Monitorizarea DDoS: cum să știi că ești atacat
Cu ceva timp în urmă, am acoperit modul în care puteți verifica jurnalele Windows IIS și Loggly pentru a vedea sursa unui atac DDoS, dar cum știți când rețeaua dvs. este atacată? Nu este eficient să aveți oameni care să monitorizeze jurnalele în fiecare zi și la fiecare oră, așa că trebuie să vă bazați pe resurse automate. Monitorizarea automată a DDoS oferă echipei dvs. de securitate mai multă lățime de bandă pentru a se concentra pe alte sarcini importante și pentru a primi în continuare notificări în cazul în care apar anomalii ca urmare a unui eveniment DDoS.
- Ce este un atac DDoS?
- Cum știți când are loc un atac DDoS?
- Coduri de atac DDoS
- Prea multe cereri pentru un IP
- Serverul răspunde cu un 503
- TTL Times Out
- Sisteme de gestionare a logurilor și monitorizare a atacurilor DDoS
- Armează-te împotriva DDoS
- Marcile comerciale, mărcile de serviciu și logo-urile Loggly și SolarWinds sunt proprietatea exclusivă a SolarWinds Worldwide, LLC sau a afiliaților săi. Toate celelalte mărci comerciale sunt proprietatea proprietarilor lor respectivi.
Ce este un atac DDoS?
Prin scurt, un atac DDoS este o inundație de trafic către gazda sau serverul dvs. web. Cu suficient trafic, un atacator poate consuma lățimea de bandă și resursele serverului dvs. până când unul (sau ambele) sunt atât de inundate încât nu mai pot funcționa. Serverul se blochează sau pur și simplu nu există suficientă lățime de bandă pentru a permite clienților adevărați să acceseze serviciul dvs. web. După cum probabil puteți ghici, acest lucru înseamnă o prăbușire a serviciului dvs. și pierderi de venituri atâta timp cât atacul continuă.
Atacurile DDoS pot fi devastatoare pentru o afacere online, motiv pentru care este important să înțelegeți cum funcționează și cum să le atenuați rapid. În timpul atacului, nu există o singură sursă, așa că nu puteți filtra doar un IP pentru a-l opri. Atacatorii DDoS infectează sistemele utilizatorilor (asta poate însemna calculatoare, dar și sisteme integrate sau dispozitive IoT) cu un software care le permite să le controleze în întreaga lume. Atacatorul folosește un sistem centralizat care le spune apoi acestor mașini infectate cu malware să trimită trafic către site. Numărul de mașini aflate la dispoziția atacatorului depinde de numărul de mașini infectate, dar poate fi de ordinul zecilor de mii. Pentru a înrăutăți lucrurile, malware-ul DDoS este de obicei foarte sofisticat și folosește tehnici pentru a vă suprasolicita serverul cât mai eficient posibil, de exemplu prin trimiterea de cereri de conectare incomplete care provoacă stări de așteptare pe sistemul dumneavoastră, timp în care sistemul atacator poate trimite noi cereri.
De obicei, puteți identifica cât de mult puteți rezista unui atac. Dacă traficul dvs. normal este de 100 de conexiuni la un moment dat pe parcursul zilei și serverul dvs. funcționează normal, atunci 100 de mașini care se întrec pentru o conexiune probabil că nu vă vor afecta. Cu toate acestea, în cazul unui atac DDoS, va fi vorba de mii de conexiuni de la numeroase IP-uri diferite în același timp. Dacă serverul dvs. nu poate face față la 10.000 de conexiuni în același timp, atunci ați putea fi vulnerabil la un atac DDoS.
Fără avertisment, aveți sute sau mii de mașini (servere, desktop-uri și chiar dispozitive mobile) care trimit trafic către site-ul dvs. în același timp. În câteva minute, performanța și resursele site-ului dvs. sunt grav epuizate, iar utilizatorii normali nu vă pot accesa site-ul.
Cum știți când are loc un atac DDoS?
Cea mai grea parte a unui atac DDoS este că nu există avertismente. Unele grupuri mari de hackeri vor trimite amenințări, dar, în cea mai mare parte, un atacator trimite comanda pentru a vă ataca site-ul fără niciun avertisment.
