Способы защиты от DDoS-атак
30.11.2014 Безопасность
Mr. Edyan
В закладки

Способы защиты от DDoS-атак

DDoS-атаки переводятся никак иначе, как отказ в обслуживании. Во время атаки система не идет на контакт, канал постоянно не отвечает на сигналы, маршрутизаторы превышают свои пределы возможностей. Это создает большие проблемы и для малых предприятий и для транснациональных компаний, работающих с многомиллиардными контрактами.

 

 Способы защиты от DDoS-атак

Есть несколько способов, как создать защиту от DDoS-атаки:

 
1) Сделать запрос на провайдера с просьбой изменить лимит доступного трафика, который проходит через канал соединения с интернетом для всех пользователей. Это может потребовать повышенных усилий и заранее спланированных действий, но данный способ базируется на лучших решениях в отрасли.
 
2) Найти способ сделать ISP более ответственным и своевременным. Это решение является очень удачным, но и весьма труднодостижимо в реализации. Такой способ может вызвать различные конфликты, поэтому лучше заранее приготовить основу для изменений.
 
3) Самые приоритетные для действующей компании системы должны создаваться с заранее заложенным запасом на излишек данных, а также стойко работать при внешних воздействиях. Нужно преждевременно подготовить запасной сервер на котором будут хранится основные данные, но важно хорошо его укрыть от любопытных глаз и дать ему иные адреса IP.
 
4) Сертификаты (CRL) должны сформировать свои списки отзывов на отслеживание просроченных и не действующих сертификатов. Если хоть человек, хоть программа доставит подобный сертификат им больше не будет доверия. Важность работы с таким сервисом в том, что просроченные сертификаты часто используются для нахождения связи атакующих и возможности для любого вида DDoS-атаки. Возможным вариантом для выбора является протокол Online Certificate Status Protocol (OCSP), созданный для обнаружения стертых цифровых сертификатов типа X.509. Публичным и государственным организациями стоит уделить внимание новостям в данном направлении и внести свои идеи для повышения безопасности своих сайтов.
 
5) Установка систем предварительного обнаружения атак, которые позволяют своевременно делать блок на портах и протоколах, которые попали под подозрение. Система IPS способна заблокировать и направить в другой поток трафик изначально определив, что конкретно этой системой было обнаруженно. Хотя и очень тяжело отыскать неопознанный пакет трафика, но такие системы помогают вовремя остановить пропуск большого объёма трафика в определенной части сети.
 
6) Важно использовать всевозможные типы подключения для ведения бизнеса и не сосредотачивать все бизнес-процессы на одном способе. Это позволит сохранить работоспособность при определенных сбоях и распределить важные данные условно скажем на три разных «корзины».
 
7) Нужно иметь план на случаи отключения всех способов связи. Должен быть экстренный способ связи с клиентами и предприятием. Следует проводить планерки и учения, чтоб сотрудники знали, как быстро выйти на связь и доработать зачастую многомиллионные контракты.
 
8) Сосредоточьте функционирование бизнеса на передаче малых объемов данных, чтоб в непредвиденных ситуациях можно было моментально выключить необходимые системы и предпринять активные действия на устранение проблемы. Это позволит закрыть необходимые вентиля на сложных предприятиях, тем самым сохранив не только работоспособность системы, но и возможно многие человеческие жизни.
 
9) Есть смысл завести отдельную форму для служащих. На время блокировки всех остальных способов связи такой форму послужит безопасной площадкой для решения срочных дел бизнеса.
 
10) Временный блок на доступ к системе, хоть и не постоянно, но тоже одна из форм решения. Это решение позволяет отказать в проникновение огромного объема трафика и уничтожает огромное количество запросов, которые могут быть вредоносны для сайта. Эта мера крайняя, но иногда бывает очень необходима.
 
11) Электронная почта может стать на время атаки альтернативным способом связи. Важно отметить, что такая связь тратит очень крохотное количество трафика. К тому же в них присутствует способ постановки письма в очередь и когда канал связи сможет адекватно работать письма моментально дойдут до адресата.
 
12) Самое простое заранее изменить настройки брандмауэра на закрытие доступа через запрещенные порты и протоколы.
 
Важно помнить, что все эти способы лишь помогут, но не позволят полностью избавиться от DDoS-атаки. Однако, они помогут снизить возможный риск и дать владельцам сайтов информацию для анализа ситуации. Также опробовав все способы у человека повысится уровень опыт по решению подобных проблем и поможет более грамотно найти решение на всевозможных специализированных форумах. Поэтому необходимо создавать план действий на случай чрезвычайных ситуаций, приучать к нему сотрудников и делать все максимально возможно для сохранения сайта, который приносит прибыль.
Комментарии (0)
Добавить комментарий
Прокомментировать
Войти через: