מכרזים

המלצות לאסטרטגיות להפחתת סיכוני התקפות DDoS

Free Stock photos by Vecteezy

 

 

התקפות Distributed Denial of Service (DDoS) מגיעות בפתאומיות, ללא אזהרה, ויכולות להשבית חברה או ארגון. רבות דובר על סוגי התקפות DDoS, אולם הדרכים להפחתת הסיכונים מהתקפות אלו לא נחקרו ופורסמו מספיק .

רשתות מחקר וחינוך לאומיות (NRENs), כמו מחב"א, נושאים באחריות לשמור על רצף מחקר אקדמי ומדעי ללא הפרעה ברשת המחשוב המשרתת אותו. לכן, נושא זה עומד בראש סדר העדיפויות של מפעילי רשתות המחקר והאקדמיה.

השתתפתי בצוות מחקר של GÉANT GN4-3,  החוקר את השיטות לזיהוי ולהפחתת הסיכונים של התקפות אלו וזאת על מנת לעזור לרשתות מחקר לאומיות לזהות נושאים שיש לשנות או לשפר באסטרטגיות הפחתת סיכונים להתקפות DDoS.

רשתות מחקר לאומיות הן מעבדות ניסוי מצוינות ללימוד שיטות וטכניקות מכיוון שדפוסי תעבורת המחקר מגוונים מאוד. מנהלי רשתות המחקר חייבים להשקיע מאמץ רב ולעבוד על תצורתה של הרשת ותיעודה. ניתן ללמוד רבות על סוגי הפתרונות שנפרסו בהצלחה יחסית ברשתות מחקר לאומיות להפחתת סיכונים. הדבר יכול לתרום לתכנון רשת ופריסה בסביבות אחרות – כמו בתעשייה ואספקת שירותים.

חלק מהמחקר שלנו כלל סקר מקיף על מערכות ותהליכים קיימים המשמשים רשתות מחקר לאומיות למאבק בהתקפות DDoS,  כמו מערכות המבוססות על NetFlow (או טכנולוגיות דומות כמו sFlow  ו-IPFIX למשל), network taps  (פיזי ולוגי), ו-router command-line interface (CLI) queries.

סקרנו גם טכניקות למניעת התקפות  DDoS, כולל חור שחור המופעל מרחוק (RTBH),
access control list (ACL), anti-spoofing, rate limiting, application/server-level mitigation, flowspec, Border Gateway Protocol (BGP) diversion, distributing assets, reducing attack surface ו-מניעת התקפות DDoS מבחוץ ופתרונות בענן. נעשתה עבודה רבה על הפניית תעבורה ושירותים הפגיעים להתקפות מחוץ לרשת מבוססי ענן. אבל גם זה אינו פתרון מושלם, והשירותים עדיין עשויים להיות מושפעים במידה מסוימת.

לא משנה מה הפתרון, או שילוב הפתרונות, שארגון או חברה יבחרו, הכרחי שיהיו תהליכים סדורים  להודעות, התראות והגדרות אחרות

הפחתת הסיכון להתקפות DDoS היא משימה בהחלט לא קלה. אין "גלולת קסם" אחת. ולמרות שנח להאמין שהשילוב הנכון של מספר טכניקות ופתרונות יכול למזער התקפות, בסופו של דבר, אם הרעים רוצים לתקוף את הרשת שלך – הם יעשו זאת.

בהתחשב בכך, הדרך הטובה ביותר לצמצם את הסיכון של התקפות DDoS היא לקחת אותן בחשבון בכל ההיבטים של תכנון הרשת והקיבולת – לפני תחילת היישום. זה, לצד תקשורת טובה ויעילה בין כל הגורמים ומודעות כללית טובה של טופולוגית הרשת הכללית ישיגו הפחתה בסיכון.

מי שרוצה ללמוד עוד על ההמלצות , מוזמן לקרוא את המחקר המלא כאן:

https://www.geant.org/Projects/GEANT_Project_GN4-3/GN43_deliverables/D8-7_Best-Practices-for-DDoS-Mitigation-Strategies.pdf