Der folgende Artikel ist Teil 2 einer dreiteiligen Serie über die Fehlerbehebung bei DDoS-Angriffen und ein Gastbeitrag von Matt Conran von Netzwerkeinblick. In diesem Artikel behandelt Matt die Herausforderungen beim manuellen Ansatz der DDoS-Fehlerbehebung.
Ein DDoS-Angriff (Distributed Denial of Service) ist ein Hinterhalt, um die Online-Dienste durch enormen Datenverkehr aus zahlreichen Quellen zu entfremden. Bei diesem Cyberangriff verwendet der Henker mehr als eine eindeutige IP-Adresse. Damit, Wenn wir an DDoS denken, fallen uns vor allem die Erkennungs- und Abwehrkomponenten ein. Schließlich wird hier das Geld gepusht und die neuen ausgefallenen Features eingeführt. Es ist jedoch die gesamte Effektivität der End-to-End-Lösung, die den DDoS rechtzeitig stoppt.
Das fehlende Puzzleteil ist die Fehlersuche. Das nehmen viele wahr ein Netzwerk abbilden und Fehlersuche ist eine technische Aufgabe, die nur die Hände eines Ingenieurs erfordert. Aber es gibt einen ganzen Unternehmensprozess, der integriert werden muss, was zur abschließenden praktischen Konfigurationsarbeit führt und dadurch DDoS stoppt.
Das Verfahren beinhaltet die Koordination von Personen aus verschiedenen Teams und mit unterschiedlichem technischen Hintergrund, um effizient eine Lösung zu mischen und zu bilden. Dies geschieht nicht automatisch oder zufällig. Es muss geprobt und genau kontrolliert werden. Eines der größten Probleme bei DDoS-Angriffen ist die mangelnde Vorbereitung. Mangelnde Vorbereitung führt zu Panik und dann wird nichts repariert, wenn das einsetzt.
Alle technische Erfahrung der Welt wird Ihnen nicht helfen, wenn die Kulturen zwischen den Teams nicht gut funktionieren. Und bei einem DDoS-Ereignis benötigen Sie sicherlich mehrere Teams, die zusammenarbeiten.
Die Kunst des Netzwerkens hat zu Tausenden verschiedener Netzwerkdesigns geführt, die oft als einzigartige Schneeflocken bezeichnet werden. In SP-Netzwerken bietet es oft die gleiche Endziel-Konnektivitätsanforderung, wie z. B. ein L2VPN und L3PVPN. Allerdings variiert die Art des Netzwerkdesigns von Provider zu Provider erheblich.
Viele Entwürfe verbleiben auf den Köpfen des Designers, obwohl sie in einem zentralen Repository mit Änderungen verfolgt werden sollten. Die Fehlerbehebung bei verschiedenen Netzwerkdesigns und -konfigurationen wird schwierig, wenn Sie DDoS-Angriffe mit Volumen im Terabyte-Bereich erhalten.
Remotely-Triggered Black Hole (RTBH) ist eines der häufigsten Möglichkeiten, einen Angriff abzuwehren. Es verwendet das Border Gateway Protocol (BGP) innerhalb des Netzwerks und installiert Regeln am Weiterleitungsort, um das Ziel zu blockieren und den DDoS-Angriff abzuschwächen. Es vervollständigt im Wesentlichen den DDoS-Angriff im Namen des Angreifers. RTHB war in der Vergangenheit nützlich, aber einer seiner Mängel ist, dass es sowohl das Routing im Missionsmodus als auch die Sicherheitsfunktionen auf demselben Gerät kombiniert.
Firewall-Regeln, die verwendet werden, um einen Angriff zu blockieren, werden in das Netzwerkgerät platziert, das die Kernrolle des Routings des Datenverkehrs von Punkt A nach Punkt B übernimmt. Aus technischer Sicht stehen wir also bereits vor Herausforderungen. Um dies noch weiter zu verschärfen, müssen wir mehr als oft zwei Teams kombinieren, um an demselben Gerät zu arbeiten, sowohl an der Sicherheit als auch am Netzwerk. Aus betrieblicher Sicht besteht der häufigste Ansatz zur DDoS-Abwehr darin, zwei technische Hüte auf demselben Gerät zu mischen.
Auf dem Höhepunkt eines DDoS-Angriffs ist die Teamzusammenarbeit von entscheidender Bedeutung, und die vorhandene DDoS-Abwehr wie RTBH kann die Teamkoordination vor Herausforderungen stellen. Um effizient vor DDoS zu schützen, darf eine Lösung nie ausschließlich aus technischer Sicht betrachtet werden. Es ist der gesamte Fehlerbehebungsprozess und die Zusammenarbeit der Teams, die das Rennen erfolgreich gewinnen.
Für einen effizienten DDoS-Schutz müssen Sie alle Schichten des Open Systems Interconnection Model (OSI)-Stacks untersuchen. Es geht nicht mehr nur um eine Schicht; Die Cyberkriminellen verwenden mehrere Schichten, um in ein Netzwerk einzudringen. Parallele Angriffe werden häufig verwendet, indem sowohl der volumetrische Layer 4- als auch der Layer 7-Anwendungsangriff kombiniert werden. Wir haben also im Wesentlichen zwei Schichten des Stacks, die eine Fehlersuche erfordern – Schicht 4 und Schicht 7.
Dies könnte möglicherweise auch zwei separate Teams umfassen – ein Netzwerkteam für Layer 4 und ein Anwendungsteam für Layer 7. Zusammen mit einigen Firewalls und Load Balancern haben wir eine schöne Mischung aus verteilter Teaminteraktion. Diese Art der Zusammenarbeit muss rationalisiert und effizient koordiniert werden.
