Под угрозой распределенной атаки типа «отказ в обслуживании» (DDoS) системы останавливаются и часто перестают отвечать на запросы. Чтобы остановить атаку, защитники должны двигаться быстро и пройти три основных этапа:
Этап I. Блокирование DDoS-атаки. Примите немедленные меры, чтобы попытаться заблокировать атаку. Иногда для этого потребуется помощь извне. Если блокировка не работает, может потребоваться отключить ресурс, чтобы переждать атаку. Чтобы узнать, как остановить определенные типы атак, см.
Остановить DDoS-атаки внешних приложений, серверов и веб-сайтов
Остановить DDoS-атаки на внешний маршрутизатор
Остановить внутренние DDoS-атаки на сервер или маршрутизатор
Остановить DDoS-атаки на систему видеоигр
Этап II. Определение типа DDoS-атаки. Изучите и проанализируйте файлы журналов, оповещения и другие записи, которые могут указать, какой тип атаки выполняется и откуда. В некоторых случаях этот шаг может потребоваться для блокировки атаки.
Этап III: Восстановление после DDoS-атаки. Примите меры для предотвращения дальнейших атак и внесите коррективы для восстановления после атаки (архитектура, процессы и т. д.).
Несмотря на нумерацию, группы реагирования на инциденты часто обнаруживают, что некоторые из этих этапов необходимо выполнять одновременно. Кроме того, когда злоумышленники наблюдают за действиями защитника, они также могут изменить тактику и потребовать от защищающейся команды повторения между этими этапами и шагами внутри них.
Конечно, специфика каждого этапа также будет строго индивидуальной и будет зависеть от многих факторов, начиная с типа DDoS-атаки, атакуемого ресурса (маршрутизатор, веб-сайт, приложение, сервер и т. д.) и средств защиты или смягчения DDoS-атаки. уже на месте. Кроме того, ИТ-архитектура, ресурсы защитника и самоотверженность злоумышленника также будут играть важную роль в том, как необходимо проходить этапы и методы.
К счастью, интернет-провайдеры (ISP) и специализированные поставщики могут предоставить профессиональные услуги защиты от DDoS -атак для немедленной помощи тем, кто в ней нуждается. Однако даже эти специалисты по безопасности будут выполнять те же задачи, что и мы, только с большим опытом и потенциально более сложными инструментами.
Этап I: блокировка DDoS-атаки
Попав под DDoS-атаку, ресурсы работают вяло, и даже изменения для их защиты могут быть трудновыполнимы. Хотя атаки не могут быть полностью остановлены без идентификации атаки, идентификация не может быть даже предпринята, когда системы настолько заблокированы, что доступ к ним невозможен.
Атака должна быть остановлена — даже временно — для восстановления внутренних ресурсов, таких как мощность ЦП и память. Организации, отправляющие журналы на другие ресурсы (разделенное хранилище, решения SIEM и т. д.), могут одновременно работать на Этапе I: Блокировать DDoS-атаку и Этапе II: Определить тип DDoS-атаки.
Основные Тактики Реагирования На DDoS-Атаки
Простые DDoS-атаки часто можно заблокировать с помощью квалифицированных внутренних ресурсов. Тем не менее, имейте в виду, что даже базовые DDoS-атаки, возможно, потребуется заблокировать вверх по течению с помощью хост-провайдераинтернет-услуг (ISP), иначе заблокированный трафик DDoS-атаки может по-прежнему угрожать пропускной способности соединения и инфраструктуре интернет-провайдера.
Количество потенциальных инструментов, сервисов и методов для блокировки DDoS-атак превышает количество возможных типов атак. Однако в целом их можно разделить на следующие категории тактики.
Эти тактики будут представлены в приблизительном порядке, основанном на вероятности успеха и срочности, но их не следует воспринимать как нечто большее, чем эмпирическое правило. Даже если организация решит воспользоваться первой категорией, вызвать эксперта по DDoS, эксперты могут не иметь возможности действовать сразу, и тем временем организации придется предпринять другие действия.
Точно так же последняя категория «Внедрение новой технологии» следует за списком, потому что часто требует значительных исследований. Однако, если организация уже провела исследование, эта категория действий, безусловно, может быть предпринята немедленно.
Любая организация, подвергшаяся нападению, должна просмотреть категории и внедрить то, что, по ее мнению, даст наибольшие шансы на успех, исходя из ее непосредственных обстоятельств. В каждой категории будут перечислены плюсы и минусы, чтобы помочь в процессе принятия решений.
