Infrastructuurbeveiliging tegen DDoS-aanvallen¶
In dit artikel
Moderne webbronnen en internetdiensten zijn kwetsbaar voor distributed denial-of-service (DDoS)-aanvallen, die kritieke systemen kunnen laten falen en hele bedrijven en organisaties kunnen lamleggen. Daarom is het waarborgen van betrouwbare bescherming tegen DDoS-aanvallen een topprioriteit voor het handhaven van ononderbroken online servicebewerkingen. HOSTKEY biedt twee uitgebreide oplossingen tegen DDoS-aanvallen van het bedrijf DDoS-Guard: de basisversie die gratis is en de geavanceerde betaalde versie. Elke oplossing heeft zijn eigen activatiefuncties, beschermingsniveau en aangeboden mogelijkheden.
Let op
Geavanceerde DDoS-bescherming is alleen beschikbaar voor dedicated servers.
Kern-DDoS-bescherming¶
Het uitgebreide DDoS-verdedigingssysteem is een robuuste oplossing tegen DDoS-aanvallen, die gebruikmaakt van aangekondigde routes via BGP en trafficfiltering. Alle beschermde netwerken worden aangekondigd aan alle providers, inclusief DDoS-Guard, wat zorgt voor optimale beschikbaarheid van inkomend verkeer via standaard BGP AS-PATH. Externe providers zijn op de hoogte van meerdere AS-PATHs naar deze netwerken en slaan route-informatie op in de routingdatabase (RIB) van hun routers.
Om inkomend verkeer te monitoren, is Sflow-analyse geconfigureerd op alle toegangspunten. Zodra de drempelwaarde voor een specifiek IP-adres (de serverpoort plus 50% bandbreedtecapaciteit) wordt overschreden, wordt een trigger geactiveerd. Vervolgens wordt het subnet niet langer aangekondigd aan alle toegangspunten, behalve DDoS-Guard. Providers reinigen RIB-informatie van andere AS-PATHs, waardoor slechts één route naar het aangevallen subnet via DDoS-Guard overblijft. DDoS-Guard filtert het verkeer en laat alleen schoongemaakte flows de server bereiken.
Na twee uur wordt het subnet opnieuw aangekondigd aan alle toegangspunten. Als de aanval aanhoudt, wordt het mechanisme opnieuw geactiveerd. Een veiligheidsfunctie stelt u in staat om de infrastructuur te beschermen, zelfs als een aanval zo krachtig of complex is dat deze de verdediging van DDoS-Guard penetreert. In dit geval wordt, bij een tweede trigger-activatie 10 minuten na de eerste, wanneer het subnet al onder bescherming staat, het DDoS-blackhole-mechanisme geactiveerd. Dit stuurt een route /32 naar alle providers, waardoor verkeer naar een specifiek IP-adres wordt geblokkeerd. Automatisch ontgrendelen vindt plaats twee uur na blackhole-activatie.
Verbeterde DDoS-verdediging¶
De gratis versie van de DDoS-verdediging heeft enkele tekortkomingen in de vorige implementatie. Bij het verwerken van scenario's voor bescherming treedt een lichte verslechtering van de service op gedurende enkele minuten door verlies tijdens het overschakelen naar DDoS-Guard. Hoewel wijzigingen aan de routing information base (RIB)-database doorgaans een soepele overgang naar een alternatieve route mogelijk maken, blijft de verslechtering bestaan.
Bovendien worden alleen grove drempelwaarden gebruikt, wat betekent dat alleen eenvoudige en effectieve aanvallen bescherming kunnen activeren. Dit mechanisme biedt echter geen bescherming tegen aanvallen die gericht zijn op protocolkwetsbaarheden, zoals kleinschalige SYN-flood- of UDP-flood-aanvallen, die de drempelwaarden mogelijk niet overschrijden en daardoor niet onder bescherming vallen. Hoewel deze aanvallen over het algemeen niet kritiek zijn voor de meeste diensten, kunnen sommige websites aanzienlijke prestatievermindering ervaren.
Om dit probleem aan te pakken, wordt een permanente verdedigingsoplossing aangeboden voor kritieke diensten. Er zijn verschillende aangewezen subnets toegewezen die specifiek voor deze doeleinden zijn bestemd. Deze subnets worden alleen via DDoS-Guard aangekondigd en worden consequent schoongemaakt van kwaadaardig verkeer.
Aangezien dataverkeer op deze subnets duur is, wordt deze dienst tegen betaling aangeboden. De geavanceerde versie van DDoS-verdediging stelt u dus in staat om kritieke diensten te beschermen tegen verschillende soorten DDoS-aanvallen, waaronder aanvallen die gericht zijn op protocolkwetsbaarheden en kleinschalige aanvallen die de drempelwaarden in de standaard beschermingsmodus mogelijk niet overschrijden.
Verschillen in diensten¶
| Basisversie | Geavanceerde versie | |
|---|---|---|
| Activatievoorwaarden | Alleen bij overschrijding van specifieke drempelwaarden voor verkeer | Continue bescherming, ongeacht de verkeerintensiteit |
| Tijd onder bescherming | 2-4 uur | Permanent |
| Unieke functies | Wordt alleen geactiveerd door grove overtredingen van drempels, bijv. krachtige DDoS-aanvallen | Biedt bescherming tegen aanvallen van elke intensiteit, inclusief kleine aanvallen op protocolkwetsbaarheden (20 Mbps, SYN-flood, UDP-flood) |
| Serviceverslechtering | Korte serviceverslechtering gedurende enkele minuten | Geen |
| Netwerkaanmelding | Aan alle providers, inclusief DDoS-Guard | Aangewezen beschermde netwerken worden alleen via DDoS-Guard aangekondigd |
| Maximale weerspiegelde DDoS-capaciteit | - | 650 Gbps |
| Beschermingsniveau | L3/L4 | L3/L4 |