Procedury opisane w tym artykule wymagają planu subskrypcyjnego Expert WEDOS.protection lub wyższego. Więcej informacji można znaleźć w artykule Ochrona - plan subskrypcji.
W tym artykule dowiesz się:
Diagnostyka DDoS
Ataki DDoS są powszechnym rodzajem cyberataków, które próbują przytłoczyć stronę internetową lub aplikację dużą liczbą żądań. Żądania te zazwyczaj pochodzą z różnych regionów, ale mogą również pochodzić z jednego adresu IP, zakresu lub dostawcy. Niektóre z nich mogą mieć wspólny UserAgent, który może być wykorzystany do ich skutecznego filtrowania.
Pierwszym krokiem do odpowiedniej reakcji na trwający atak DDoS jest ustalenie, kim są atakujący i zablokowanie ich, bez ograniczania legalnego ruchu do witryny. Najlepszym narzędziem do analizy ruchu jest interfejs Grafana, który można skonfigurować zgodnie z instrukcją Protection - Grafana.
Jeśli podejrzewasz, że Twoja witryna lub aplikacja jest atakowana, wykonaj następujące kroki:
- Zaloguj się do interfejsu Grafana ⧉.
- W filtrze Request host w lewym górnym rogu wybierz domenę, która jest atakowana. W razie potrzeby zmień również zakres czasu w prawym górnym rogu na 5 minut.
- Przeszukaj dzienniki w poszukiwaniu podejrzanych zachowań.
- Określ najlepszą metodę blokowania zgodnie z poniższymi wskazówkami.
W sytuacji awaryjnej można użyć GeoIP, aby szybko zablokować dostęp z innych krajów lub kontynentów i dać sobie czas na analizę ruchu i skonfigurowanie bardziej skutecznych filtrów.
Nie ma jednego prawidłowego sposobu przeprowadzania analizy dziennika, ale ogólną radą jest sprawdzenie:
- Anomalie. Tabela Anomalie zawiera listę żądań z kodami błędów. Obejmują one zablokowane żądania (456), które system już aktywnie blokuje. Nie trzeba podejmować działań przeciwko nim.
- Żądania z krajów. Jeśli na tej liście pojawi się duża liczba żądań z nietypowych krajów, użyj GeoIP, aby zablokować te kraje, dopóki atak nie ustąpi.
- TOP10 adresów IP klientów. Chociaż nie jest to powszechne w przypadku ataków DDoS, możesz znaleźć nienormalnie dużą liczbę żądań z kilku adresów IP. Można je zablokować za pomocą filtrów.
- RaportTOP10 UserAgents i ASN. W niektórych okolicznościach atakujący mogą współdzielić UserAgent lub ASN. Można je łatwo filtrować.
Jeśli nie jesteś w stanie wskazać i odfiltrować źródła ataku, zablokuj go za pomocą WAF.
Gdy ataki DDoS nie doprowadzą do awarii systemu, zazwyczaj wycofują się w ciągu kilku minut. Monitoruj sytuację, a gdy nie wykryjesz więcej złośliwego ruchu, spróbuj ponownie wyłączyć środki awaryjne.
Blokowanie awaryjne
Jeśli automatyczne filtry zajmują zbyt dużo czasu, aby zapobiec atakowi DDoS (lub innemu podobnemu atakowi) na Twoją witrynę lub aplikację, zalecamy ich skonfigurowanie:
- GeoIP działa najlepiej, aby szybko odizolować ruch z kraju lub kontynentu lub zablokować ruch z atakujących regionów.
- Filtry blokują określone adresy IP, ASN lub UserAgents.
- Web Application Firewall (WAF) jest w stanie filtrować ruch w oparciu o bardziej rygorystyczne reguły z wyższym poziomem paranoi.
Blokowanie GeoIP
Aby skonfigurować GeoIP, wykonaj następujące kroki:
- Zaloguj się do panelu administracyjnego WEDOS.global ⧉.
- Wybierz atakowaną domenę.
- W menu po lewej stronie wybierz GeoIP.
- Włącz niestandardowy GeoIP.
- Skonfiguruj GeoIP zgodnie ze swoimi wymaganiami (patrz poniżej) i zapisz.
Blokowanie GeoIP jest zazwyczaj używane do:
- Udostępniać witrynę lub aplikację tylko użytkownikom w określonym obszarze. wykonując następujące kroki:
- W sekcji Ustawienia dostępu wybierz zachowanie Zezwalaj na dostęp i zapisz.
- Wybierz docelowe dostępne regiony na mapie GeoIP. Ruch z niewybranych (niebieskich) regionów zostanie zablokowany.
- Na liście wybranych regionów kliknij przycisk Zapisz wybrane regiony.
- Blokowanie ruchu z krajów z dużą ilością lub współczynnikiem odblokowanych problematycznych żądań, wykonując następujące kroki:
- W sekcji Ustawienia dostępu wybierz zachowanie Blokuj dostęp i zapisz.
- Wybierz docelowe dostępne regiony na mapie GeoIP. Ruch z niewybranych (niebieskich) regionów będzie dozwolony.
- Na liście wybranych regionów kliknij przycisk Zapisz wybrane regiony.
Więcej informacji na temat GeoIP można znaleźć w artykule Ochrona - filtry, GeoIP, WAF.
Filtrowanie ruchu
Dostępne filtry ruchu to:
- IP. Blokuje wszystkie żądania z określonego adresu IP lub zakresu.
- ASN. Blokuje wszystkie żądania z określonego ASN (Autonomous System Number, zazwyczaj identyfikujący dostawcę usług internetowych).
- URL. Blokuje cały ruch do określonego adresu URL, niezależnie od źródła. Użyj tej opcji, jeśli atak jest ukierunkowany na określony zasób.
- UserAgent. Blokuje ruch na podstawie ciągów UserAgent.
Aby skonfigurować filtry IP, ASN, URL lub UserAgent, wykonaj następujące kroki:
- Zaloguj się do panelu administracyjnego WEDOS.global ⧉.
- Wybierz atakowaną domenę.
- W menu po lewej stronie wybierz Filtry.
- Włącz dowolny filtr niestandardowy, którego chcesz użyć.
- Dodawanie problematycznych adresów IP, ASN i UserAgents.
Więcej informacji na temat filtrów można znaleźć w artykule Ochrona - filtry, GeoIP, WAF.
Filtrowanie WAF
Jeśli nie ma wyraźnego wskaźnika dotyczącego źródła lub celu złośliwego ruchu, zalecamy zwiększenie poziomu paranoi WAF na czas trwania ataku.
Aby zmienić poziom paranoi WAF, wykonaj następujące kroki:
- Zaloguj się do panelu administracyjnego WEDOS.global ⧉.
- Wybierz atakowaną domenę.
- W menu po lewej stronie wybierz WAF.
- Włącz niestandardowy WAF.
- W sekcji Poziom paranoi wybierz Poziom 2.
Więcej informacji na temat Web Application Firewall można znaleźć w artykule Ochrona - filtry, GeoIP, WAF.
FAQ
Dlaczego opcje opisane w tym artykule nie są dla mnie dostępne?
Opcje te są dostępne tylko dla użytkowników z planem subskrypcji Expert lub wyższym. Więcej informacji można znaleźć w artykule Ochrona - plan subskrypcji.
Jak długo zazwyczaj trwa atak DDoS?
Ten rodzaj ataku jest zazwyczaj dość kosztowny, więc jeśli nie uda się zlikwidować celu w ciągu pierwszych kilku minut, atakujący często przerywają go i odchodzą.