DDoS

Bir DDoS (dağıtılmış hizmet reddi) saldırısında, bir saldırgan bant genişliğini aşmak, bir sunucunun kaynaklarını aşmak ve sistemi aşırı yüklemeye çalışmak için binlerce sahte istek gönderir. Bunu yaparak, geçerli istekler sadece çok yavaş işlenebilir ya da hiç işlenemez. Devasa miktarda bilgisayar trafiği (botnet'ler) muazzam miktarda veri trafiği oluşturmak için sıklıkla kullanılır.

Başarılı bir DDoS saldırısı, web uygulamaları, web siteleri, sunucular ve BT altyapısı için önemli bir kesintiye neden olabilir. Bir DDoS saldırısı sadece kurbanı ciddi şekilde etkilemeyecektir. Bir sunucu saldırıya uğrarken, diğer sunucuları da etkileyebilir ve saldırı sırasında bu saldırılara erişilemez hale gelir ve daha fazla zarar verebilir.

Güvenlik çözümü: DDoS koruması

Sistemlerimizin DDoS saldırılarına direnme kabiliyetini tamamladıktan sonra, Hetzner Online, Arbor ve Juniper donanımlarından oluşan DDoS koruma azaltma araçlarını ağımıza uyguladı. Üç katmanlı sistemimiz, geçerli trafik ve kötü niyetli saldırılar arasında net bir ayrım yapmamızı sağlar.

Düzenli operasyonlar sırasında trafik akışı

Ddos.png


Saldırı sırasında DDoS korumalı sistemde trafik akışı

dDoS schutz.png

DDoS koruma sistemi aşağıdaki katmanlara ayrılmıştır:

1. saldırı kalıplarının otomatik tanıma

Trafik miktarına veya paket sayısına bağlı olarak bir saldırıyı tanımanın yanı sıra, Hetzner Online'da gerçek saldırıyı net olarak tanımlayabileceğiz ve daha sonra özel olarak bu eve girip o saldırı türüne tepki verebileceğiz. Örneğin, bir sunucu için 500k pps ile bir UDP taşması zararsızdır. Bununla birlikte, 500k'lık bir SYN paketi bir sorun oluşturabilir. DDoS koruma araçlarımız tam olarak bu tipte bir farkı tespit edebilir.

2. Bilinen saldırı kalıpları için trafiği filtreleme

Bu yöntem, trafik temizleme filtrelerini kullanarak en yaygın olarak bilinen saldırıları etkin bir şekilde filtrelememize olanak sağlar. Yöntem, özellikle aşağıdaki saldırı türlerini temizlemede başarılıdır: Bağlantı noktası 80'de DNS yansıması, NTP yansıması ve UDP taşkınları.

3. Meydan okuma-kimlik doğrulama ve dinamik trafik filtreleme

Bu son katmanda, SYN taşkınları, DNS taşkınları ve geçersiz paketler biçimindeki saldırıları filtreliyoruz. Ayrıca, diğer benzersiz saldırılara esnek bir şekilde uyum sağlayabiliyoruz ve bunları güvenilir bir şekilde hafifletebiliyoruz.

Yukarıdaki teknolojiler, yüksek seviyede bir otomasyonu desteklemektedir, bu da sırayla adım adım optimize edilmeye devam edecektir. Her saldırıyı analiz ederek ve filtrelerimizi ve yanıtlarımızı sürekli olarak ayarlayarak sistemi geliştirebiliriz.

Müşterileri nasıl etkiler?

DDoS koruması, maliyetlerin veya fiyatların artmasına neden olmayacak ve tüm müşteriler için geçerli olacaktır. Sistemimiz DDoS saldırılarını her zaman tespit edecek ve bunları tanıyabilme yeteneği sürekli olarak gelişecektir. Bir saldırı algılandığında, dinamik DDoS koruma araçları hemen harekete geçecek ve saldırıyı filtreleyecektir. Trafiğiniz, genellikle dinamik azaltma saldırıları yöntemi nedeniyle DDoS koruma sisteminden etkilenmeyecektir.



Tuesday, June 5, 2018







<< Geri