DDoS-seuranta: mistä tiedät, että kimppuusi hyökätään

Kerroimme jokin aika sitten, miten voit tarkistaa Windowsin IIS- ja Loggly-lokit DDoS-hyökkäyksen lähteen selvittämiseksi, mutta mistä tiedät, milloin verkkosi on hyökkäyksen kohteena? Ei ole tehokasta, että ihmiset tarkkailevat lokeja joka päivä ja joka tunti, joten sinun on turvauduttava automaattisiin resursseihin. Automaattinen DDoS-seuranta antaa tietoturvatiimillesi enemmän kaistanleveyttä keskittyä muihin tärkeisiin tehtäviin ja saada silti ilmoituksia, jos DDoS-tapahtuman seurauksena tapahtuu poikkeamia.

Mikä on DDoS-hyökkäys?

Lyhyesti sanottuna DDoS-hyökkäys on liikennetulva verkkoisännällesi tai palvelimellesi. Riittävällä liikenteellä hyökkääjä voi syödä kaistanleveyttäsi ja palvelinresurssejasi, kunnes jompikumpi (tai molemmat) ovat niin ylikuormitettuja, etteivät ne enää pysty toimimaan. Palvelin kaatuu tai kaistanleveys ei yksinkertaisesti riitä, jotta todelliset asiakkaat voisivat käyttää verkkopalveluasi. Kuten varmaan arvaatkin, tämä tarkoittaa palvelusi kaatumista ja tulojen menetystä niin kauan kuin hyökkäys jatkuu.

DDoS-hyökkäykset voivat olla tuhoisia verkkoliiketoiminnalle, minkä vuoksi on tärkeää ymmärtää, miten ne toimivat ja miten niitä voidaan lieventää nopeasti. Hyökkäyksen aikana ei ole yhtä lähdettä, joten et voi vain suodattaa yhtä IP-osoitetta sen pysäyttämiseksi. DDoS-hyökkääjät tartuttavat käyttäjäjärjestelmiin (tämä voi tarkoittaa tietokoneita, mutta myös sulautettuja järjestelmiä tai IoT-laitteita) ohjelmiston, jonka avulla he voivat hallita niitä ympäri maailmaa. Hyökkääjä käyttää keskitettyä järjestelmää, joka sitten käskee näitä haittaohjelman saastuttamia koneita lähettämään liikennettä sivustolle. Hyökkääjän käytössä olevien koneiden määrä riippuu tartunnan saaneiden koneiden määrästä, mutta se voi olla kymmeniä tuhansia. Kaiken kukkuraksi DDoS-haittaohjelmat ovat tyypillisesti hyvin kehittyneitä ja käyttävät tekniikoita palvelimesi ylikuormittamiseksi mahdollisimman tehokkaasti, esimerkiksi lähettämällä epätäydellisiä yhteyspyyntöjä, jotka aiheuttavat järjestelmääsi odotustiloja, joiden aikana hyökkäävä järjestelmä voi lähettää uusia pyyntöjä.

Voit yleensä tunnistaa, kuinka suuren hyökkäyksen voit kestää. Jos normaali liikennemääräsi on 100 yhteyttä kerrallaan päivän mittaan ja palvelimesi toimii normaalisti, 100 yhteyttä tavoittelevaa konetta ei todennäköisesti vaikuta sinuun. DDoS-hyökkäyksessä on kuitenkin tuhansia yhteyksiä lukuisista eri IP-osoitteista kerralla. Jos palvelimesi ei pysty käsittelemään 10 000 yhteyttä kerrallaan, voit olla altis DDoS-hyökkäykselle.

Varoittamatta sinulla on satoja tai tuhansia koneita (palvelimia, pöytäkoneita ja jopa mobiililaitteita) lähettämässä liikennettä sivustollesi kerralla. Muutamassa minuutissa sivustosi suorituskyky ja resurssit tyhjenevät pahasti, eivätkä tavalliset käyttäjät pääse sivustollesi.

Miten tiedät, milloin DDoS-hyökkäys tapahtuu?

DDoS-hyökkäyksessä vaikeinta on se, että varoituksia ei ole. Jotkut suuret hakkeriryhmät lähettävät uhkauksia, mutta useimmiten hyökkääjä lähettää käskyn hyökätä sivustollesi ilman minkäänlaisia varoituksia.

Koska et normaalisti selaa sivustoasi, vasta kun asiakkaat valittavat, huomaat vihdoin, että jokin on vialla. Aluksi et luultavasti ajattele, että kyseessä on DDoS-hyökkäys, vaan luulet, että palvelimesi tai hosting-palvelimesi on kaatunut. Tarkistat palvelimesi ja teet perustestejä, mutta näet vain suuren määrän verkkoliikennettä ja resurssit maksimissaan. Saatat tarkistaa, onko taustalla käynnissä ohjelmia, mutta et löydä mitään havaittavia ongelmia.

