Postupy popsané v tomto článku vyžadují předplatné programu Expert WEDOS.protection nebo vyšší. Další informace naleznete v článku Ochrana - plán předplatného.
V tomto článku se dozvíte:
Diagnostika DDoS
Útoky DDoS jsou běžným typem kybernetického útoku, který se snaží zahltit webové stránky nebo aplikace velkým množstvím požadavků. Tyto požadavky obvykle pocházejí z různých regionů, ale mohou pocházet i z jedné IP adresy, rozsahu nebo od jednoho poskytovatele. Některé z nich mohou mít společného UserAgent, který lze použít k jejich účinnému filtrování.
Prvním krokem k adekvátní reakci na probíhající útok DDoS je zjistit, kdo jsou útočníci, a zablokovat je, aniž by byl omezen legitimní provoz na vašem webu. Nejlepším nástrojem pro analýzu provozu je rozhraní Grafana, které můžete nastavit podle příručky Ochrana - Grafana.
Pokud máte podezření, že je váš web nebo aplikace napadena, postupujte podle následujících kroků:
- Přihlaste se do rozhraní Grafana ⧉.
- Ve filtru Hostitel požadavku vlevo nahoře vyberte doménu, která je předmětem útoku. V případě potřeby změňte také časový rozsah vpravo nahoře na 5 minut.
- Vyhledejte v protokolech podezřelé chování.
- Určete nejlepší způsob blokování podle níže uvedených rad.
V případě nouze můžete pomocí služby GeoIP rychle zablokovat všechny přístupy z jiných zemí nebo kontinentů a získat čas na analýzu provozu a nastavení účinnějších filtrů.
Neexistuje jediný správný způsob, jak provést analýzu protokolu, ale obecná rada zní:
- Anomálie. V tabulce Anomálie jsou uvedeny požadavky s chybovými kódy. Patří mezi ně i zablokované požadavky (456), které systém již aktivně blokuje. Nemusíte proti nim podnikat žádné kroky.
- Žádosti ze zemí. Pokud se v tomto seznamu objeví velké množství požadavků z neobvyklých zemí, použijte GeoIP a tyto země zablokujte, dokud útok neustane.
- TOP10 klientských IP adres. Ačkoli to u útoků DDoS není běžné, můžete narazit na neobvykle velký počet požadavků z několika málo IP adres. Ty můžete blokovat pomocí filtrů.
- TOP10 UserAgents a ASN Report. Za určitých okolností mohou útočníci sdílet UserAgent nebo ASN. Ty můžete snadno filtrovat.
Pokud nejste schopni určit a odfiltrovat zdroj útoku, zablokujte útok pomocí WAF.
Jakmile se útokům DDoS nepodaří vyřadit systém z provozu, obvykle se během několika minut stáhnou. Situaci dále sledujte, a jakmile nezjistíte žádný další škodlivý provoz, zkuste nouzová opatření opět vypnout.
Nouzové blokování
Pokud automatickým filtrům trvá příliš dlouho, než zabrání útoku DDoS (nebo jinému podobnému útoku) na váš web nebo aplikaci, doporučujeme nastavit:
- GeoIP funguje nejlépe k rychlému oddělení provozu z vaší země nebo kontinentu nebo k blokování provozu z útočících regionů.
- Filtry blokují konkrétní IP adresy, sítě ASN nebo agenty UserAgents.
- Web Application Firewall (WAF ) dokáže filtrovat provoz na základě přísnějších pravidel s vyšší úrovní paranoie.
Blokování geoIP
Chcete-li nastavit službu GeoIP, postupujte podle následujících kroků:
- Přihlaste se do globálního panelu administrátora WEDOS.⧉.
- Vyberte napadenou doménu.
- V levé nabídce vyberte možnost GeoIP.
- Povolit vlastní geoIP.
- Nastavte GeoIP podle svých požadavků (viz níže) a uložte.
Blokování geoIP se obvykle používá k:
- zpřístupnit webovou stránku nebo aplikaci pouze uživatelům v určité oblasti. podle následujících kroků:
- V části Nastavení přístupu vyberte možnost Povolit přístup a uložte ji.
- Vyberte cílovou dostupnou oblast (oblasti) na mapě GeoIP. Provoz z nevybraných (modrých) regionů bude blokován.
- V seznamu vybraných oblastí klikněte na tlačítko Uložit vybrané oblasti.
- Blokování provozu ze zemí s vysokým počtem nebo poměrem odblokovaných problematických požadavků podle následujících kroků:
- V části Nastavení přístupu vyberte možnost Blokovat přístup a uložte ji.
- Vyberte cílovou dostupnou oblast (oblasti) na mapě GeoIP. Provoz z nevybraných (modrých) regionů bude povolen.
- V seznamu vybraných oblastí klikněte na tlačítko Uložit vybrané oblasti.
Další informace o GeoIP naleznete v článku Ochrana - filtry, GeoIP, WAF.
Filtrování provozu
K dispozici jsou tyto dopravní filtry:
- IP. Blokuje všechny požadavky ze zadané IP adresy nebo rozsahu.
- ASN. Blokuje všechny požadavky z určitého ASN (autonomní číslo systému, obvykle identifikující poskytovatele internetových služeb).
- URL. Blokuje veškerý provoz na určitou adresu URL bez ohledu na zdroj. Tuto funkci použijte, pokud je útok zaměřen na konkrétní zdroj.
- UserAgent. Blokuje provoz na základě řetězců UserAgent.
Chcete-li nastavit filtry IP, ASN, URL nebo UserAgent, postupujte podle následujících kroků:
- Přihlaste se do globálního panelu administrátora WEDOS.⧉.
- Vyberte napadenou doménu.
- V levé nabídce vyberte možnost Filtry.
- Povolte libovolný vlastní filtr, který chcete použít.
- Přidání problematických IP, ASN a UserAgents.
Další informace o filtrech naleznete v článku Ochrana - filtry, GeoIP, WAF.
Filtrování WAF
Pokud neexistuje jasný indikátor zdroje nebo cíle škodlivého provozu, doporučujeme zvýšit úroveň paranoie WAF po dobu trvání útoku.
Chcete-li změnit úroveň paranoie WAF, postupujte podle následujících kroků:
- Přihlaste se do globálního panelu administrátora WEDOS.⧉.
- Vyberte napadenou doménu.
- V levé nabídce vyberte možnost WAF.
- Povolit vlastní WAF.
- V části Úroveň paranoie vyberte možnost Úroveň 2.
Další informace o bráně Web Application Firewall najdete v článku Ochrana - filtry, GeoIP, WAF.
ČASTO KLADENÉ DOTAZY
Proč nemám k dispozici možnosti uvedené v tomto článku?
Tyto možnosti jsou k dispozici pouze uživatelům s předplatným Expert nebo vyšším. Další informace naleznete v článku Ochrana - plán předplatného.
Jak dlouho obvykle trvá útok DDoS?
Tento typ útoku je obvykle poměrně nákladný, takže pokud se nepodaří cíl zničit během prvních několika minut, útočníci jej často přeruší a odejdou.