DDoS Saldırılarına Karşı Altyapı Güvenliği¶

Bu makalede

• Temel DDoS Koruması
• Gelişmiş DDoS Savunması
• Hizmetlerdeki Farklar

Modern web kaynakları ve internet hizmetleri, kritik sistemlerin başarısız olmasına ve tüm şirketleri ve kuruluşları felç etmesine neden olabilecek dağıtılmış hizmet reddi (DDoS) saldırılarına karşı savunmasızdır. Bu nedenle, kesintisiz çevrimiçi hizmet işlemlerini sürdürmek için DDoS saldırılarına karşı güvenilir koruma sağlama en üst önceliklerden biridir. HOSTKEY, şirket DDoS-Guard'dan DDoS saldırılarına karşı iki kapsamlı çözüm sunar: temel ücretsiz sürüm ve gelişmiş ücretli sürüm. Her çözümün kendine özgü aktivasyon özellikleri, koruma düzeyi ve sağlanan yetenekleri vardır.

Temel DDoS Koruması¶

Kapsamlı DDoS savunma sistemi, BGP üzerinden duyurulan rotaları ve trafik filtrelemeyi kullanan DDoS saldırılarına karşı sağlam bir çözümdür. Tüm korunan ağlar, DDoS-Guard dahil olmak üzere tüm sağlayıcılara duyurulur ve gelen trafiğin standart BGP AS-PATH aracılığıyla optimal kullanılabilirliği sağlanır. Harici sağlayıcılar, bu ağlara yönelik birden fazla AS-PATH'inden haberdardır ve rota bilgilerini yönlendiricilerinin yönlendirme veritabanında (RIB) saklar.

Gelen trafiği izlemek için tüm erişim noktalarında Sflow analizi yapılandırılmıştır. Belirli bir IP adresi için eşik değerinin aşılması durumunda (sunucu bağlantı noktası + bant genişliği kapasitesinin %50'si) bir tetikleyici devreye girer. Ardından, alt ağ DDoS-Guard hariç tüm erişim noktalarına duyurulmayı bırakır. Sağlayıcılar, diğer AS-PATH'lerin RIB bilgilerini temizler ve saldırıya uğrayan alt ağa yalnızca DDoS-Guard üzerinden bir rota bırakır. DDoS-Guard trafiği filtreler ve yalnızca temizlenmiş akışların sunucuya ulaşmasına izin verir.

İki saat sonra alt ağ tüm erişim noktalarına yeniden duyurulur. Saldırı devam ederse mekanizma tekrar devreye girer. Bir güvenlik özelliği, DDoS-Guard'ın savunmasını aşacak kadar güçlü veya karmaşık bir saldırı durumunda bile altyapının korunmasına olanak tanır. Bu durumda, alt ağ zaten koruma altında olduğunda, ilk tetiklemeden 10 dakika sonra ikinci bir tetikleme aktivasyonu gerçekleştiğinde DDoS kara delik mekanizması devreye girer. Bu mekanizma, belirli bir IP adresine yönelik trafiği engelleyen bir rota /32'yi tüm sağlayıcılara gönderir. Kara delik aktivasyonundan iki saat sonra otomatik kilidi açılır.

Gelişmiş DDoS Savunması¶

DDoS savunmasının ücretsiz sürümünde önceki uygulamasında birkaç eksiklik bulunmaktadır. Koruma senaryoları işlenirken, DDoS-Guard'a geçiş sırasında kayıplar nedeniyle birkaç dakika boyunca hizmette hafif bir bozulma meydana gelir. Yönlendirme bilgi tabanı (RIB) veritabanındaki değişiklikler genellikle alternatif bir rotaya sorunsuz bir geçişi mümkün kılsa da, bozulma devam eder.

Ayrıca, yalnızca kaba eşik değerleri kullanılır, bu da yalnızca basit ve etkili saldırıların korumayı tetikleyebileceği anlamına gelir. Ancak, bu mekanizma protokol açıklarını hedef alan saldırılara karşı koruma sağlamaz; eşik değerlerini aşmayabilecek ve bu nedenle koruma altına geçemeyebilecek küçük ölçekli SYN flood veya UDP-flood saldırıları gibi. Bu tür saldırılar genellikle çoğu hizmet için kritik olmasa da, bazı web siteleri önemli ölçüde performans düşüklüğü yaşayabilir.

Bu sorunu çözmek için kritik hizmetler için kalıcı bir savunma çözümü sunulmaktadır. Bu amaçlar için özel olarak birkaç atanmış alt ağ tahsis edilmiştir. Bu alt ağlar yalnızca DDoS-Guard üzerinden duyurulur ve kötü amaçlı trafikten sürekli olarak temizlenir.

Bu alt ağlardaki veri trafiği pahalı olduğu için bu hizmet ücretli olarak sağlanmaktadır. Böylece, gelişmiş DDoS savunma sürümü, kritik hizmetlerin çeşitli türlerdeki DDoS saldırılarına, protokol açıklarını hedef alan ve standart koruma modunda eşik değerlerini aşmayabilecek küçük ölçekli saldırılar dahil olmak üzere korunmasını sağlar.

Hizmetlerdeki Farklar¶