Вызовите DDoS-эксперта
Типичные DDoS-атакиинтернет-ботов достигают 10–11 ГБ в секунду, но рекордные DDoS-атаки достигают 46 миллионов запросов в секунду или 3,47 ТБ в секунду. Даже крупные предприятия с трудом блокируют атаки такого масштаба без профессиональной помощи.
Небольшие организации могут позвонить своему интернет-провайдеру, который может предоставить специалистов по DDoS или активировать дополнительные функции для блокировки DDoS-атак. Однако возможности интернет-провайдеров могут быть ограничены, поэтому некоторые организации обращаются к консультантам, инструментам или специалистам по реагированию на инциденты, экспертам по управляемому обнаружению и реагированию (MDR) и другим специалистам по безопасности, чтобы остановить атаку, улучшить системы против будущих DDoS-атак и порекомендовать другие необходимые инструменты. и услуги.
Облачные службы защиты от DDoS -атак часто предоставляют наиболее полный вариант для блокировки DDoS-атак, поэтому организации часто задействуют или переносят свою инфраструктуру под защиту поставщиков виртуальных частных сетей (VNP) (таких как NordVPN, Perimeter 81 и Surfshark) или DDoS. Поставщики услуг защиты (такие как Akamai, Cloudflare и Imperva). Обязательно внесите в белый список соединение между службой и защищаемой системой и заблокируйте другие соединения, чтобы ничто не могло обойти службу DDoS, но имейте в виду, что даже облачные провайдеры не могут предотвратить атаки DDoS, исходящие из сети организации.
Плюсы службы реагирования на DDoS:
Чрезвычайно эффективный
Использует масштаб облачных ресурсов
Специалисты DDoS используют свой опыт, чтобы двигаться быстрее
Эксперты DDoS могут блокировать широкий спектр текущих DDoS-атак и устранять пути для будущих DDoS-атак.
Специалисты DDoS ведут учет ботнетов DDoS и могут заблокировать многие из них до того, как они активируются.
Минусы:
Если эксперта еще нет, организация должна найти и квалифицировать эксперта, находясь под давлением.
Этот метод будет стоить дороже, чем внутренние решения (но может стоить инвестиций)
Фильтрация IP-адресов DDoS
Беглый просмотр файлов журналов часто позволяет выявить определенный набор IP-адресов, генерирующих большую часть DDoS-трафика. Блокирование этих атакующих IP-адресов может дать временное облегчение и дать время для применения других тактик.
Плюсы фильтрации IP-адресов DDoS:
Быстрота исполнения, недорого
Можно выиграть время для других тактик
Минусы:
В общем временное решение в лучшем случае
Злоумышленники могут подделывать IP-адреса
Злоумышленники могут легко переключиться на другой ботнет. Это приводит к игре «ударь крота», когда защитники постоянно пытаются не отставать от защитников.
Также следует применять на уровне интернет-провайдера, иначе пропускная способность интернет-провайдера будет потребляться трафиком, который заблокирован на ресурсе (брандмауэр приложений, интернет-шлюз, локальный брандмауэр и т. д.).
Переход на новый IP-адрес
Вместо того, чтобы блокировать злоумышленников, защитники могут убрать ресурс из поля зрения DDoS-атак и перенаправить легитимный трафик на новый IP-адрес.
Плюсы миграции IP-адресов:
Недорого, относительно быстро
Можно выиграть время для других тактик
Минусы:
Как правило, это временное решение, потому что злоумышленники также найдут новое местоположение.
Могут потребоваться значительные внутренние изменения для других ресурсов, связанных с перемещенным ресурсом.
Включить неиспользуемые или усилить существующие параметры защиты от DDoS-атак
Организации могут проверить существующие ресурсы (серверное программное обеспечение, прошивку маршрутизатора и т. д.) на наличие опций защиты от DDoS-атак, которые могут быть еще не активированы. Например, включение опций DDoS на маршрутизаторах или настройка ограничения скорости запросов на хост.
Плюсы:
Недорого и быстро
Минусы:
Может быть неэффективен против текущей атаки
Злоумышленники могут легко переключать методы
Может быть невозможно выполнить, пока DDoS-атака не прекратится.
Включить геоблокировку
Изучение журналов во время DDoS-атаки может выявить огромные всплески трафика из стран, которые обычно не посещают веб-сайт. Геоблокировка может блокировать крупные ботнеты, работающие из других стран.
Плюсы:
Недорого, быстро
Может быть эффективным и выиграть время для других тактик
Минусы:
Временное решение, поскольку ботнеты существуют во всех основных странах.
