Distributed Denial of Service (DDoS) je typ útoku, ktorého cieľom je znemožniť dostupnosť služby – typicky serverovej aplikácie – jej preťažením, znefunkčnením alebo zneužitím zraniteľností.
Samotný princíp je jednoduchý:
Service = serverová aplikácia
Denial of Service = zamedzenie dostupnosti služby
Distributed = útok realizovaný z veľkého množstva zdrojov súčasne
Kým bežné DoS útoky dokáže zachytiť štandardný firewall s IDS/IPS, pri distribuovaných útokoch to prestáva stačiť. Ak má aplikácia bežný throughput na úrovni ~100 Mbps, počas DDoS útoku môže objem prevádzky narásť na stovky Gbps – historicky až do úrovne petabitov. V takom prípade už nejde o ochranu, ale o prežitie infraštruktúry.
Efektívna obrana spočíva v rýchlej identifikácii útoku a jeho odklonení mimo infraštruktúry – typicky cez scrubbing centrá s dostatočnou konektivitou, ktoré prepustia iba legitímny traffic. Moderné DDoS útoky však nie sú len o objeme, ale aj o zneužívaní aplikačných zraniteľností. Preto je nevyhnutné kombinovať DDoS ochranu s WAF (Web Application Firewall) a mať viditeľnosť aj do šifrovanej komunikácie.
Rastúce sieťové hrozby nútia organizácie rozširovať svoje obranné mechanizmy. Bezpečnostní manažéri čelia najmä:
- Zraniteľnostiam aplikácií
- Slabinám v autentifikácii
- Krádeži dát a úniku informácií
- Šíreniu malvéru
- Sieťovým a aplikačným výpadkom
- Pokročilým útokom (napr. trójske kone)
Pre efektívnu ochranu je potrebná kombinácia viacerých bezpečnostných nástrojov a vrstiev.
Kľúčové vlastnosti riešenia
- Detekcia a mitigácia DDoS útokov v reálnom čase
- Automatické odklonenie útoku do scrubbing centier
- Analýza sieťovej a aplikačnej prevádzky
- Ochrana pred volumetrickými aj aplikačnými útokmi
- Viditeľnosť do šifrovanej komunikácie (SSL/TLS inspection)
- Integrácia s WAF a ďalšími bezpečnostnými nástrojmi
Hlavné prínosy
- Zabezpečenie kontinuity prevádzky aj počas útoku
- Minimalizácia výpadkov a finančných strát
- Presná detekcia a rýchla reakcia na incidenty
- Zníženie celkových nákladov na vlastníctvo (TCO)
- Ochrana investícií a infraštruktúry (CAPEX)
Súčasťou riešenia DDoS ochrany sú najmä:
- IPS (Intrusion Prevention System)
- DDoS / DoS ochrana
- NBA (Network Behavior Analysis)
- Reputation services
- Scrubbing centrá a traffic filtering
Pokrytie sieťových DDoS útokov zahŕňa:
- SYN útoky
- TCP útoky
- UDP útoky
- ICMP a IGMP útoky
- Útoky fragmentovaných paketov
- Sieťové a portové skenovanie
#DDoS #DoS #WAF #scrubbing #HTTPSinspection #OWASP #SSLoffload #DNS
