מניעת DDoS
מניעת DDoS היא קבוצה של טכניקות וכלים לניהול רשת, שמטרתה התנגדות או הפחתת ההשפעה של התקפות מניעת שירות מבוזרות (DDoS) על רשתות המחוברות לאינטרנט, על ידי הגנה על רשת היעד ורשתות ביניים. התקפות DDoS מהוות איום מתמיד על עסקים וארגונים, על ידי עיכוב ביצועי השירות, או על ידי השבתה מלאה של אתר.[1]
הפחתה ומניעה של DDoS פועלת על ידי זיהוי תנאי בסיס לתעבורת רשת על ידי ניתוח "דפוסי תנועה" של פקטות, כדי לאפשר זיהוי והתראה על איומים.[2] הפחתה ומניעה של התקפת DDoS דורשת גם זיהוי תעבורה נכנסת לרשת, כדי להפריד בין תעבורה אנושית לבוטים דמויי אדם ודפדפני אינטרנט שנחטפו. תהליך זה כולל השוואת חתימות ובחינת תכונות שונות של התעבורה, כולל כתובות IP, קובצי עוגיות, כותרות HTTP וטביעות אצבע של דפדפן.
לאחר ביצוע הזיהוי, התהליך הבא הוא סינון. ניתן לבצע סינון באמצעות טכנולוגיית אנטי-DDoS כגון מעקב אחר חיבורים, רשימות סטטיות של כתובות IP, בדיקת מנות, רשימה שחורה/רשימה לבנה או הגבלת קצב שידור.[3]
טכניקה נפוצה במניעת התקפות אלו היא העברת תעבורת רשת המופנית לרשת יעד פוטנציאלית דרך רשתות בעלות קיבולת גבוהה, עם מסנני "קרצוף תעבורה" (Traffic Scrubbing).[4]
הפחתה ומניעה ידנית של התקפות DDoS אינה הרגל נפוץ, בשל גודלן של התקפות העולות לרוב על המשאב האנושי הזמין בחברות וארגונים.[5] חברות שונות מספקות פתרונות מקומיים או מבוססי ענן. טכנולוגיית הפחתה מקומית (בדרך כלל התקן חומרה) ממוקמת לרוב בכניסה לרשת. גישה כזו מגבילה את רוחב הפס המרבי הזמין למה שמסופק על ידי ספק האינטרנט.[6] שיטות נפוצות כוללות פתרונות היברידיים, על ידי שילוב של סינון מקומי עם פתרונות מבוססי ענן.[7]
שיטות התקפה
עריכההתקפות DDoS מבוצעות נגד אתרים ורשתות של קורבנות נבחרים. מספר ספקים מציעים שירותי אירוח "עמידים ל-DDoS", בעיקר על בסיס טכניקות דומות לרשתות אספקת תוכן. ההפצה מונעת נקודת גודש אחת ומקשות על מתקפת ה-DDoS להתרכז במטרה אחת.
טכניקה אחת של התקפות DDoS היא שימוש ברשתות צד שלישי בעלות הגדרות שגויות, מה שמאפשר הגברת[8] קצב שידור של מנות UDP מזויפות. הגדרות נכונות של ציוד רשת, המאפשרת סינון תעבורה נכנסת ויוצאת יכולה למנוע זיופים והגברות כאלו, ולהפחית מפחיתה את מספר רשתות הממסר הזמינות לתוקפים.[9][10]
שיטות הגנה והפחתה
עריכה- שימוש בפרוטוקול פאזל ללקוח (אנ) (לדוגמה, CAPTCHA)
- שימוש ברשת אספקת תוכן.
- רשימה שחורה/רשימה לבנה של כתובות IP
- שימוש במערכת לגילוי חדירות ובחומת אש
ראו גם
עריכההערות שוליים
עריכה- ^ 5 DDoS Attack Prevention Tools to Protect Your Company | CyberCureME, 2015-10-15
- ^ Top 8 Features in Selecting a DDoS Protection Solution MazeBolt, mazebolt.com, 2024-06-18
- ^ Dan Patterson, Deep packet inspection: The smart person's guide, TechRepublic, 2017-03-09
- ^ How traffic scrubbing can guard against DDoS attacks | Computer Weekly, ComputerWeekly.com
- ^ Francis Tan, DDoS attacks: Prevention and Mitigation, TNW | Media, 2011-05-02
- ^ Four ways to defend against DDoS attacks | Network World, web.archive.org, 2018-06-12
- ^ Choosing the right DDoS solution | Risk | Enterprise Innovation, web.archive.org, 2018-06-12
- ^ c-r.de: Amplification Hell: Abusing Network Protocols for DDoS, christian-rossow.de
- ^ Information on BCP 38 » RFC Editor
- ^ Danny R. McPherson, Fred Baker, Joel M. Halpern, Source Address Validation Improvement (SAVI) Threat Scope, 2013-05