Блокирует законный трафик из заблокированных регионов (и, возможно, сотрудников, путешествующих или работающих в этих регионах)
Отключение служб
Хотя это и уступает некоторую победу DDoS-атакам, иногда отключение атакуемой системы является лучшим вариантом. Служба или ресурс могут быть изолированы и защищены от дальнейших атак, прежде чем они снова будут подключены к сети.
Если известен конкретный тип атаки, может быть отключена конкретная атакуемая служба, а не весь ресурс. Например, при атаке HTTP GET DDoS-атака может пытаться загрузить очень большие PDF-файлы, поэтому защита может состоять в том, чтобы отключить ссылку на PDF-файлы или временно отключить загрузку, не затрагивая остальную часть веб-сайта.
Плюсы:
Недорогой в исполнении, быстрый, эффективный
Минусы:
Потенциально разрушительно, особенно при полном отключении системы
Несмотря на низкую стоимость выполнения, связанные с этим сбои в бизнесе могут быть очень дорогостоящими для организации.
Внедрить новую технологию
Этот ответ добавляет брандмауэры веб-приложений, безопасные веб-шлюзы, устройства защиты от атак DDoS или другие технологии для защиты ресурсов. Эти инструменты могут проверять и очищать трафик до того, как он достигнет ресурса.
Плюсы:
Может быть эффективным и, вероятно, защищает от будущих атак
Минусы:
Может быть дорогим и трудоемким для развертывания
Может потреблять будущие ресурсы для содержания
Может привести к задержкам развертывания из-за исследования, доставки и настройки решения.
Не устраняет проблемы для интернет-провайдеров между Интернетом и инструментом проверки.
Инструменты проверки не всегда могут быстро масштабироваться или справляться с крупнейшими DDoS-атаками.
Нетехнические Ответы DDoS
Даже если группа реагирования на инциденты изо всех сил пытается справиться с DDoS-атакой, организация все равно должна иметь дело с другими заинтересованными сторонами:
Руководителей нужно держать в курсе
Сотрудникам может потребоваться уведомление о наличии внутренних ресурсов или альтернативных методов выполнения работы.
Клиентам может потребоваться уведомление и информирование о состоянии системы (часто это делается с использованием социальных сетей, не затронутых атакой).
Если DDoS-атака наносит значительный ущерб бизнесу, может потребоваться уведомление страховых компаний по кибербезопасности, регулирующих органов (Комиссия по безопасности и биржам и т. д.) и правоохранительных органов.
Руководство организации должно быть готово внедрить нетехническую помощь в группу реагирования на инциденты для координации, управления и осуществления письменного, устного и телефонного общения с заинтересованными сторонами. Финансовый директор может даже захотеть включить в команду кого-то с полномочиями санкционировать расходы или координировать быстрое санкционирование покупок, необходимых для восстановления после DDoS-атаки.
Также читайте:
Как создать план реагирования на инциденты
Решения для аварийного восстановления
Лучшие инструменты и программное обеспечение для реагирования на инциденты на 2022 год
Остановить конкретные DDoS-атаки
Вышеупомянутые основные методы DDoS применимы ко всем атакам, но каждый тип атаки DDoS и затронутая архитектура могут выиграть только от некоторых тактик. Ниже мы предоставим целенаправленную тактику для конкретных атакуемых ресурсов — просто имейте в виду, что для конкретных архитектур могут потребоваться специальные методы.
Во многих случаях самым быстрым способом устранения атаки будет вызов эксперта, особенно облачных служб защиты и реагирования на DDoS. Однако они могут не работать эффективно для внутренних атак на серверы, маршрутизаторы или внутренние приложения, а также могут быть дорогими. Некоторые организации не смогут разрешить немедленное использование более дорогих ресурсов, и, возможно, сначала придется попробовать другие подходы.
Остановить DDoS-Атаки Внешних Приложений, Серверов И Веб-Сайтов
Поскольку активы, преднамеренно открытые для использования в Интернете, приложения и веб-сайты часто становятся мишенью для DDoS-атак, потому что на них легче всего повлиять. Серверы, на которых размещаются или поддерживаются эти ресурсы, часто напрямую подвергаются атаке и страдают от перегрузки ЦП, памяти и полосы пропускания. После начала атаки шаги по защите каждого из них будут очень похожими.
Шаг 1: заблокируйте первоначальную атаку
Изучите файлы журналов и заблокируйте IP-адреса или используйте геозону, чтобы заблокировать трафик из стран, производящих наибольший трафик. Хотя это может быть эффективным только временно, это поможет выиграть время для более эффективной защиты.
