DDoS攻撃を防ぎ、ネットワークインフラストラクチャを安全に保つ4つのコア戦術
分散型サービス拒否 (DDoS) とは何ですか? ネットワーク環境を保護するにはどうすればよいですか? | 記事
混乱から守る: DDoS 攻撃からネットワークを守る戦略
分散型サービス拒否 (DDoS) は、インターネット高速道路の渋滞のようなものです。交通量の多い道路で車を運転しているときに、突然何千台もの他の車が同じ道路に群がり始め、車線が詰まり、渋滞が発生したと想像してください。デジタルの世界では、これが DDoS 攻撃中に起こります。車の代わりに、Web サイトやオンライン サービスを圧倒するデータ パケットの洪水が発生し、正規のユーザーがアクセスできなくなります。ハッカーは、ボットネットとして知られる侵害されたコンピュータのネットワークを使用してこれらの攻撃を組織し、ターゲットに圧倒的な量のトラフィックを大量に送り込みます。
DDoS 攻撃から保護するために、ネットワーク環境では、専用の DDoS 軽減ソリューションの導入、ファイアウォールや侵入防御システムの使用、インターネット サービス プロバイダー (ISP) との連携による悪意のあるトラフィックがターゲットに到達する前にフィルタリングするなど、さまざまな戦略が採用されています。さらに、冗長性とフェイルオーバーのメカニズムを実装すると、攻撃中であっても重要なサービスを確実に利用できるようにすることができます。全体として、DDoS 保護には、攻撃をリアルタイムで検出して軽減し、ネットワーク環境を中断やダウンタイムから保護するための事前対応策の組み合わせが含まれます。
DDoS攻撃を緩和するには、XNUMXつのフェーズがあります。
攻撃を防御するには、各フェーズを適切に配置して機能させる必要があります。
- 検出 – 分散型攻撃を阻止するには、製品のリリースやその他の発表により、Web サイトに正規の新規訪問者が殺到している場合、Web サイトはその後、攻撃を大量の通常のトラフィックと区別する必要があります。 サイトがやりたくないことは、彼らを抑制したり、ウェブサイトのコンテンツを表示するのを止めたりすることです. IP レピュテーション、一般的な攻撃パターン、および以前のデータは、適切な検出に役立ちます。
- Response – このステップでは、DDoS 保護ネットワークは、悪意のあるボット トラフィックをインテリジェントにドロップし、残りのデータ トラフィックを吸収することで、特定された着信脅威に対応します。 アプリケーション層 (L7) 攻撃に WAF ページ ルールを使用するか、別のフィルタリング プロセスを使用して、mem-cached や NTP 増幅などの低レベル (L3/L4) 攻撃を処理することで、ネットワークは中断の試みを軽減できます。
- ルーティング –トラフィックをインテリジェントにルーティングすることにより、効果的なDDoS軽減ソリューションは、残りのトラフィックを管理可能なチャンクに分割し、サービス拒否を防止します。
- 適応 – 優れたネットワークは、問題のある IP ブロックの繰り返し、特定の国からの特定の攻撃、特定のプロトコルの悪用などのパターンについてトラフィックを分析します。 保護サービスは、攻撃モードに適応することで、将来の攻撃に対して自身を強化できます。
DDoS軽減をサポートするコアフィルタリング技術:
- 接続トラッキング
- IPレピュテーションリスト
- ブラックリストとホワイトリスト
- エッジでのレート制限
- 環境にやさしい 次世代ファイアウォール スマートポリシー
DDoS軽減サービスの選択
従来の DDoS ミティゲーション ソリューションでは、稼働中のオンサイト機器を購入し、着信トラフィックをフィルタリングしていました。 このアプローチは、高価な機器を購入して維持することから成り、攻撃を吸収できるネットワークに依存しています。 DDoS 攻撃が十分に大規模な場合、ネットワーク インフラストラクチャのアップストリームが奪われ、オンサイト ソリューションの生産性が損なわれる可能性があります。 クラウドベースの DDoS 緩和サービスを購入する場合は、特定の特性を評価してください。
- スケーラビリティ – 実用的なソリューションは、成長するビジネスのニーズに適応し、増大し続ける DDoS 攻撃の規模に対応できなければなりません。 1 秒あたり 10 TB (TBPS) を超える攻撃が発生しており、攻撃トラフィック サイズの傾向が低下している兆候はありません。 Cloudflare のネットワークは、これまでの XNUMX 倍の規模の DDoS 攻撃を処理できます。
- 柔軟性 – アドホックなポリシーとパターンを作成することで、Web プロパティが入ってくる脅威に迅速に適応できるようになります。 ページ ルールを実装し、それらの変更をネットワーク全体に入力する機能は、攻撃中にサイトをオンラインに保つための重要な機能です。