Ajan, joka kuluu siihen, että huomaat DDoS-hyökkäyksen, ja ajan, joka kuluu vahinkojen lieventämiseen, välillä voi kulua useita tunteja. Tämä tarkoittaa useita tunteja menetettyä palvelua ja tuloja, mikä tarkoittaa käytännössä suurta leikkausta tuloihisi.

DDoS-hyökkäyksen vihjeet

Tehokkain tapa lieventää DDoS-hyökkäystä on tietää, milloin se tapahtuu heti hyökkäyksen alkaessa. On olemassa useita vihjeitä, jotka viittaavat käynnissä olevaan DDoS-hyökkäykseen:

• IP-osoite tekee x pyyntöä y sekunnin aikana
• Palvelimesi vastaa 503:lla palvelukatkosten vuoksi
• Ping-pyynnön TTL (time to live) umpeutuu
• Jos käytät samaa yhteyttä sisäisiin ohjelmistoihin, työntekijät huomaavat hitausongelmia
• Logianalyysiratkaisut osoittavat valtavan piikin liikenteessä

Montaa näistä merkeistä voidaan käyttää sellaisen ilmoitusjärjestelmän automatisointiin, joka lähettää sähköpostin tai tekstiviestin ylläpitäjille.

Loggly voi lähettää tällaisia hälytyksiä lokitapahtumien ja määriteltyjen kynnysarvojen perusteella ja jopa lähettää nämä hälytykset työkaluihin, kuten Slackiin, Hipchatiin tai PagerDutyyn.

Too Many Requests for One IP

Voit tilapäisesti määrittää reitittimen lähettämään liikennettä NULL-reiteille tietyistä IP-osoitteista. Tämä lähinnä lähettää hyökkäävät IP-osoitteet tyhjään tai umpikujaan, jotta se ei voi vaikuttaa palvelimiisi. Tämä on hieman vaikeaa, koska voit helposti estää laillisen IP-osoitteen, kun yrität pysäyttää hyökkäyksen. Toinen ongelma on se, että lähde-IP on yleensä väärennetty, joten yhteyttä ei koskaan saada valmiiksi palvelimesi ja lähdekoneen välillä.

Palomuurin tai tunkeutumisen esto- tai havaitsemisjärjestelmän hälytysten asettaminen voi olla hankalaa, koska taas jotkut lailliset botit havaitaan hyökkäykseksi. Konfigurointi ja asetukset riippuvat myös käyttämästäsi järjestelmästä.

Kaiken kaikkiaan haluat asettaa hälytyksen, joka lähtee, jos tietty IP-osoitealue lähettää liian monta yhteyspyyntöä pienen ajanjakson aikana. Sinun on todennäköisesti lisättävä tietyt IP-osoitteet valkoiselle listalle, koska esimerkiksi Googlebot indeksoi sivustosi hyvin nopeasti ja usein. Kestää jonkin aikaa ja säätämistä, ennen kuin saat tämän hälytyksen toimimaan kunnolla, koska haluat oikeutetusti joidenkin bottien ja skriptien toimivan, jotka voivat lähettää vääriä positiivisia hälytyksiä hälytysjärjestelmääsi.

Palvelin vastaa 503:lla

Windowsissa voit aikatauluttaa hälytyksiä, kun Tapahtumien katseluohjelmassa tapahtuu tietty tapahtuma. Voit liittää tapahtumaan minkä tahansa tehtävän, mukaan lukien virheet, varoitukset tai minkä tahansa muun tapahtuman, jonka avulla voit lieventää ongelmaa ennen kuin siitä tulee kriittinen tilanne.

Voidaksesi liittää tehtävän 503-tapahtumaan, sinun on ensin löydettävä tapahtuma Tapahtumien tarkastelijasta. Avaa Tapahtumien katseluohjelma ja napsauta tapahtumaa hiiren kakkospainikkeella.

Tällöin avautuu määritysnäyttö, jossa voit määrittää tapahtuman lähettämään sähköpostiviestin järjestelmänvalvojalle tai henkilöryhmälle.

Jos sinulla on useita palvelimia, on tehokasta määrittää samanlainen hälytys Logglyn avulla:

TTL Times Out

Voit manuaalisesti pingata palvelimesi testataksesi kaistanleveyttä ja yhteyttä, mutta tämä ei auta, kun haluat automatisoida hälytyksen ennen kuin se on kriittinen. Jos pingaat palvelinta, tiedät jo, että jotain on vialla.