Шаг 2: уклонение от атаки
Если блокировка окажется неэффективной, попробуйте изменить IP-адрес или URL-адрес сервера, чтобы убрать сервер с пути DDoS-атаки. Как и в случае блокировки атаки, это может быть лишь временной передышкой, но с ее помощью можно выиграть время для реализации других тактик, выполнение которых требует больше времени.
Шаг 3. Остановите службу
Если блокирование или обход атаки не работает, организации может потребоваться остановить атакуемую службу (например, загрузку PDF, корзину покупок и т. д.).
Частичная или полная остановка веб-сайта или приложения будет настолько разрушительной, что к этому шагу нельзя относиться легкомысленно. Его следует выполнять только в том случае, если шаги 1 и 2 не могут предоставить достаточно времени для выполнения других шагов ниже.
Шаг 4. Включите дополнительные средства защиты
В то время как часть группы реагирования на инциденты пытается остановить существующую атаку, другие участники должны работать над включением других средств защиты от DDoS-атак, таких как:
Позвоните интернет-провайдеру, чтобы получить помощь или воспользоваться услугами защиты от DDoS-атак.
Добавьте брандмауэры веб-приложений (WAF) или настройте параметры WAF для блокировки атак.
Применяйте более жесткие ограничения скорости к брандмауэрам, серверам и другим ресурсам, защищающим и обслуживающим веб-сайт или приложение.
Привлекайте поставщиков услуг или добавляйте такие инструменты, как:
Устройства защиты от DDoS перед существующими устройствами брандмауэра
Плагины WordPress (например, WordFence) для блокировки DDoS-трафика.
Облачные брандмауэры корпоративного уровня (такие как Google или FWaaS, Firewall-as-a-Service)
Служба защиты от DDoS от таких поставщиков, как Cloudflare или Sucuri.
Однако имейте в виду, что дополнительные средства защиты часто влияют на существующую архитектуру или производительность. Например, средства балансировки нагрузки могут быть обойдены инструментами DDoS, или проверка пакетов устройств защиты от DDoS может привести к задержке трафика.
Остановить DDoS-Атаки На Внешний Маршрутизатор
От атак на маршрутизаторы обычно страдают частные лица и малые предприятия, которые подключают свой маршрутизатор напрямую к Интернету. Часто нет ИТ-специалиста, регулярно поддерживающего среду, поэтому DDoS-атаки на маршрутизаторы могут привести к полному отключению доступа в Интернет. Для типичных атак защитники будут:
Шаг 1. Сбросьте IP-адрес
Самый быстрый способ избежать DDoS-атаки — сбросить IP-адрес. Есть несколько способов сделать это:
Самый быстрый способ: отключите маршрутизатор, а иногда и модем. Для внутренних маршрутизаторов сброс IP-адреса может быть быстрым, но для маршрутизаторов, подключенных к Интернету, назначение нового IP-адреса может занять от 5 минут до 24 часов, в зависимости от интернет-провайдера.
Лучший способ: обратитесь к провайдеру. Некоторые интернет-провайдеры ограничивают изменение IP-адреса, и с ними необходимо связаться напрямую. Интернет-провайдеры также могут реализовать дополнительную безопасность или предложить дополнительные услуги для блокировки DDoS-атак.
Консоль администратора: войдите в маршрутизатор как администратор через веб-браузер и измените IP-адрес в настройках сети. Инструкции для конкретного маршрутизатора см. в руководстве пользователя.
Командная строка: опытные пользователи могут освобождать и обновлять IP-адрес, используя подсказки командной строки команд ipconfig (Windows, MacOS) или ip (Linux). Пользователи Mac также могут использовать расширенные системные настройки, чтобы выбрать TCP/IP и «Продлить аренду DHCP».
Конечно, это делает Интернет или сеть недоступными до тех пор, пока маршрутизатор не будет перезапущен, и злоумышленники все еще могут искать новый IP-адрес для атаки на маршрутизатор.
Шаг 2. Активируйте параметры защиты от DDoS-атак на маршрутизаторе
Проверьте руководство или меню консоли администратора, чтобы узнать, есть ли дополнительные параметры защиты от DDoS, которые можно включить на маршрутизаторе. Они могут быть активированы быстро, но могут повлиять на производительность.
В старых маршрутизаторах или маршрутизаторах потребительского класса могут отсутствовать функции защиты от современных DDoS-атак и других распространенных угроз. Рассмотрите возможность перехода на более мощные устройства с дополнительными функциями безопасности или емкостью.
