Prevence DDoS

Posted on by Monika P.
Prevence DDoS

Proč je prevence DDoS klíčová

Útoky typu Distributed Denial of Service (DDoS) patří mezi nejčastější a nejdisruptivnější hrozby v síťové bezpečnosti. Cílem útočníků je znehodnotit službu zahlcením infrastruktury (L3/L4) či aplikační vrstvy (L7) tak, aby legitimní uživatelé nemohli službu využívat. Prevence DDoS není jednorázový produkt, ale kombinace architektury, provozních postupů, smluvních zajištění a kontinuálního monitoringu.

Typologie DDoS: vrstvy a vektory

  • Objemové útoky (L3/L4): UDP flood, TCP SYN flood, ICMP flood; cílem je vytížení linkové kapacity nebo zařízení.
  • Protokolové útoky (L4/L5): zneužití stavových tabulek (SYN/ACK), fragmentace, vyčerpání prostředků middlewaru (firewally, load balancery).
  • Aplikační útoky (L7): HTTP GET/POST flood, pomalé požadavky, vyčerpání threadů, zneužití náročných endpointů (vyhledávání, exporty, generování PDF).
  • Reflexní a amplifikační útoky: zneužití otevřených služeb (DNS, NTP, Memcached, CLDAP, SSDP) k násobení provozu na oběť s podvrženou zdrojovou adresou.

Principy obrany: „vícevrstvá, by design, měřitelná“

  • Vícevrstvá ochrana: kombinujte L3/L4 filtry a kapacitní mitigaci s L7 kontrolami a aplikačním rate-limitingem.
  • Bezpečnost by design: anycast topologie, horizontální škálování, segmentace, oddělení řídicích rozhraní a produkčního provozu.
  • Metriky a SLO: definujte cílové hodnoty dostupnosti, času detekce (MTTD), času mitigace (MTTM) a maximálních ztrát.

Architektonické postupy pro odolnost

  • Anycast a globální rozptyl: rozložení zátěže na více PoP; provoz útoku se „rozlije“ geograficky.
  • CDN a edge cache: statický i část dynamického obsahu přes CDN; útočník musí zasáhnout více hraničních uzlů.
  • Oddělení kritických funkcí: DNS, autentizace, API, platby – různé domény, AS a poskytovatelé.
  • Škálovatelná front-end vrstva: autoscaling, connection pooling, asynchronní zpracování, backpressure.
  • Minimalizace stavu: preferujte bezstavové služby a idempotentní endpointy, aby šlo horizontálně škálovat.

Perimetr a síťové techniky L3/L4

  • RTBH (Remotely Triggered Black Hole): cílené odklonění provozu na „null“ pro napadené IP, pokud je nezbytné ochránit zbytek sítě.
  • BGP Flowspec: rychlá distribuce jemnozrnných pravidel (match na protokol, porty, délky paketů) do směrovačů a scrubbing center.
  • uRPF a anti-spoofing: omezte spoofing zdrojových adres na hranicích; implementujte BCP 38/84.
  • Rate limiting a policery: na hraničních prvcích (CoPP/CPPr) omezte provoz do řídicích rovin (control plane protection).
  • SYN cookies a embryonické limity: na load balancerech a firewallech snižte dopad TCP SYN flood.
  • Segmentace a izolace: oddělte VIP adresy, admin rozhraní a interní služby do separovaných zón a VRF.

Scrubbing centra a kapacitní mitigace

Pro velké objemové útoky je zásadní mít smluvně zajištěnou kapacitní mitigaci:

  • Always-on vs. on-demand: trvalé či aktivované přesměrování provozu přes scrubbing poskytovatele.
  • GRE/IPsec tunely nebo BGP diverze: vyčistěný provoz se vrací přes tunel či přes partnera v rámci BGP.
  • SLA parametry: garantovaná mitigace, max. zbytková latence, podpora specifických protokolů a L7 signatur.

Ochrana L7: aplikační brány a chytré řízení zátěže

  • WAF: blokuje známé vzory a anomálie (abuse HTTP metod, nevalidní hlavičky, nadměrné payloady); využívejte pozitivní modely a custom pravidla.
  • Rate limiting a token bucket: omezení počtu požadavků na IP/uživatele/klientský token; dynamické prahování dle baseline.
  • Challenge-response: úlohy na prokázání legitimního klienta (např. důkaz práce nebo prohlížečové výzvy), s ohledem na přístupnost.
  • Prioritizace a degradace: „brownout“ režimy, kdy se vypínají náročné funkce (fulltext, exporty, obrázkové transformace) a preferují se klíčové API.
  • Cache a výsledky výpočtů: cache na úrovni CDN i aplikace (TTL, stale-while-revalidate), aby stejné dotazy nespotřebovávaly CPU.

DNS a jeho tvrdění

  • Anycast DNS a více nezávislých poskytovatelů autoritativního DNS.
  • Rozumné TTL a failover: nízké TTL pro VIP záznamy, health-checky a automatizovaný přepínací plán.
  • Ochrana resolverů: rate-limiting na rekurzivních resolverecha Response Rate Limiting (RRL) u autoritativních.

Telemetrie a včasná detekce

  • NetFlow/IPFIX, sFlow: kontinuální sběr tokových dat, top talkers, distribuce velikostí paketů a portů.
  • SNMP a systémové metriky: saturace rozhraní, využití CPU/TCAM, fronty, drops.
  • Aplikační observabilita: p99 latence, chybovost, průchodnost, saturace threadpoolů a connection poolů.
  • ML/behaviorální detekce: baseline normálního provozu a anomálie (náhlé odchylky v požadavcích na konkrétní endpoint).

