств. И независимо от первоначального эффекта, атакующим просто нужно увеличить объем атаки, чтобы победить дополнительную мощность.

Кейсы для защиты доступности

В любом бизнесе, имеющем присутствие в Интернете, есть множество причин — экономических и иных — вкладывать средства в защиту DDoS. Крупные предприятия, правительственные организации, поставщики услуг — все должны защищать компоненты своей инфраструктуры (веб-серверы, DNS-серверы, серверы электронной почты и чатов, брандмауэры, коммутаторы и маршрутизаторы), чтобы сохранить целостность бизнес-операций и повысить эффективность использования технического персонала.

Модели ROI для защиты от DDoS

Конечно, внедрение полной защиты DDoS несет свои собственные затраты. Однако возврат инвестиций (ROI) для реализации такой программы является убедительным.

• Защита электронной коммерции и DDoS для сайтов электронной коммерции может окупиться в течение нескольких часов по сравнению со стоимостью потенциальных потерь, связанных с DDoS-атакой. Транзакционные объемы сайта электронной коммерции, средний доход за транзакцию, доход от рекламы, нематериальные активы, такие как капитал бренда и юридические обязательства, а также время технического персонала, необходимое для восстановления атакованного сайта, должны учитываться при определении финансового воздействия любого связанного с DDoS простоя. Добавьте вероятность того, что защита DDoS может позволить понизить рейтинг менее дорогим каналам связи, а показатели ROI станут еще более впечатляющими.
• Поставщики услуг. Для поставщиков услуг, поддерживая свою собственную сеть, есть огромные последствия для инвестиций. Если атакуется инфраструктура провайдера (маршрутизаторы, DNS и т. д.), Все службы для клиентов терпят неудачу, что приводит к нарушениям SLA. Стоимость защиты DDoS — это страхование от катастрофических сбоев, которые будут стоить более значительных бизнес-заказов с точки зрения как доходов, так и отрицательных отношений с клиентами.

Однако исключение издержек не является единственной мотивацией для провайдеров хостинга, транзита и услуг для реализации полного решения DDoS. Для этих пользователей защита от DDoS также может предлагаться как услуга с добавленной стоимостью, которая создает новые потоки доходов и обеспечивает конкурентную дифференциацию.

Смягчение угрозы DDoS

Принятие DDoS-атак требует нового подхода, который не только обнаруживает все более сложные и обманчивые нападения, но и смягчает последствия атаки для обеспечения непрерывности бизнеса и доступности ресурсов.

Полная защита от DDoS построена на четырех ключевых темах:

1. Смягчить, а не просто обнаружить.
2. Аккуратно отличить хороший трафик от плохого трафика, чтобы сохранить непрерывность бизнеса, а не просто обнаружить общее присутствие атаки.
3. Включите производительность и архитектуру для развертывания апстрима для защиты всех уязвимых мест.
4. Поддержать надежную и экономичную масштабируемость.

Защита DDoS, построенная на этих концепциях, обеспечивает следующие атрибуты защиты:

• Позволяет мгновенно реагировать на атаки DDoS с помощью интегрированных механизмов обнаружения и блокировки даже во время поддельных атак, когда постоянно изменяются идентификаторы и профили атак
• Обеспечивает более полные возможности проверки, чем фильтры статического маршрутизатора или сигнатуры IDS могут сегодня обеспечить
• Обеспечивает распознавание аномалий на основе поведения для обнаружения действительных пакетов, отправленных с вредоносными намерениями для наводнения службы
• Определяет и блокирует отдельные поддельные пакеты для защиты законных бизнес-транзакций
• Предлагает механизмы, предназначенные для обработки огромного объема DDoS-атак, не страдающих той же судьбой, что и защищенные ресурсы
• Включает развертывание по требованию для защиты сети во время атак без введения точки отказа или наложения масштабирующих затрат встроенного решения
• Процессы (со встроенным интеллектом) только загрязняют потоки трафика, что помогает обеспечить максимальную надежность и минимальные затраты на масштабирование
• Избегает использования ресурсов сетевых устройств или изменений конфигурации
• Использует стандартные протоколы для всех коммуникаций, что обеспечивает максимальную совместимость и надежность

Заключение

Атаки DDoS будут продолжать расти в масштабе и серьезности благодаря более мощным (и легко доступным) средствам атаки, множественным точкам уязвимости Интернета и растущей зависимости бизнеса от Интернета. По мере роста стоимости этих атак поставщики, предприятия и правительства должны реагировать на защиту своих инвестиций, доходов и услуг.
Требуется новый тип решения, дополняющий существующие решения безопасности, такие как брандмауэры и IDS, не только обнаруживая самые сложные атаки DDoS, но также предоставляя возможность блокировать все более сложные и трудно обнаруживаемые атаки, не влияя на законный бизнес сделки. Такой подход требует более тщательного контроля и анализа трафика атак, чем могут обеспечить сегодняшние решения.