Шаг 3: Добавьте уровни защиты
Чтобы блокировать будущие атаки на маршрутизаторы, ИТ-специалисты могут добавить дополнительные уровни защиты. Для внешних атак между маршрутизатором и Интернетом могут быть добавлены брандмауэры, службы VPN, безопасные веб-шлюзы (SWG) и устройства защиты от DDoS. Лучший выбор будет зависеть от бюджета и ресурсов организации.
Остановить Внутренние DDoS-Атаки На Сервере Или Маршрутизаторе
Хотя DDoS-атаки в Интернете, управляемые ботами, часто попадают в заголовки газет, злоумышленники также могут использовать уязвимости или использовать вредоносное ПО для превращения устройств в сети в ботнет для атаки на внутренние ресурсы. В этих ситуациях облачные службы не смогут помочь, поскольку трафик исходит из доверенной сети, за пределами которой поставщик облачных услуг не может предложить большую помощь.
Внутренние атаки могут быть направлены на внутренние маршрутизаторы, чтобы вызвать сбои в бизнесе или отвлечь внимание, чтобы активировать другие вредоносные действия, такие как программы -вымогатели или кража данных. Чтобы противостоять этим внутренним атакам, командам реагирования на инциденты может потребоваться сначала остановить определенный стиль атаки, чтобы обеспечить сетевую навигацию.
Шаг 1: заблокируйте первоначальную атаку
Изучите файлы журналов. Если трафик исходит от определенных устройств или сегментов сети, заблокируйте эти IP-адреса или отключите скомпрометированные устройства. Хотя это может быть эффективным только временно, это поможет выиграть время для более эффективной защиты.
Однако могут быть обстоятельства, которые не позволяют отключить DDoS-атакующих. Например, если злоумышленник превратит респираторы больницы в ботнет, больница не сможет просто отключить респираторы, не нанеся серьезного ущерба здоровью пациентов.
Шаг 2: уклонение от атаки
Если блокировка окажется неэффективной, попробуйте изменить IP-адрес сервера или маршрутизатора, чтобы убрать ресурс с пути DDoS-атаки. Как и в случае блокировки атаки, это может быть лишь временной передышкой, но с ее помощью можно выиграть время для реализации других тактик, выполнение которых требует больше времени.
Шаг 3. Остановите службу
Если блокирование или обход атаки не работает, организации может потребоваться остановить атакуемую службу. Однако частичная или полная остановка веб-сайта или приложения будет настолько разрушительной, что к этому шагу нельзя относиться легкомысленно. Его следует выполнять только в том случае, если шаги 1 и 2 не могут предоставить достаточно времени для выполнения других шагов ниже. В крайних случаях сетевые кабели могут быть физически отключены от сервера или устройств, чтобы предотвратить атаку.
Шаг 4. Включите дополнительные средства защиты
В то время как часть группы реагирования на инциденты пытается остановить существующую атаку, другие участники должны работать над включением других средств защиты от DDoS-атак, таких как:
Перенаправляйте трафик через брандмауэры или добавляйте брандмауэры устройств для блокировки атак.
Примените более жесткие ограничения скорости к брандмауэрам, серверам и другим ресурсам, защищающим и обслуживающим маршрутизатор или сервер.
Добавьте или усильте продукты для сетевой безопасности, системы обнаружения сетевых вторжений (IDS) и системы предотвращения вторжений (IPS). Эти инструменты могут обнаруживать и останавливать внутренние DDoS-атаки или предоставлять предупреждения поставщикам услуг.
Обратитесь к специалисту по реагированию на инциденты или к поставщику средств безопасности, чтобы помочь найти вредоносное ПО, вызывающее DDoS-атаку.
Имейте в виду, что криминалистическое расследование или расследование безопасности станет частью процесса восстановления после внутренних атак. Первоначальное заражение, точки доступа, вредоносное ПО и изменения в системах, внесенные злоумышленниками, необходимо будет обнаружить и удалить, чтобы предотвратить будущие DDoS-атаки или еще хуже.
Ознакомьтесь с лучшими инструментами и программным обеспечением для цифровой криминалистики на 2022 год.
Остановить DDoS-Атаки На Систему Видеоигр (PS4, PS5, XBox И Т. Д.)
Злоумышленникам нужен IP-адрес, против которого они могут запустить свою DDoS-атаку. Официальные сети, такие как Steam, или официальные игровые серверы (для Xbox, Playstation и т. д.) обычно скрывают IP-адреса пользователей, но многие сторонние серверы, обслуживающие такие игры, как Minecraft или Team Fortress 2, могут оставлять IP-адреса видимыми.