Din moment ce în mod normal nu navigați pe site-ul dumneavoastră, nu este până când clienții se plâng că în cele din urmă vă dați seama că ceva nu este în regulă. Inițial, probabil că nu credeți că este vorba de un atac DDoS, ci mai degrabă credeți că serverul sau găzduirea dvs. este căzută. Vă verificați serverul și efectuați teste de bază, dar veți vedea doar o cantitate mare de trafic de rețea cu resursele la maxim. S-ar putea să verificați dacă vreun program rulează în fundal, dar nu veți găsi nicio problemă notabilă.
Între timpul necesar pentru a vă da seama că este un atac DDoS și timpul necesar pentru a atenua pagubele, pot trece mai multe ore. Acest lucru înseamnă mai multe ore de servicii și venituri ratate, ceea ce înseamnă, în esență, o reducere majoră a veniturilor dumneavoastră.
Coduri de atac DDoS
Cel mai eficient mod de a atenua un atac DDoS este să știți când se întâmplă imediat ce începe atacul. Există mai multe indicii care arată că are loc un atac DDoS în curs de desfășurare:
- O adresă IP face x cereri în decurs de y secunde
- Serverele dvs. răspund cu un 503 din cauza întreruperii serviciului
- TTL (time to live) la o cerere ping se termină
- Dacă utilizați aceeași conexiune pentru software intern, angajații observă probleme de lentoare
Soluțiile de analiză a logurilor arată un vârf uriaș de trafic
Majoritatea acestor semne pot fi folosite pentru a automatiza un sistem de notificare care să trimită un e-mail sau un text administratorilor dumneavoastră.
Loggly poate trimite astfel de alerte pe baza evenimentelor din jurnal și a pragurilor definite, și chiar trimite aceste alerte către instrumente precum Slack, Hipchat sau PagerDuty.
Prea multe cereri pentru un IP
Puteți configura temporar routerul pentru a trimite trafic către rute NULL de la anumite IP-uri. Acest lucru trimite, în esență, adresele IP care atacă către un vid sau o fundătură, astfel încât să nu vă poată afecta serverele. Acest lucru este oarecum dificil, deoarece puteți bloca cu ușurință o adresă IP legitimă în timp ce încercați să opriți atacul. O altă problemă este că IP-ul sursă este de obicei falsificat, astfel încât conexiunea nu este niciodată finalizată între serverul dvs. și mașina sursă.
Setarea alertelor de la firewall sau de la sistemul de prevenire sau detectare a intruziunilor poate fi dificilă, deoarece, din nou, unii roboți legitimi vor fi detectați ca fiind un atac. Configurația și setările depind, de asemenea, de sistemul pe care îl aveți.
În general, doriți să setați o alertă care să iasă dacă un interval de adrese IP trimite prea multe cereri de conectare într-o fereastră mică de timp. Probabil că va trebui să puneți pe lista albă anumite adrese IP, deoarece unele, cum ar fi Googlebot, vă vor cerceta site-ul la o rată foarte rapidă și frecventă. Va fi nevoie de ceva timp și de reglaje înainte de a reuși să faceți ca această alertă să funcționeze corect, deoarece veți dori în mod legitim ca unii roboți și scripturi să ruleze care ar putea trimite un fals pozitiv la sistemul dvs. de alertă.
Serverul răspunde cu un 503
În Windows, puteți programa alerte atunci când se întâmplă un anumit eveniment în Event Viewer. Puteți atașa orice sarcină la un eveniment, inclusiv erori, avertismente sau orice alt eveniment care v-ar putea ajuta să atenuați o problemă înainte ca aceasta să devină o situație critică.
Pentru a atașa o sarcină la un eveniment 503, trebuie mai întâi să găsiți evenimentul în Event Viewer. Deschideți Event Viewer și faceți clic dreapta pe eveniment.
Aceasta deschide un ecran de configurare în care puteți configura evenimentul pentru a trimite un e-mail unui administrator sau unei echipe de persoane.
Dacă aveți mai multe servere, este eficient să configurați o alertă similară folosind Loggly:
TTL Times Out
Puteți face ping manual la serverele dvs. pentru a testa lățimea de bandă și conexiunea, dar acest lucru nu vă ajută atunci când doriți să automatizați o alertă înainte ca aceasta să fie critică. Dacă faceți ping la server, atunci știți deja că există ceva în neregulă.
