Distributed Denial of Service, czyli DDoS, w wolnym tłumaczeniu rozproszona odmowa usługi. To jedne z najczęściej występujących ataków na system komputerowy lub usługi sieciowe. Uniemożliwienie działania i sparaliżowanie serwera witryny to skutki ataku DDoS.
Czym jest i na czym polega atak DDoS?
Na atak DDoS składają się duże liczby ukierunkowanych żądań pochodzących z nawet tysięcy pojedynczych urządzeń. Zazwyczaj są one kierowane z porwanych komputerów, które zostały zhakowane, często użytkownik może nie wiedzieć o tym, że to z jego komputera przeprowadzane są tego typu ataki.
Sam atak polega na wytworzeniu sztucznego ruchu mającego na celu sparaliżowanie serwera witryny i uniemożliwienie dostępu dla odwiedzających.
Jak zidentyfikować atak DDoS?
Najczęstszym symptomem ataku DDoS jest fakt, że witryna lub usługa nagle staje się wolna lub niedostępna. Ponieważ jednak wiele przyczyn, m.in. uzasadniony wzrost ruchu, może powodować bardzo podobne problemy związane z wydajnością, należy pamiętać o dalszym zbadaniu tego stanu. Narzędzia do analizy ruchu mogą pomóc w wykryciu charakterystycznych oznak ataku DDoS:
- Podejrzane ilości ruchu pochodzącego z jednego adresu IP lub zakresu adresów IP
- Natłok ruchu od użytkowników, którzy dzielą jeden profil behawioralny, taki jak typ urządzenia, geolokalizacja lub wersja przeglądarki internetowej
- Niewyjaśniony wzrost liczby żądań do pojedynczej strony lub punktu końcowego
- Dziwne wzorce ruchu, takie jak skoki w dziwnych porach dnia lub wzorce, które wydają się nienaturalne (np. skoki, co 10 minut)
Istnieją inne, bardziej specyficzne oznaki ataku DDoS, które mogą się różnić w zależności od rodzaju ataku[1]
Techniki ochrony przed atakiem DDoS
Oto kilka rozwiązań, które można wprowadzić, aby uchronić się przed tego typu atakiem.
Zmniejszanie powierzchni ataku
Jedną z pierwszych technik ograniczania ataków DDoS jest minimalizowanie powierzchni, która może zostać zaatakowana, co ogranicza opcje dla atakujących i pozwala budować zabezpieczenia w jednym miejscu. W ten sposób minimalizujemy możliwe punkty ataku i pozwalamy skoncentrować nasze wysiłki na łagodzeniu skutków. Możliwym rozwiązaniem jest także użycie zapór sieciowych lub list kontroli dostępu (ACL), aby kontrolować, jaki ruch dociera do aplikacji.
Wiedza na temat ruchu na stronie
Kiedykolwiek wykryjemy zwiększony poziom ruchu na hoście, podstawą jest zaakceptowanie tylko takiej ilości ruchu, jaką nasz host może obsłużyć bez wpływu na dostępność.
Wdrażaj zapory sieciowe w przypadku zaawansowanych ataków na aplikacje
Dobrą praktyką jest stosowanie Web Application Firewall (WAF) przeciwko atakom, takim jak SQL injection lub cross-site request forgery, które próbują wykorzystać luki w samej aplikacji[2].
[1] https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/
[2] https://aws.amazon.com/shield/ddos-attack-protection/