Хотя рост популярности видеоигр обычно является проблемой для потребителей, он создал целую индустрию предприятий, подверженных DDoS-атакам, таких как профессиональные команды по видеоиграм, интернет-кафе и турниры по видеоиграм. Кроме того, многие компании не отслеживают платформы видеоигр (Xbox, Playstation и т. д.) или программное обеспечение (Blizzard, Steam и т. д.), установленное в локальных сетях или системах.
Компании с общедоступными точками доступа Wi-Fi для клиентов также будут очень уязвимы. Атака на локально подключенную игровую систему может вызвать побочные эффекты в сети, маршрутизаторе и других ИТ-системах в среде.
Шаг 1. Сбросьте IP-адрес
Как и в случае с атакой на маршрутизатор, самым быстрым методом будет сброс системы и IP-адреса.
Самый быстрый способ: отключите игровую систему. Если игровая система является единственным устройством в локальной сети, также отключите маршрутизатор или модем, соединяющий игровую систему с Интернетом. Для внутренних маршрутизаторов сброс IP-адреса может быть быстрым, но для устройств, подключенных к Интернету, назначение нового IP-адреса может занять от 5 минут до 24 часов в зависимости от интернет-провайдера.
Лучший способ: обратитесь к провайдеру. Некоторые интернет-провайдеры ограничивают изменение IP-адреса, и с ними необходимо связаться напрямую. Интернет-провайдеры также могут реализовать дополнительную безопасность или предложить дополнительные услуги для блокировки DDoS-атак.
Сброс IP-адреса маршрутизатора: войдите в консоль маршрутизатора в качестве администратора через веб-браузер и измените IP-адрес в настройках сети. Инструкции для конкретного маршрутизатора см. в руководстве пользователя.
Сброс IP-адреса маршрутизатора: Опытные пользователи могут освобождать и обновлять IP-адрес с помощью подсказок командной строки команд ipconfig (Windows, MacOS) или ip (Linux). Пользователи Mac также могут использовать расширенные системные настройки, чтобы выбрать TCP/IP и «Продлить аренду DHCP».
Конечно, это делает Интернет или сеть недоступными до тех пор, пока маршрутизатор не будет перезапущен, и злоумышленники все еще могут искать новый IP-адрес для атаки на маршрутизатор.
Шаг 2. Активируйте параметры защиты от DDoS-атак
На маршрутизаторе проверьте руководство или меню консоли администратора, чтобы узнать, есть ли дополнительные параметры защиты от DDoS, которые можно включить на маршрутизаторе, обслуживающем игровую консоль. Они могут быть активированы быстро, но могут повлиять на производительность.
В меню некоторых игровых консолей доступны параметры конфиденциальности и онлайн-безопасности, которые можно использовать для сведения к минимуму общедоступной информации. В Xbox это называется «приватный режим» и доступен в разделе «Дополнительные параметры»> «Настройки Xbox»> «Конфиденциальность и безопасность в Интернете».
Шаг 3: Добавьте уровни защиты
Добавить сетевую службу VPN достаточно просто, но она может добавить ping из-за дополнительных сетевых переходов. Ищите VPN-сервисы, которые обслуживают геймеров или рекламируют соединения с малой задержкой и безопасные IP-адреса.
Обновите или добавьте маршрутизаторы профессионального уровня, брандмауэры нового поколения. Чтобы избежать увеличения пинга из-за проверки пакетов, ищите устройства с малой задержкой или устройства, которые можно настроить на игнорирование трафика игровой системы для проверки.
Профессиональные игровые среды также должны защищаться от внутренних угроз, когда пользователь может собирать внутренние IP-адреса в интернет-кафе или на турнире и передавать эту информацию внешним злоумышленникам. Для блокировки внешних угроз и микросегментации можно использовать дополнительное оборудование для защиты от DDoS-атак и службы защиты от DDoS- атак., мониторинг сети и группы управляемого обнаружения и реагирования (MDR) могут использоваться для защиты каждого игрока и отслеживания злонамеренного поведения.
Этап II: определение типа DDoS-атаки
Некоторые атаки становятся очевидными, потому что все останавливается, но часто бывает период, когда ресурс «ведет себя смешно», борясь с ранними стадиями DDoS-атаки. В любом случае атака не может быть полностью остановлена, если она не идентифицирована.
В лучшем случае группы безопасности и реагирования на инциденты получают достаточно предупреждений от ресурсов, чтобы обеспечить заблаговременное предупреждение, чтобы отсечь худшую из DDoS-атак или легко проанализировать атаку. В худшем случае журнал и оповещения могут быть созданы только после сбоя ресурса.