Die manuelle Herangehensweise an DDoS umfasst eine Reihe von Schritten, bevor sie tatsächlich zur Ursache des Problems gelangt. All dies muss möglicherweise von verschiedenen Personen, Teams, Orten und Zeiten durchgeführt werden. Meistens werden die beteiligten Personen nicht nebeneinander sitzen. Es kommt darauf an, wie der Angriff und wie er signalisiert wurde. Wenn es sich um einen Angriff auf Anwendungsebene handelt, muss ein Administrator möglicherweise die Protokolle einzelner Server anzeigen, indem er sich manuell anmeldet oder über einen zentralen Protokollanalyser.
Ein anderer Administrator muss möglicherweise eine Gruppe von Computern durchsuchen und Befehle wie z „Netstat“ um festzustellen, welche Verbindungen auf diesem Server oder Gerät geöffnet sind. Ein anderer Administrator muss überprüfen, ob die Maschinenlast hoch ist, oder die Anzahl ermitteln HTTP-Prozesse Laufen. Ein Linux- oder Firewall-Administrator muss benutzerdefinierte Skripts erstellen und sie gegen IP-Tabellen ausführen, um andere Arten von Sicherheitsinformationen zu ermitteln.
Benutzerdefinierte Skripte, die von einzelnen Ingenieuren erstellt wurden, eignen sich hervorragend für einen der Jobs, aber wenn Sie möchten, dass sie zwischen Teams automatisiert werden, wird es schwieriger. Die Person, die das Skript erstellt, ist normalerweise diejenige, die das Skript verwaltet. Was passiert, wenn diese Person geht oder wenn es Fehler oder Änderungen gibt, die erforderlich sind?
Die zusätzliche Arbeit, die außerhalb des Bereichs dieses Ingenieurs liegt, wird in seinem normalen Tagesgeschäft zusammengefasst und schließlich beiseite gelassen. Es ist viel besser, alle Ihre Skripte in einer zentral verwalteten Datenbank zu horten, in der keine einzelne Person die Verantwortung trägt. DDoS-Angriffe entwickeln sich rasant. Die Art der erforderlichen zufälligen Änderungen ( TCP – > UDP ) wäre ein einfacher Befehl auf dem C2-Server. Der Versuch, all dies mit benutzerdefinierten Skripten zu verfolgen, ist ein schlechter Dienst für Sie und Ihr Unternehmen.
Möglicherweise muss ein erfahrener Ingenieur gerufen werden, um sich die HTTP-Host-Header oder Sitzungstabellen anzusehen auf einem Load Balancer, um festzustellen, ob es sich um einen ausgeklügelteren Angriff handelt. Layer-7-Angriffe überschreiten nicht die Anzahl der Pakete pro Sekunde, daher müssen wir tiefer gehen als das standardmäßige 5-Tupel und sporadische Probleme ermitteln.
Manchmal müssen wir möglicherweise zusätzliche Anstrengungen unternehmen, um Überlastungszahlen, Überlastungsfenster, TCP RTT oder andere erweiterte Funktionen zu untersuchen. Auf einem Webserver müssen wir möglicherweise nach bestimmten Headern suchen, um in Null0 zu schreiben.
BGP-Communities eignen sich häufig für die DDoS-Abwehr. Die BGP-Community wird auf eine Route festgelegt und diese Route wird dann am WAN-Edge blockiert. Bei einer falschen Einstellung wäre es mit viel Handarbeit verbunden, herauszufinden, wo die Fehlerquelle liegt.
Der manuelle Ansatz zur Fehlerbehebung muss schließlich durchgeführt werden, und dann müssen alle Diagnoseinformationen irgendwie an einem Ort zusammengeführt werden, um eine Entscheidung zu treffen, was zu tun ist. Der Versuch, diese Schritte mit denselben Personen ohne Automatisierung zu wiederholen, ist nicht der Weg für einen reibungslosen Betrieb. Es sind viele verschiedene Schritte erforderlich, die viele verschiedene Teams erfordern und viele verschiedene Technologie-Hüte kombinieren.
Einige dieser für die Fehlerbehebung erforderlichen Geräte befinden sich möglicherweise sogar in verschiedenen Netzwerken mit unterschiedlichen Anmeldungen. Es kann vorkommen, dass Sie ein Problembehandlungsticket einreichen müssen, um auf das Gerät zu gelangen, um mit der Problembehandlung zu beginnen. Uns sind bereits die Hände gebunden und DDoS gewinnt bereits mit großem Abstand. Diese Art der Fehlerbehebung erweist Ihnen einen Bärendienst, insbesondere wenn wir uns bereits in einem Katz-und-Maus-Spiel befinden. Das Kombinieren von Teams, technischen Hüten und Fähigkeiten ist eine schwierige Aufgabe und erfordert ein gutes Team- und Projektmanagement. Anstatt den Glauben den Göttern zu überlassen, ist es besser, eine Lösung zu haben, damit die Dinge für Sie funktionieren. Wenn also ein DDoS passiert, und es wird sicherlich passieren, sind Sie mit einem Klick auf eine Schaltfläche bereit, es zu entschärfen.
NetBrain bietet eine einzigartiger Ansatz zur Netzwerkautomatisierung Dadurch wird die Lücke zwischen DDoS-Erkennung und Abwehr geschlossen. Die Fähigkeit für NetBrain Die Integration in Erkennungs- und Minderungssysteme vervollständigt das fehlende Teil des Denial-of-Service-Puzzles (DDoS). Es ist nicht das Kartierungsunternehmen, sondern das Automatisierungsunternehmen, das den Hebel ansetzt Dynamische Netzwerkzuordnung, ausführbar Runbooks und reichhaltiges Integrationsframework von APIs und Arbeitsabläufe um jede Art von DDoS zu beheben.