Pentru a ajuta la automatizarea alertelor ping, mai multe servicii de pe web oferă o modalitate de a face ping la site-ul dvs. din întreaga lume. Serviciul face ping la site-ul dvs. din diferite regiuni de pe glob la o frecvență pe care o configurați. Dacă aveți găzduire în cloud, este posibil să aveți o problemă într-o regiune, dar nu și în alta, așa că aceste servicii de ping vă ajută să identificați problemele din anumite locații.
Sunt enumerate aici doar câteva servicii de ping. Cu aceste servicii, site-ul dvs. este monitorizat 24 de ore din 24, 7 zile din 7, pentru ca echipa dvs. IT să poată răspunde în cazul în care serverul dvs. are probleme. Deoarece un atac DDoS vă consumă lățimea de bandă, timpul de ping va fi prea lung sau va ieși din timp. Serviciul trimite o alertă echipei dvs. pentru ca aceasta să poată începe tehnicile de atenuare și să rezolve problema.
Sisteme de gestionare a logurilor și monitorizare a atacurilor DDoS
Soluții precum Loggly afișează statisticile de trafic pe întregul stack și vă ajută să identificați dacă există anomalii 24/7. Folosind Loggly, puteți identifica un atac în curs de desfășurare și puteți trimite alerte administratorilor dumneavoastră. Avantajul utilizării acestor jurnale este că nu numai că puteți identifica vârfurile de trafic, dar puteți identifica serverele afectate, erorile returnate utilizatorilor dumneavoastră, precum și data și ora exactă la care au avut loc vârfurile de trafic. Instrumentele de analiză fac mult mai mult decât să vă spună pur și simplu că există o problemă. Ele vă spun, de asemenea, care sunt serverele afectate pentru a vă economisi timp de depanare.
Cu sistemele de gestionare a jurnalelor, aveți mai multe avantaje decât celelalte soluții. Puteți seta alerte pentru orice tip de eveniment, ceea ce face ca acest tip de sistem să fie mult mai flexibil decât setarea unei alerte doar pentru trafic.
De asemenea, puteți face alertele mult mai granulare. De exemplu, cu o alertă bazată pe un IP la nivelul firewall-ului dumneavoastră, veți obține mai multe falsuri pozitive până când vă modificați configurațiile alertelor pentru a include doar IP-urile suspecte. Cu Loggly, vă puteți seta alertele pe baza unei combinații de evenimente și vârfuri de trafic, astfel încât să obțineți doar acele anomalii care ar trebui să întrerupă personalul IT și să îl facă să răspundă rapid.
O notă despre alerte: prea multe dintre ele pot avea un efect opus asupra echipelor IT. De exemplu, să presupunem că aveți sistemul configurat să trimită alerte la mai multe anomalii care sunt de obicei benigne. Echipa dvs. primește sute de alerte pe zi pe baza acestor configurații. Atunci când sunt inundați cu evenimente inofensive, cei de la IT au tendința de a le ignora pe toate, inclusiv pe cele importante. Nu este intenționat, dar atunci când se primesc sute de alerte pe zi, cele importante pot fi îngropate, iar rezultatul este că IT-ul are o omisiune în timpul unei întreruperi critice.
Armează-te împotriva DDoS
Evenimentele DDoS sunt dificile, dar în esență o preocupare majoră de securitate pentru administratori. Dar, cu ajutorul unor automatizări și alerte, puteți declanșa notificările proactive potrivite care să limiteze timpul necesar pentru a identifica și a opri un atac DDoS.
Acum că ați învățat monitorizarea DDoS și cum să vă dați seama dacă sunteți atacat, înscrieți-vă pentru o versiune de încercare GRATUITĂ Loggly, fără a fi necesară o carte de credit, și vizualizați performanța aplicațiilor, comportamentul sistemului și activitatea neobișnuită din întreaga stivă. Monitorizați resursele și indicatorii cheie și eliminați problemele înainte ca acestea să vă afecteze serverul și utilizatorii.
>> Înscrieți-vă acum pentru o versiune de probă gratuită a Loggly
Marcile comerciale, mărcile de serviciu și logo-urile Loggly și SolarWinds sunt proprietatea exclusivă a SolarWinds Worldwide, LLC sau a afiliaților săi. Toate celelalte mărci comerciale sunt proprietatea proprietarilor lor respectivi.
.