Признаки DDoS-Атаки
Первыми признаками атаки будут задержки. Приложения будут работать медленно, веб-сайты будут медленно загружаться, серверы будут медленно отвечать на запросы и т. д.
Пользователи, находящиеся за атакованным интернет-соединением, могут быть отрезаны от Интернета или не могут использовать локальные ресурсы. Сетевые операционные центры, инструменты мониторинга брандмауэров, инструменты использования облачных сервисов и другие решения для мониторинга могут обнаруживать всплески сетевого или интернет-трафика.
В глубине атаки ресурсы просто станут недоступны — даже для запуска диагностических инструментов или доступа к файлам журналов и другим отчетам. Команды должны реагировать как можно быстрее или следить за тем, чтобы ресурсы отдавали приоритет отправке журналов для анализа.
Изучение И Анализ Журналов, Предупреждений И Записей
Файлы журналов и другие записи будут отслеживать производительность приложения, пропускную способность сети, использование ЦП, использование памяти и другие ключевые факторы, связанные с DDoS-атакой. Часто DDoS-атака представляет собой всплеск необычного поведения, такого как внезапное увеличение веб-трафика, запросы определенных документов и т. д.
СОВЕТ: Документируйте все. Эти записи от DDoS-атаки будут полезны для расчета ущерба для страхования кибербезопасности., для судебно-медицинской экспертизы в отношении злоумышленника и для посмертного анализа того, как предотвратить подобные атаки в будущем.
В идеале первые индикаторы проблем будут исходить от предупреждений, настроенных для мониторинга программного обеспечения, проверяющего пропускную способность, память или проблемы с процессором. Оповещения могут помочь группе быстрого реагирования и предотвратить DDoS-атаку до того, как она снимет ресурсы.
Без предупреждений организации, возможно, придется полагаться на жалобы клиентов или внутренние жалобы, которые могут быть задержаны, поскольку они также могут пройти через перегруженный ресурс (приложение, сервер и т. д.), поврежденный DDoS-атакой.
Характеристика Атаки
Определение характеристик атаки помогает отличить трафик атаки от законного трафика и профилировать саму атаку. Атаки низкого уровня с использованием протоколов для отключения инфраструктуры потребуют другого стиля реагирования, чем атаки на уровне приложений, пытающиеся атаковать определенную функцию в приложении.
С таким количеством различных типов возможных DDoS-атак может быть трудно точно определить, какой из них может быть развернут. Тем не менее, группа реагирования будет использовать свой анализ журналов, чтобы предоставить подсказки относительно атаки и возможных средств защиты.
Для внутренних сетевых DDoS-атак может потребоваться криминалистическое расследование, чтобы определить, как атака проникла в сеть, заразила системы и запустила DDoS-атаки. Для сбора улик и обеспечения того, чтобы из сети были удалены более изощренные злоумышленники, часто требуются специализированные криминалисты.
Отслеживание Атаки
Трассировка DDoS-атаки направлена на поиск источников атаки независимо от IP-адресов поддельных источников во время или после атаки. Во время атаки, если атаки исходят с небольшого количества IP-адресов, атака может быть заблокирована с помощью блокировки IP; однако это будет нетипично для современной DDoS-атаки.
Этап III: Восстановление после DDoS-атаки
Организации, способные быстро устранить DDoS-атаку, могут пострадать лишь от неудобств. Организации, которым не так повезло, должны будут оценить ущерб, внести необходимые коррективы, необходимые для устранения DDoS-атак, определить, какие немедленные шаги необходимо предпринять для предотвращения повторения этой DDoS-атаки, и рассмотреть другие превентивные меры.
Ущерб От DDoS-Атак
Ущерб от DDoS-атак будет варьироваться от организации к организации и зависит от затронутых ресурсов. В опросах клиентов:
По оценкам Imperva, средний DDoS обходится организациям в 40 000 долларов в час.
Опрос «Лаборатории Касперского» показывает, что средняя стоимость устранения DDoS-атаки на SMB составляет 120 000 долларов, а для предприятий эта сумма в среднем возрастает до 2 миллионов долларов за событие.
Опрос Corero оценивает прямые затраты организаций в размере 50 000 долларов США на каждое событие DDoS, но не учитывает коммерческие потери, потерю репутации или другие затраты.
