Захист від DDoS і тестування продуктивності

Захист від DDoS, навантажувальне тестування, тестування потужності, стрес-тестування, пікове тестування, тестування на витримку і Chaos Engineering

Порушення продуктивності та доступності системи стосуються будь-якої ситуації, коли система не може працювати на прийнятному рівні функціональності та ефективності або стає недоступною для передбачуваних користувачів через навмисні чи ненавмисні причини, такі як кібератаки, збої обладнання або програмні помилки.

DoS-атака («відмова в обслуговуванні») – це порушення вимоги доступності системи, що призводить до простою бізнесу, репутаційних втрат і фінансових збитків.

Розподілена атака типу «відмова в обслуговуванні» (DDoS) – це різновид DoS, зловмисна спроба порушити нормальний трафік цільового сервера, служби або мережі, шляхом перевантаження цілі або інфраструктури, що її оточує, потоком інтернет-трафіку.

Атака TDoS (Telecommunication Denial of Service) – це різновид DoS, що існує в телекомунікаційних мережах. Цей тип атаки використовується для відключення телефонів.

DDoS-атаки досягають ефективності шляхом використання декількох скомпрометованих комп’ютерних систем як джерел атакувального трафіку. Машини, що використовуються, можуть включати комп’ютери та інші мережеві ресурси, такі як пристрої IoT.

Найчастіше DDoS-атака схожа на несподівану пробку, що забиває автомагістраль, не дозволяючи звичайним транспортним засобам прибувати в пункт призначення.

Категорії DoS і DDoS атак

DoS/DDoS-атаки можна умовно розділити на три групи:

	Об’ємні атаки Включають UDP-флуд, ICMP-флуд та інші потоки підроблених пакетів. Мета атаки полягає в тому, щоб заповнити смугу пропускання сайту або іншого об’єкту жертви. Величина атак вимірюється в бітах у секунду (біт/с).
	Атаки на рівні протоколів Включають SYN-флуд, атаки фрагментованими пакетами, Ping of Death, Smurf DDoS та інші. Цей тип атаки споживає фактичні ресурси сервера або ресурси проміжного комунікаційного обладнання, такого як міжмережеві екрани та балансувальник навантаження, і вимірюється в пакетах у секунду (Pps).
	Атаки на рівні додатків Включають малі та повільні атаки; повені GET/POST; атаки, націлені на веб-сервер; уразливості Windows або OpenBSD і багато іншого. Атаки складаються з, на перший погляд, легітимних і невинних запитів. Мета цих атак – збій веб-серверу, а величина вимірюється в запитах у секунду (Rps).

Таким чином, захист від DoS/DDoS допоможе зберегти доступність ваших систем, а також мінімізувати наслідки подібних атак.

Як працює запобігання DDoS-атакам?

Розвиток міцної інфраструктури, безсумнівно, є наріжним каменем запобігання DDoS-атакам. Нижче наведено всі важливі першочергові дії для запобігання DDoS:

1. Збільшення пропускної здатності.
2. Безпечна ізоляція мереж і центрів обробки даних.
3. Забезпечення відмовостійкості та дзеркалювання.
4. Конфігурація стійкості для протоколів і додатків.
5. Підвищення продуктивності та доступності за допомогою таких інструментів, як CDN.

Методи захисту від DDoS

Щоб автоматично розрізнити звичайні сплески трафіку та DDoS-атаки, служби безпеки, які використовують рішення для запобігання DDoS-атак, зазвичай використовують наступні технології та сервіси.

• Аналіз трафіку:

Більшість стратегій запобігання DDoS-атак заснована на цілодобовому моніторингу трафіку, щоб стежити за небезпеками та виявляти ранні ознаки активності DDoS-атаки, перш ніж вона вийде з-під контролю в непередбачених обсягах або продовжиться за допомогою різких методів DDoS, які можуть погіршити продуктивність без відключення системи від мережі. Постачальники керованих послуг зазвичай беруть на себе цю функцію для підприємств, яким бракує штатного персоналу для цілодобового хмарного моніторингу. Індивідуальні засоби захисту від DDoS-атак можуть значно знизити вартість простоїв та підвищити ефективність після атаки.

• Виявлення аномалій:

Найновіші ознаки компрометації, пов’язані з найефективнішими стратегіями DDoS-атак, часто відстежуються за допомогою джерел розвідки про загрози та обладнання для виявлення аномалій, яке відкаліброване відповідно до мережевих стандартів і політик. Після цих виявлень спеціалісти з запобігання DDoS-атак і автоматизовані технології реагують у відповідь.

• Зміна маршруту та очищення:

Щоб зупинити активність DDoS-активність у разі її виявлення, багато компаній використовують локальні рішення, включаючи брандмауери, уніфіковані пристрої моніторингу загроз і пристрої для запобігання DDoS-атак. Однак апаратне забезпечення має обмеження на кількість даних, які ці пристрої можуть відхиляти або приймати. Це вимагає ретельного налаштування апарату.

Захист від DDoS із H-X Technologies

Ми пропонуємо комплексний підхід на кожному рівні захисту від DoS та DDoS:

1. Базовий рівень. Встановлення та налагодження сервісів Cloudflare, Imperva Incapsula, Akamai та інших для того, щоб заховати ваші реальні IP-адреси від користувачів Інтернету та відфільтрувати трафік.
2. Рівень додатків. Аналіз проблемних запитів, наприклад, одиничних запитів великого розміру. Перевірка вихідного коду програми та результатів профілювання додатку, а також знаходження вузьких місць, наприклад, проблем автоматичного масштабування (засобами кластера Kubernetes тощо).
3. Тестування. Команда наших фахівців проводить симуляцію атаки, щоб протестувати рішення та переконатися, що ваш додаток готовий до справжньої DDoS-атаки. Ми використовуємо комплексне тестування продуктивності та методи та інструменти хаос-інженерії, моделювання ботнетів тощо.

Тестування продуктивності проти Chaos Engineering

Резюме сервісу

Ознайомтеся з нашими додатковими сервісами та бізнес-кейсами. Надішліть форму нижче для того, щоб замовити захист від DDoS-атак, TDoS-атак або тестування продуктивності. Отримайте безкоштовну консультацію.