Ping-hälytysten automatisoimiseksi useat verkkopalvelut tarjoavat mahdollisuuden pingata sivustosi eri puolilta maailmaa. Palvelu pingaa sivustosi eri puolilta maapalloa määrittelemälläsi taajuudella. Jos sinulla on pilvipalvelun hosting, sinulla voi olla ongelma yhdellä alueella mutta ei toisella, joten nämä pingauspalvelut auttavat sinua tunnistamaan ongelmat tietyissä paikoissa.

Tässä on lueteltu vain muutamia pingauspalveluja. Näiden palveluiden avulla sivustosi käytettävyyttä valvotaan 24/7, joten IT-tiimisi voi reagoida, jos palvelimellasi ilmenee ongelmia. Koska DDoS-hyökkäys syö kaistanleveyttäsi, ping-aika on liian pitkä tai keskeytyy. Palvelu lähettää hälytyksen tiimillesi, jotta he voivat aloittaa lieventämistekniikat ja vianmäärityksen.

Loginhallintajärjestelmät ja DDoS-hyökkäysten valvonta

Ratkaisut, kuten Loggly, näyttävät liikennetilastot koko pinostasi ja auttavat sinua tunnistamaan mahdolliset poikkeamat 24/7. Logglyn avulla voit tunnistaa käynnissä olevan hyökkäyksen ja lähettää hälytyksiä ylläpitäjille. Näiden lokien käytön etuna on se, että voit paitsi tunnistaa liikennepiikit, myös tunnistaa palvelimet, joihin ne vaikuttivat, käyttäjille palautetut virheet sekä tarkan päivämäärän ja kellonajan, jolloin liikennepiikit tapahtuivat. Analysointityökalut tekevät paljon muutakin kuin vain kertovat ongelmasta. Ne myös kertovat, mihin palvelimiin vaikutukset kohdistuvat, ja säästävät näin vianmääritykseen kuluvaa aikaa.

Lokinhallintajärjestelmien avulla sinulla on useita etuja enemmän kuin muilla ratkaisuilla. Voit asettaa hälytyksiä kaikentyyppisistä tapahtumista, mikä tekee tämäntyyppisestä järjestelmästä paljon joustavamman kuin hälytyksen asettaminen vain liikenteestä.

Voit myös tehdä hälytyksistäsi paljon yksityiskohtaisempia. Jos hälytys perustuu esimerkiksi palomuurin IP-osoitteeseen, saat useita vääriä hälytyksiä, kunnes muokkaat hälytysmäärityksiäsi siten, että ne sisältävät vain epäilyttävät IP-osoitteet. Logglyn avulla voit määrittää hälytykset, jotka perustuvat tapahtumien ja liikennepiikkien yhdistelmään, jolloin saat vain ne poikkeamat, joiden pitäisi keskeyttää IT-henkilöstön toiminta ja saada heidät reagoimaan nopeasti.

Huomautus hälytyksistä: Liian monilla hälytyksillä voi olla päinvastainen vaikutus IT-tiimiin. Oletetaan esimerkiksi, että järjestelmäsi on asetettu lähettämään hälytyksiä useista poikkeamista, jotka ovat yleensä hyvänlaatuisia. Tiimisi saa satoja hälytyksiä päivässä näiden määritysten perusteella. Kun harmittomat tapahtumat tulvivat, tietotekniikkahenkilöstöllä on taipumus sivuuttaa kaikki, myös tärkeät tapahtumat. Se ei ole tarkoituksellista, mutta vastaanotettaessa satoja hälytyksiä päivässä tärkeät hälytykset voivat jäädä huomiotta, ja tuloksena on, että IT-osastolla on huoli kriittisen käyttökatkoksen aikana.

Arm Yourself Against DDoS

DDoS-tapahtumat ovat vaikeita, mutta pohjimmiltaan merkittävä tietoturvaongelma ylläpitäjille. Jollain automaatiolla ja hälytyksillä voit kuitenkin laukaista oikeita ennakoivia ilmoituksia, jotka rajoittavat DDoS-hyökkäyksen tunnistamiseen ja pysäyttämiseen kuluvaa aikaa.

Nyt kun olet oppinut ddos-seurannan ja sen, miten voit kertoa, jos kimppuusi hyökätään, rekisteröidy ILMAISEEN, luottokorttia tarvitsemattomaan Loggly-kokeilujaksoon ja tarkastele sovellusten suorituskykyä, järjestelmien käyttäytymistä ja epätavallista toimintaa koko pinossa. Seuraa keskeisiä resursseja ja mittareita ja poista ongelmat ennen kuin ne vaikuttavat palvelimeen ja käyttäjiin.
>> Rekisteröidy nyt ilmaiseen Loggly-kokeilujaksoon

Loggly- ja SolarWinds-tavaramerkit, -palvelumerkit ja -logot ovat SolarWinds Worldwide, LLC:n tai sen yhteistyökumppaneiden yksinomaista omaisuutta. Kaikki muut tavaramerkit ovat omistajiensa omaisuutta.