DDoS mitiqasiyası
DDoS mitiqasiyası — hədəfi və rele şəbəkələrini qorumaqla İnternetə qoşulmuş şəbəkələrə edilən DoS hücumlarının təsirinə müqavimət göstərmək və ya azaltmaq (mitiqasiya etmək) üçün şəbəkə idarəetmə üsulları və ya alətlər toplusu. DDoS hücumları xidmət performansını gecikdirməklə və ya veb saytı tamamilə bağlamaqla müəssisələr və təşkilatlar üçün daimi təhlükə yaradır.[1]
DDoS mitiqasiyası təhlükənin aşkarlanması və xəbərdar edilməsinə imkan vermək üçün "trafik obrazları"nı təhlil edərək şəbəkə trafiki üçün ilkin şərtləri müəyyən etməklə işləyir.[2] DDoS mitiqasiyası həmçinin insan trafikini insana bənzər botlardan və ələ keçirilmiş veb brauzerlərdən ayırmaq üçün daxil olan trafikin müəyyən edilməsini tələb edir. Bu proses imzaların müqayisəsini və IP ünvanları, kuki variasiyaları, HTTP başlıqları və cihaz barmaq izi daxil olmaqla, trafikin müxtəlif atributlarının yoxlanılmasını əhatə edir.
Aşkar edildikdən sonra növbəti proses filtrləmədir. Filtrləmə bağlantıların izlənməsi, IP reputasiya siyahıları, paketlərin dərindən yoxlanılması, ağ/qara siyahı və ya tarifin məhdudlaşdırılması kimi anti-DDoS texnologiyası vasitəsilə həyata keçirilə bilər.[3][4] Üsullardan biri potensial hədəfə ünvanlanmış şəbəkə trafikini yüksək tutumlu şəbəkələr vasitəsilə "trafik təmizləmə" filtrləri ilə ötürməkdir.[2]
Hücumların ölçüsü bir çox firma/təşkilatın insan resurslarını tez-tez üstələdiyinə görə DDoS-un manual mitiqasiyası artıq tövsiyə edilmir.[5] DDoS hücumlarının qarşısının alınması üçün digər üsullar, məsələn lokal və ya bulud əsaslı həll provayderləri həyata keçirilə bilər. Lokal mitiqasiya texnologiyası (böyük ehtimalla aparatdır) tez-tez şəbəkənin qarşısında yerləşdirilir. Bu İnternet provayderi tərəfindən təmin edilən maksimum buraxılış zolağının enini azaldır.[6] Ümumi üsullar lokal filtrləməni bulud əsaslı həllərlə birləşdirən hibrid həlləri əhatə edir.[7]
Hücum metodları[redaktə | mənbəni redaktə et]
DDoS hücumları seçilmiş qurbanların veb-saytlarına və şəbəkələrinə qarşı həyata keçirilir. Əksər satıcılar əsasən məzmun çatdırılma şəbəkələrinə bənzər üsullara əsaslanan "DDoS-a davamlı" hostinq xidmətləri təklif edirlər. Paylama tək bir nöqtədə sıxlığın qarşısını alır və DDoS hücumunun bir hədəfə cəmlənməsinin qarşısını alır.
DDoS hücumlarının üsullarından biri spufinq edilmiş UDP paketlərinin gücləndirilməsinə[8] imkan verən yanlış konfiqurasiya edilmiş üçüncü tərəf şəbəkələrindən istifadə etməkdir. Şəbəkə avadanlığının düzgün konfiqurasiyası, BCP 38[9] və RFC 6959-da[10] sənədləşdirildiyi kimi giriş və çıxış filtrini təmin edir, gücləndirmə və spufinqin qarşısını alır, bununla da hücum edənlər üçün mövcud olan rele şəbəkələrinin sayını azaldır.
Mitiqasiya metodları[redaktə | mənbəni redaktə et]
- Client Puzzle Protocol və ya Guided tour puzzle protocol istifadə etmək
- Məzmun çatdırılma şəbəkəsi istifadə etmək
- IP ünvanları qara siyahıya salmaq
- Müdaxilənin aşkarlanması sistemi və ya firewall istifadə etmək
Həmçinin bax[redaktə | mənbəni redaktə et]
İstinadlar[redaktə | mənbəni redaktə et]
- ↑ Gaffan, Marc. "The 5 Essentials of DDoS Mitigation". Wired.com. 20 December 2012. 25 April 2019 tarixində arxivləşdirilib. İstifadə tarixi: 25 March 2014.
- ↑ 1 2 Paganini, Pierluigi. "Choosing a DDoS mitigation solution…the cloud based approach". Cyber Defense Magazine. 10 June 2013. 12 February 2019 tarixində arxivləşdirilib. İstifadə tarixi: 25 March 2014.
- ↑ Geere, Duncan. "How deep packet inspection works". Wired.com. 27 April 2012. 13 June 2018 tarixində arxivləşdirilib. İstifadə tarixi: 12 June 2018.
- ↑ Patterson, Dan. "Deep packet inspection: The smart person's guide". Techrepublic.com. 9 March 2017. 12 June 2018 tarixində arxivləşdirilib. İstifadə tarixi: 12 June 2018.
- ↑ Tan, Francis. "DDoS attacks: Prevention and Mitigation". The Next Web. 2 May 2011. 26 March 2014 tarixində arxivləşdirilib. İstifadə tarixi: 25 March 2014.
- ↑ Leach, Sean. "Four ways to defend against DDoS attacks". Networkworld.com. 17 September 2013. 12 June 2018 tarixində arxivləşdirilib. İstifadə tarixi: 12 June 2018.
- ↑ Schmitt, Robin. "Choosing the right DDoS solution". Enterpriseinnovation.net. 2 September 2017. 12 June 2018 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 12 June 2018.
- ↑ Rossow, Christian. "Amplification DDoS". 2014-03-06 tarixində arxivləşdirilib. İstifadə tarixi: 2023-11-08.
- ↑ Senie, Daniel; Ferguson, Paul. "Network Ingress Filtering: IP Source Address Spoofing". IETF. 2000. 2007-01-25 tarixində arxivləşdirilib. İstifadə tarixi: 2023-11-08.
- ↑ McPherson, Danny R.; Baker, Fred; Halpern, Joel M. "Source Address Validation Improvement (SAVI) Threat Scope". IETF. 2013. doi:10.17487/RFC6959. 2020-11-04 tarixində arxivləşdirilib. İstifadə tarixi: 2023-11-08.
