Anti-DDoS >


OVH:n Anti-DDoS-suojaus




Mitä tarkoittaa anti-DDoS-suojaus?



DDoS-hyökkäyksen toimintamalli


On erittäin suuri mahdollisuus joutua DDoS-hyökkäyksen kohteeksi ja hyökkäyksiä yritetään tehdään usein.


DDoS-hyökkäyksen tarkoituksena on aiheuttaa palvelimen, palvelun tai infrastruktuurin toimintakatkos ylittämällä palvelimen kaistanleveys tai monopolisoimalla sen resursseja, kunnes ne ovat täysin huvenneet.


DDoS-hyökkäyksen aikana huomattavan suuri määrä kyselyjä lähetetään yhtäaikaisesti eri puolilta Internetiä. Kyselyjen intensiteetti ja määrä aiheuttaa palvelun epävakauden, ja pahimmassa tapauksessa lamauttaa sen täysin.



Suojataksemme asiakkaidemme palveluita



Suojatakseen palveluita ja palvelimia hyökkäyksiltä OVH tarjoaa VAC-teknologiaan perustuvan mitigaatioratkaisun. Ratkaisu yhdistää useita mullistavia suojaustekniikoita:


  • Analysoi paketit huippunopeasti reaaliajassa
  • Imuroi palvelimelle tulevan liikenteen
  • Mitigoi eli havaitsee kaikki paketit oikeuttamattomista IP-osoitteista antaen oikeutettujen IP-osoitteiden pakettien jatkaa matkaansa.


Kohteet ja hyökkäystyypit



Sivuston, palvelimen tai infrastruktuurin kaatamiseksi on kolme strategiaa:


  • Kaistanleveys: hyökkäyksellä ylitetään palvelimen verkkokapasiteetti, jolloin palvelin ei enää vastaa.
  • Resurssit: hyökkäys käyttää kaikki palvelimen järjestelmäresurssit, jolloin estyy vastaaminen oikeisiin kyselyihin.
  • Ohjelmistopuutteen hyväksikäyttö: kutsutaan myös nimellä "exploit", hyökkääjä hyväksikäyttää jotain ohjelmistossa olevaa aukkoa, jotta palvelin ei enää vastaa tai koneen haltuunottamiseksi.


Hyökkäyksen nimi OSI Layer Hyökkäyksen tyyppi Hyökkäyksen toimintatavan selitys
ICMP Echo Request Flood L3 Taatut Kutsutaan myös nimellä Ping Flood, pakettien massiivisen määrän lähettäminen (ping), joka tarkoittaa, että uhrin vastauksen (pong) sisältö on sama kuin alkuperäisessä paketissa.
IP Packet Fragment Attack L3 Taatut IP-pakettien lähetys, joissa viitataan muihin paketteihin, joita ei koskaan lähetetä, mikä ylikuormittaa kohteen muistin.
SMURF L3 Kaistanleveys ICMP broadcast hyökkäys joka väärentää lähteen osoittamaan suuren määrän vastauksia kohteeseen
IGMP Flood L3 Taatut IGMP-pakettien massalähetys (multicast hallintaprotokolla)
Ping of Death L3 Exploit ICMP-pakettien lähetys, joka hyväksikäyttää tiettyjen käyttöjärjestelmien bugia
TCP SYN Flood L4 Taatut TCP-yhteyspyyntöjen massalähetys
TCP Spoofed SYN Flood L4 Taatut TCP-yhteyspyyntöjen massalähetys käyttäen hyväksi lähdeosoitetta
TCP SYN ACK Reflection Flood L4 Kaistanleveys TCP-yhteyspyyntöjen massalähetys suurelle määrälle koneita, joissa lähdeosoite on väärennetty olemaan kohdeosoite. Kaikkien kohteiden kaistanleveys saturoituu näihin pyyntöihin vastaamisista.
TCP ACK Flood L4 Taatut TCP-segmenttien vastaanottokuittausten massapostitus
TCP Fragmented Attack L4 Taatut TCP-segmenttien lähetys, joissa viitataan toisiin segmentteihin, joita ei koskaan lähetetä, mikä ylikuormittaa kohteen muistin
UDP Flood L4 Kaistanleveys UDP-pakettien massalähetys (yhteydenmuodostaminen etukäteen ei ole pakollinen)
UDP Fragment Flood L4 Taatut UDP datagrammien lähetys jotka viittaavat toisiin datagrammeihin ei koskaan lähetetä, mikä saturoi kohteen muistin
Distributed DNS Amplification Attack L7 Kaistanleveys DNS-kyselyiden massalähetys hyväksikäyttäen uhrin lähdeosoitetta useaa oikeata DNS-palvelinta kohden. Vastauksen ollessa volyymiltään suurempi kuin kysymyksen aiheutuu hyökkäyksen vahvistuminen
DNS Flood L7 Taatut DNS-palvelimen hyökkäys kyselyiden massalähetyksellä
HTTP(S) GET/POST Flood L7 Taatut Web-palvelimen hyökkäys kyselyiden massalähetyksellä
DNS DDoS L7 Taatut DNS-palvelimen hyökkäys kyselyiden massalähetyksellä hyökkääjän kontrolloimista palvelimista