В случае наличия большой ИТ-структуры с большим количеством независимых сервисов при DDoS-атаке может возникнуть проблема выявления конкретного сервиса который подвергся DDoS.
Особенно это актуально, если в компании массово используются локальные сервисы типа Gitlab, Confluence и т.п. Все они содержать большое количество уязвимостей и часто становятся объектами атаки, превращаясь в "зомби" или проксируя DDoS-трафик.
Как проявляется DDoS-атака в ИТ-инфраструктуре?
В какой-то неприятный момент времени, удаленный доступ ко всем сервисам становится крайне нестабильным, постоянно все отваливается, реконнектится, при этом внутри сети все работает нормально.
‼️ Для того чтобы быстро выявлять объект атаки нужно настроить качественный мониторинг основных сетевых узлов.
Порядок определения объекта атаки:
1) Обязательно должен быть мониторинг трафика входящего/исходящего, количества пакетов в сек. (PPS), количества одновременных сессий и загрузки процессора основного роутера. Это позволит установить тип DDoS-атаки.
2) В случае применения VLAN, зачастую их настраивают на свитчах 3-го уровня, значит нужно иметь мониторинг трафика и PPS на каждом VLAN. На этом этапе вычисляется проблемный VLAN.
3) Далее остается вычислить проблемный хост в VLAN, для этого надо иметь мониторинг нагрузки на каждом хосте. При большом количестве хостов это параметр может генерить большой трафик в систему мониторинга и может ее перегрузить. Один из вариантов быстрого решения проблемы — отключение всего VLAN от интернета, тем самым дав возможность работы всем остальным сервисам. И потом уже можно спокойно анализировать логи и искать источник аномального трафика.
В качестве превентивных мер для потенциально дырявых сервисов можно применять следующие фичи.
‼️ Важное наблюдение: если хост уже был заражен, то отключение web-проброса на него уже не факт что поможет, он может выступать в роли "зомби" или прокси для паразитного трафика. Отключать надо всю сетевую активность на хосте для гарантии.
Подпишитесь на канал, чтобы быть в курсе новых советов!