- 信頼性の向上 – シートベルトと同じように、DDoS 保護は必要なときにのみ必要なものですが、その時が来たら機能する方がよいでしょう。 DDoS ソリューションの信頼性は、保護戦略の成功に不可欠です。 サービスの稼働率が高く、サイト信頼性エンジニアが 24 時間体制でネットワークをオンラインに保ち、新しい脅威を特定していることを確認してください。 冗長性、フェイルオーバー、およびデータセンターの拡張ネットワークは、プラットフォームの戦略の中心となる必要があります。
- ネットワークサイズ – DDoS 攻撃には、特定のプロトコルと攻撃ベクトルが時間の経過とともに変化するため、インターネット全体にパターンがあります。 大規模なデータ転送を備えた広大なネットワークにより、DDoS ミティゲーション プロバイダーは迅速かつ効率的に分析および対応し、多くの場合、攻撃が発生する前に阻止できます。 Cloudflare のネットワークはインターネットの 10% を実行しており、世界中の攻撃トラフィックからのデータを分析する際に利点を生み出しています。
ここでは、一般的な 10 個の DDoS 攻撃とそれらから保護する方法を示します。
- 容積型攻撃: ネットワークに大量のトラフィックが溢れます。
保護: トラフィック フィルタリングとレート制限を実装して、大量のトラフィックの影響を軽減します。分散トラフィック処理にはコンテンツ配信ネットワーク (CDN) を採用します。 - UDP フラッド: ユーザー データグラム プロトコル (UDP) パケットでネットワークをフラッディングします。
保護: ステートフル インスペクション ファイアウォールまたは侵入防止システム (IPS) を導入して、不正な UDP トラフィックを除外します。ネットワーク デバイスの UDP フラッド保護機能を利用します。 - SYN フラッド: 大量の SYN リクエストを送信することで、TCP ハンドシェイク プロセスを悪用します。
保護: SYN Cookie を構成するか、ファイアウォールとルーターに SYN フラッド保護メカニズムを実装します。レート制限を利用して、受信接続リクエストの数を制御します。 - HTTP フラッド: 大量の HTTP リクエストにより Web サーバーが過負荷になります。
保護: Web アプリケーション ファイアウォール (WAF) を実装して、悪意のある HTTP トラフィックを除外します。レート制限と CAPTCHA チャレンジを利用して、不審なリクエストを特定してブロックします。 - DNS増幅: オープン DNS サーバーを悪用して、ターゲットに向けられたトラフィックを増幅します。
保護: オープン DNS リゾルバーを無効にするか、アクセス制御を構成してクエリを制限します。 DNS レート制限を実装し、DNS フィルタリング サービスを使用して悪意のあるリクエストをブロックします。 - NTP増幅:ネットワーク タイム プロトコル(NTP)サーバーを悪用して、ターゲットへのトラフィックを増幅します。
保護: 未使用の NTP サービスを無効にするか、信頼できるクライアントのみにアクセスを制限します。レート制限とパケット フィルタリングを実装して、NTP 増幅攻撃をブロックします。 - SSDP リフレクション: Simple Service Discovery Protocol (SSDP) を利用して、ターゲットへのトラフィックを増幅します。
保護: 脆弱なデバイスで SSDP サービスを無効にするか、アクセス制御を実装して SSDP トラフィックを制限します。パケット フィルタリングとレート制限を利用して、SSDP リフレクション攻撃をブロックします。 - ICMP フラッド: インターネット制御メッセージ プロトコル (ICMP) エコー要求でネットワークをフラッディングします。
保護: ICMP レート制限とフィルタリングを実装して、過剰な ICMP トラフィックをブロックします。疑わしい送信元からの ICMP パケットをドロップするようにルーターとファイアウォールを構成します。 - スローロリス:部分的な HTTP リクエストを送信してサーバーのリソースを占有することで、サーバーの最大同時接続制限を悪用します。
保護: クライアントごとの最大同時接続数を制限するように Web サーバーを構成します。リクエストのタイムアウトと接続レート制限を実装して、低速な HTTP 攻撃を検出してブロックします。 - アプリケーション層攻撃: 大量のリクエストやリソースを大量に消費する攻撃で、特定のアプリケーションやサービスをターゲットにします。
保護: Web アプリケーション ファイアウォール (WAF) を使用して、悪意のあるアプリケーション層トラフィックを検出してブロックします。レート制限と異常検出を実装して、アプリケーション層の攻撃をリアルタイムで特定して軽減します。。ソフトウェアを定期的に更新してパッチを適用し、攻撃者が攻撃する可能性がある既知の脆弱性に対処します。 悪用する。
件名内のいくつかの貴重な投稿
ネットワーク全体をサイバー攻撃から守るにはどうすればよいでしょうか?