После серьезной DDoS-атаки организациям необходимо будет задокументировать свои расходы и ущерб для двух основных целей:
Ущерб может быть покрыт страховкой кибербезопасности
Ущерб создает оценку, которую можно использовать для составления бюджета на инструменты и услуги для предотвращения будущих DDoS-атак.
Корректировки Защиты От DDoS-Атак
В безумном порыве, чтобы заблокировать DDoS-атаку, организация может внести изменения в архитектуру или программное обеспечение, которые разорвут соединения или вызовут другие проблемы. Часть процесса восстановления требует изучения инфраструктуры для обнаружения и исправления этих неработающих компонентов или ссылок.
Например, при перемещении веб-сайта за поставщика услуг фильтрации DDoS, такого как Cloudflare, обычно перемещается только основной домен. Субдомены не могут быть перенесены автоматически и потребуют ручной корректировки.
Точно так же интеграция с другими сторонними инструментами может потребовать корректировок. Например, веб-сайт публикации может обнаружить, что его система управления веб-контентом Drupal больше не правильно подключается к опубликованному контенту, защищенному поставщиком DDoS, и что может потребоваться отдельный субдомен Edit.
Для DDoS-атак, запущенных в сети, может потребоваться дезинфекция отдельных компьютерных систем, чтобы удалить вредоносное ПО или возможность злоумышленника получить доступ к устройству для будущих атак. Иногда это также может вызвать необходимость восстановления данных и системы.
Извлеченные Уроки DDoS-Атак
Составьте отчет об извлеченных уроках, который объясняет DDoS-атаку и определяет меры по смягчению для защиты от подобных атак. Меры по смягчению должны быть приняты немедленно, но если это нецелесообразно, их следует спланировать и предложить для бюджета.
Затраты на устранение DDoS-атаки и любые бизнес-убыткииз-за простоя обеспечат приблизительную цель для сравнения с бюджетом по смягчению последствий.
Если атака была значительной по размеру или воздействию, сообщите об инциденте правоохранительным органам или отраслевым организациям, таким как CERT. Сообщения об атаках могут помочь правоохранительным органам составить профили крупных злоумышленников и, возможно, предпринять такие шаги, как:
Нарушить инфраструктуру управления и контроля для ботнета Emotet
Захватить домены у банды ботнета ZLoader
Скоординированное правоохранительными органами уничтожение ботнета RSOCKS
Предотвращение будущих DDoS-атак
После выполнения трех критических этапов для предотвращения DDoS-атаки организация окажется в лучшем положении. Однако само по себе восстановление не может предотвратить будущие DDoS-атаки, потому что они устраняют только последние атаки. Лучший способ остановить распределенную атаку типа «отказ в обслуживании» (DDoS) — это всегда быть готовым к ней заранее.
ИТ-специалисты и специалисты по безопасности могут использовать множество вариантов подготовки к DDoS-атаке, которые помогут контролировать и управлять последствиями DDoS-атаки в будущем. Поставщики, инструменты и планирование могут объединиться для создания надежного многоуровневого подхода к ограничению рисков, связанных с DDoS, и уменьшению ущерба от успешных DDoS-атак.
При выборе поставщиков важно работать со специалистами по DDoS, но эти поставщики, как и любые другие ИТ-меры, должны вписываться в общие стратегии ИТ и безопасности. Несмотря на серьезную угрозу, меры защиты от DDoS-атак не должны быть оптимизированы настолько, чтобы поставить под угрозу другие приоритеты операций и безопасности.
Организация также не может упускать из виду возможные мотивы злоумышленников. Организации должны понимать, что некоторые DDoS-атаки могут использоваться для отвлечения внимания или прикрытия других атак, таких как шпионаж, программы-вымогатели или компрометация корпоративной электронной почты. Любой сценарий DDoS должен также включать в себя активацию более общего реагирования на инциденты для проверки других атак и компрометации.
Пять ключевых шагов для предотвращения DDoS-атак включают в себя:
Закалить против атак
Развертывание архитектуры защиты от DDoS-атак
Разверните инструменты защиты от DDoS-атак
Разработка сценария реагирования на DDoS-атаки
Разверните мониторинг DDoS
Дополнительная литература: Как предотвратить DDoS-атаки: 5 шагов для предотвращения DDoS-атак
Нижняя линия
С ростом изощренности и возможностей злоумышленников защитники должны быть начеку. Мало того, что остановить DDoS-атаки станет все труднее, злоумышленники будут продолжать увеличивать скорость, с которой они используют окна возможностей. Организации должны уже сейчас готовиться к будущим DDoS-атакам и использовать доступные инструменты и услуги, чтобы помочь им.