Procesy, organizace a připravenost

  • Runbooky a playbooky: konkretizované kroky pro typické vektory (SYN flood, HTTP flood, DNS amplifikace).
  • Testovací cvičení: pravidelné „game days“ a simulace útoků v bezpečném prostředí; validace kontaktů a eskalací.
  • Komunikační plán: koordinace s NOC/SOC, PR a zákaznickou podporou; předpřipravené šablony oznámení.
  • Vendor management: kontakty na scrubbing centra, ISP, CDN; jasné SLA a postupy aktivace.

Tabulka: mapování vektorů na mitigace

Vektor útoku Detekční signál Primární mitigace Poznámka
UDP/ICMP flood Skok v PPS, malé pakety Flowspec, RTBH, scrubbing Always-on kapacita zabrání saturaci linky
TCP SYN flood Růst embryonických spojení SYN cookies, proxy, rate limit SYN Offload na L4 load balancer
DNS amplifikace Asymetrie TX/RX, velké odpovědi RRL, uzavření open resolv., scrubbing Filtrování podle Qtype/size
HTTP GET/POST flood p95 latence, 5xx, bursty RPS WAF, rate limit, challenge CDN cache pro statiku
Pomalu proudící požadavky Neobvyklé držení socketů Timeouty, headers/body limity Tune serveru a reverse proxy

Prevence zneužití vaší infrastruktury

  • Zavřené rekurzivní DNS: omezte dotazy pouze pro interní sítě.
  • Oprava a konfigurace služeb s amplifikací: NTP (disable monlist), Memcached (TCP-only, auth), CLDAP/SSDP (vypnout).
  • Filtrace odchozího spoofingu: implementace BCP 38 na hraničních směrovačích.

Aplikační design odolný proti DDoS

  • Limitace náročných operací: stránkování, limit velikosti odpovědí, asynchronní joby, „circuit breakers“.
  • Autentizované a cacheovatelné API: využijte ETag/If-None-Match, deterministické odpovědi s dlouhými TTL.
  • Prioritizace podle identity: vyšší QoS pro autentizované a placené zákazníky, fronty s prioritami.

Cloud vs. on-prem: rozhodovací kritéria

  • Cloudové WAF a DDoS ochrany: rychlé nasazení, anycast kapacita, široké telemetrické pokrytí.
  • On-prem scrubbing: kontrola nad daty, nízká latence pro lokální uživatele, závislost na uplinku.
  • Hybridní model: always-on cloud + lokální L7 pravidla; doplnění o BGP diverzi při objemových útocích.

Právní a smluvní aspekty

  • Smlouvy s ISP/CDN: jasné SLA pro detekci/mitigaci, kontaktní okna, postupy aktivace a testování.
  • Incident response a forenzní spolupráce: uchování logů, časové synchronizace (NTP), chain-of-custody.
  • Oznamovací povinnosti: vyhodnoťte dopad na dostupnost a případné regulační požadavky.

Metriky úspěchu a průběžné zlepšování

  • MTTD/MTTM: doba detekce a zahájení mitigace.
  • Úspěšnost legitimních transakcí: konverze, chybovost, zátěžové profily během incidentu.
  • Falešně pozitivní zásahy: poměr blokovaných legitimních požadavků, kvalitní výjimky a allowlisty.
  • Post-incident review: retrospektiva, aktualizace pravidel, trénink týmů.

Checklist pro prevenci a připravenost

  • Máme dvouúrovňovou ochranu: síťovou (L3/L4) a aplikační (L7)?
  • Je zajištěno kapacitní scrubbing s jasným SLA a testem aktivace?
  • Jsou nastaveny rate limity, WAF pravidla, timeouty a velikostní limity?
  • Probíhá NetFlow/IPFIX monitoring a upozornění na anomálie?
  • Máme runbooky, kontakty na ISP/CDN a pravidelná cvičení?
  • Jsou naše DNS a rekurzory tvrdé proti zneužití?
  • Je nasazen anti-spoofing (uRPF/BCP 38) na hranicích?

Závěr

Efektivní prevence DDoS stojí na správné architektuře, kapacitní mitigaci, pečlivé telemetrii a dobře natrénovaných týmech. Kombinace anycastu, CDN, síťových filtrů, WAF, rate-limitingu a jasných provozních postupů umožní absorbovat i rozsáhlé útoky s minimálním dopadem na koncové uživatele. Pravidelná cvičení, revize metrik a spolupráce s partnery jsou nezbytné pro dlouhodobě udržitelnou odolnost.

Related Posts

Pauza od hrania

Pauza od hrania

Pravidelné reality checks a časové limity držia hranie v zdravých mantineloch a pomáhajú predchádzať impulzom.

Poplatok za zrušenie poistnej zmluvy

Poplatok za zrušenie poistnej zmluvy Poplatok účtovaný pri zrušení poistnej zmluvy s výplatou odbytného hradený znížením počtu akumulačných podielových jednotiek. Poplatok za zrušenie poistnej zmluvy […]

prepravná potreba

Prepravná potreba Potreba premiestniť sa, ako aj potreba osoby alebo organizácie premiestniť iné osoby alebo veci. Definícia Prepravná potreba je dôležitým pojmom v oblasti obchodu […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *