Altyapı Güvenliği DDoS Saldırılarından¶
Bu makalede
Modern web kaynakları ve internet hizmetleri dağıtık red saldırısı (DDoS) saldırılarına karşı savunmasızdır. Bu saldırılar kritik sistemlerin çökmesine neden olarak şirketlerin ve organizasyonların tamamını felç edebilir. Bu nedenle, kesintisiz çevrimiçi hizmet operasyonlarını sürdürmek için DDoS saldırılarına karşı güvenilir koruma sağlamak en önemli önceliklerden biridir. HOSTKEY, şirket DDoS-Guard'dan gelen iki kapsamlı çözüm sunar: temel ücretsiz sürüm ve gelişmiş ücretli sürüm. Her çözümün kendine özgü aktivasyon özellikleri, koruma düzeyi ve sağlanan yetenekleri vardır.
Temel DDoS Koruma¶
Kapsamlı DDoS savunma sistemi, BGP üzerinden duyurulan yollar ve trafik filtreleme kullanarak DDoS saldırılarına karşı güçlü bir çözümdür. Tüm korunmuş ağlar, tüm sağlayıcılara dahil olmak üzere DDoS-Guard'a da duyurulur, bu da standard BGP AS-PATH aracılığıyla gelen trafiğin optimum erişimini sağlar. Harici sağlayıcılar, bu ağlara ait birden fazla AS-PATH bilerek bu bilgiyi yönlendiricilerinin yönlendirme veritabanı (RIB) 'nda saklar.
Gelen trafiği izlemek için tüm erişim noktalarında Sflow analizi yapılandırılmıştır. Belirli bir IP adresindeki (sunucu portu + %50 bant genişliği kapasitesi) eşiği aşıldığında tetikleyici aktif hale gelir. Ardından, alt ağ tüm erişim noktaları dışında DDoS-Guard'a duyurulur. Sağlayıcılar, diğer AS-PATH'lerin RIB bilgilerini temizler ve saldırıya uğramış alt ağa yalnızca DDoS-Guard üzerinden tek bir rota bırakır. DDoS-Guard trafiği filtreler ve yalnızca temizlenmiş akışların sunucuda bulunmasına izin verir.
İki saat sonra, alt ağ tüm erişim noktalarına tekrar duyurulur. Saldırı devam ederse mekanizma yeniden etkinleşir. Bir güvenlik özelliği, saldırının DDoS-Guard savunmasını delerek o kadar güçlü veya karmaşık olması durumunda bile altyapıyı korumanıza olanak sağlar. Bu durumda, ilk tetikleyici aktivasyonu takiben 10 dakika sonra alt ağ zaten korunurken, ikinci tetikleyici aktivasyonuyla DDoS siyah deliği mekanizması etkinleşir. Belirli bir IP adresine giden trafiği engellemek için tüm sağlayıcılara /32 yönlendirmesi gönderir. Siyah delik aktivasyonu sonrası iki saat sonra otomatik açılış gerçekleşir.
Gelişmiş DDoS Savunması¶
DDoS savunma sisteminin ücretsiz sürümünde, önceki uygulatmada birkaç eksiklik bulunmaktadır. Koruma senaryoları işlenirken, DDoS-Guard'a geçişte kayıplar nedeniyle birkaç dakika içinde hizmette küçük bir düşüş meydana gelir. Yönlendirme veritabanı (RIB) veri tabanıındaki değişiklikler genellikle alternatif bir rotaya sorunsuz bir geçiş sağlar ancak düşüş devam eder.
Ayrıca sadece kaba tahmini değerler kullanılmıştır, yani yalnızca basit ve etkili saldırılar korumayı tetikleyebilir. Ancak bu mekanizma, SYN flood veya UDP-flood gibi protokol açıklıklarını hedefleyen saldırılardan korunmaz. Bu saldırılar eşiği aşmayabilir ve bu nedenle standart koruma modunda geçiş yapabilir. Genellikle çoğu hizmet için bu saldırılar önemsiz olsa da bazı web siteleri performanslarında önemli bir düşüş yaşayabilir.
Bu sorunu çözmek için kritik hizmetler için kalıcı bir savunma çözümü sunulmaktadır. Bu amaçla birkaç belirli alt ağ ayrılmıştır. Bu alt ağlar yalnızca DDoS-Guard aracılığıyla duyurulur ve sürekli olarak zararlı trafiğin temizlenmesi sağlanır.
Bu alt ağlardaki veri trafiği pahalı olduğu için bu hizmet ücret karşılığında sunulur. Böylece, gelişmiş DDoS savunma sürümü, protokol açıklıklarını hedefleyen ve standart koruma modunda eşiği aşmayan küçük ölçekli saldırıları da dahil olmak üzere çeşitli DDoS saldırılarından kritik hizmetlerin korunmasını sağlar.
Hizmetler Arasındaki Farklar¶
Temel Sürüm | Gelişmiş Sürüm | |
---|---|---|
Aktivasyon Koşulları | Sadece trafik değerlerinin belirli eşiğini aştığında | Trafik yoğunluğundan bağımsız sürekli koruma |
Koruma Süresi | 2-4 saat | Sürekli olarak |
Özellikler | Yalnızca eşiğin aşılmasından kaynaklanan büyük ihlaller tetikler, örneğin güçlü DDoS saldırıları | Her yoğunluktaki saldırıyı korur, protokol açıklıklarına yönelik küçük saldırılar da dahil olmak üzere (20 Mbps, SYN flood, UDP-flood) |
Hizmet Düşüşü | Birkaç dakika içinde kısa bir hizmet düşüşü | Hiçbiri |
Ağ Duyurusu | DDoS-Guard dahil tüm sağlayıcılara | Sadece DDoS-Guard aracılığıyla belirlenen korunmuş ağlar duyurulur |
Maksimum Yansıtılan DDoS Kapasitesi | - | 650 Gbps |
Koruma Seviyesi | L3/L4 | L3/L4 |