ファイアウォールとは何ですか? エンタープライズファイアウォールの何が重要ですか?
インフラストラクチャ向けのネットワーク設計のベスト プラクティス 10 選
Cisco FirepowerによるDDoS保護–ラドウェア
このビデオを見て、Cisco Firepower NGFW の Radware DDoS 保護および軽減モジュールについてよく理解してください。このビデオでは、Firepower がゼロデイ ネットワークおよびアプリケーションの DDoS 攻撃を数秒で検出し、正規のユーザ トラフィックをブロックすることなく正確にブロックする方法を示しています。
DDoS 攻撃の防止 |ネットワークインフラストラクチャのセキュリティ | DDoS から保護する | DDoS 防御戦略 | DDoS からネットワークを守る | DDoS 攻撃を防ぐ |ネットワークセキュリティ対策 | DDoS 軽減策 |安全なネットワーク インフラストラクチャ | DDoS 攻撃から防御する
AI の活用を始めるにはどうすればよいですか?
新しい革新的な AI テクノロジーは圧倒的な場合がありますが、私たちがお手伝いします。当社の AI ソリューションを使用して、最も複雑で長い文書から情報を抽出、理解、分析、レビュー、比較、説明、解釈することで、お客様を新しい道に導き、案内し、その方法を示し、サポートすることができます。はるばる。
無料トライアルを始めましょう! クレジット カードは必要ありません。クラウド ソフトウェアに完全にアクセスでき、いつでもキャンセルできます。
オーダーメイドのAIソリューションを提供します。複数の文書の比較'と'ハイライトを表示'
無料のデモをスケジュールしてください!
やり方は分かったので、早速始めましょう!
aiMDC (AI Multiple Document Comparison) の使用方法に関する説明書をダウンロード PDF File.
人工知能 (AI) – ビジネスに AI を導入する前に確認すべき 10 の主要なステップ (動画)
詳細については、ケーススタディやその他の投稿をご覧ください。
ネットワーク全体をサイバー攻撃から守るにはどうすればよいでしょうか?
Webアプリケーションファイアウォール(WAF) - アプリケーション用シールド
AWSでのF5WAF; Webアプリケーションを保護するための革新的なソリューション
#ddos #検出 #応答 #ネットワーク #インフラストラクチャ
ドメインをまたいだ AI SaaS、ケーススタディ: IT, 金融サービス, 保険, 引受保険数理士, 薬剤, 工業生産, エネルギー, 規約とポリシー, メディア&エンターテインメント, 観光, 採用情報, 航空業, 看護師, テレコミュニケーション, 法律事務所, 食品および飲料 と 自動車.
ダニエル・ツァルネツキ
このブログ投稿はもともと英語で書かれていましたが、アラビア語、中国語、デンマーク語、オランダ語、フィンランド語、フランス語、ドイツ語、ヒンディー語、ハンガリー語、イタリア語、日本語、ポーランド語、ポルトガル語、スペイン語、スウェーデン語、トルコ語に魔法のような変貌を遂げました。 微妙なコンテンツが輝きを失った場合は、元の英語の輝きを取り戻しましょう。