Kezdjük az alapoknál!

DDOS támadás:
Sok támadó szerver küld csomagot a szerver IP címe felé. Célja, hogy a szolgáltatás leálljon, akadozzon.
Sok esetben feltört gépek támadnak. Esetleg a csomagokban hamisított IP cím van. Sok ezer, millió támadó. Feljelentés esélytelen.

DOS támadás:
Egy támadó van. Tűzfallal kitiltható. Magyar IP esetén feljelentés tehető, külföldinél abszolút semmi értelme.

Milyen védelmet biztosítunk mindenkinek automatikusan?
700Mbit/s tartós támadás után egy automata rendszer Telia vagy Interoute irányokra tesz szűrést, már ha tud. (feltétele, hogy a forrás protokoll és port ne random legyen)
Ezt egészíti ki egy 20Gbit/s feletti DDOS támadás esetén az IP cím Blackholeozása.
A kiszolgálás az adott gépen akadozhat.
Főként a szervertermi hálózat stabilitását hivatott védeni.

Alap szintű (FIX CISCO ACL) DDOS védelem népszerű DDOS támadások ellen.
Ez a routerben beállított szabályok alapján mindent eldob ami a szabálynak megfelel.
Ennek az az előnye, hogy a népszerű támadásokra lehet fix szabályokat írni, így ezen támadásokból egy csomag se jut át, így egy pillanatra sem terhelik le a szervert.
Minden ügyfelünknek ingyenesen biztosítjuk mindaddig amíg nekünk nem keletkezik a DDOS miatt többletköltségünk.

Mik a legnépszerűbb támadási módok manapság?
Jelenleg 11 féle legnépszerűbb támadási módot használnak, legtöbb esetben egyidejűleg mindet, mixelve.
Az alábbi protokollon / portokról jön a csomag:
- udp 19 (CharGen)
- udp 53  (DNS)
- udp 69 (TFTP)
- udp 111 (Portmapper)
- udp 123 (NTP)
- udp 161 (SNMP)
- udp 389 (LDAP)
- udp 520 (RIP)
- udp 1434 (MS SQL RS)
- udp 1900 (SSDP - UPnP)
- udp fragment

Mi a hátránya ennek a megoldásnak?
Aki a fenti portokon kívánnak szolgáltatást nyújtani vagy fogadni azok számára ez nem megfelelő védelmi mód, mert a bejövő forgalmat ezekre a portokra 100%-osan eldobjuk. De általában akik nálunk ezt igénybe vették azok teljesen mást, főként játékszervereket, hangkommunikációs szervereket futtatnak és azok számára ezek a portok nem lényegesek.

Ezt ki lehet egészíteni egy IANA által kiosztott IP blokkok alapú szűréssel.
rir-map
Ennek is van hátránya. Egyes szolgáltatók több szervezettől is vehetnek IP címet, amit teljesen máshol is használhatnak, mint ahonnan vették.
Persze azért jó eséllyel egy LACNIC, AFRINIC, APNIC tiltás nem fog sok legális forgalmú ügyfelet érinteni.
De elég sok olyan IP-t fog tiltani amiről épp támadás érkezik.

Mi van, ha esetleg más módon támadnak?
Fejlesztés alatt áll egy teljesen más alapokra épülő DDOS védelmi rendszer. Ami már akár 2 másodpercen belül is be tud avatkozni és a támadást 1/100-ad részére tudja csökkenteni anélkül, hogy a normál felhasználók ebből bármit is éreznének.
Várható ár: 5000Ft+áfa/szerver/hó-tól. Elkészülés: 2018. eleje.

 


Nézzünk akkor egy valós példát egy valós DDOS támadásra!
Az alábbi grafikonokon látható egy 2Gbit/s DDOS támadás. A grafikon 5 perces átlagot mutat, így valós időben ez egy-egy pillanatban több is lehetett valamivel. Amit láthatnak, hogy a 2Gbit/s támadásból körülbelül 4Mbit/s amit átjutott az adott szerver portjáig. A támadás a fent említett 5 féle mód mixelt változatával érkezett.

 ddos01x
ddos02x