Názory k článku
V lednu na Česko mířil zvýšený počet DDoS útoků, hodně z nich z Ruska od NoName057(16)
-
Většina útoků byly na L7 a nebyly to nějaké hrůzostrašné DDoS útoky s cílem zahltit síť, ale čistě L7 útoky směřující ke znefuknčnění webu.
Zprávu jsme si přečetli. Domníváme se, že zpráva NÚKIB je zcela zavádějící a nepřesná. Vycházíme z toho, co jsme zjistili a naměřili u webů našich zákazníků, kteří byli cílem útoků.
Velmi silné útoky byly prováděné i z českých IP rozsahů a tak nějaká navrhovaná GeoIP blokace není úplně řešením.
Jediné možné řešení je distribuovaná ochrana, která je "vložena" mezi útočníka a cílový server. Navíc důkladná online analýza datového toku a na základě pravidel je nutné provádět potřebné limitace. To odfiltruje nejproblematičtější zdroje a nejproblematičtější útok. U dalších problematických je nutné vložit reditec nebo captchu. Tím se předejde útokům ze strany robotů.
Nevím, zda se situace úplně nezlehčuje. Na některé útoky nezabraly ani řešení renomovaných firem, protože jsme zaznamenali útoky o síle několika milionů requestů za sekundu. Na to nepomůže nasadit nějakou krabičku.
Navíc "pokročílé" metody, kdy se v reálném stavu monitoruje síť a dynamicky upravují pravidla = někdo kouká do logu a něco tam kliká, je nesmysl. Jak chcete blokovat například přes 4 miliony útočících IP adres. Reálnýcn, ne podvržených? To než někdo nakliká, tak to bude trvat poměrně dlouho. Je nutné to mít řešené předem.
Současně s tím jde o to, že útočníci reagují na stav velmi rychle. To jsou nižší jednotky vteřin, kdy rozjedou plný útok a jakmile jim to někdo omezí tak zareagují okamžitě. Útok zastaví a začnou útočit odjinud a jinak. Oni neplýtvají zdroji a hned útočí jinam a jinak. Musí tam být už od začátku taková pravidla, která blokují vše hned.K uvedené problematice máme nyní poměrně dost dat a podkladů.
ČLÁNKY DO MAILU