עם הזמן התקפות DDOS או בשמם העברי המלא, התקפות מניעת שירות הולכות והופכות להיות יותר ויותר פופלאריות. ההתקפות לרוב נעשות דרך מספר רב של מחשבים "זומבים" שנגועים בוירוס וביחד נקראים בוטנט, כאשר המפעיל שולח להם פקודה ביחד וכל מחשב, מכתובת IP שונה לחלוטין והגיוני שגם מיקום פיזי בעולם שונה, מתקיפים ביחד אתר אינטרנט והכול מתוך מטרה לגרום לאתר לא לעבוד.
אז איך אפשר להתמודד עם זה? אין לזה תשובה חד משמעית ומדובר בתורה שלמה ממש כמו בקידום אתרים, אבל אנסה לתת לכם כמה טיפים שיעזרו מאוד לאבטח שרת VPS נגד התקפות DDOS - זכרו, כל מקרה דורש בדיקה לגופו.
1.הימנעו מזה - אם אתם חברת אחסון אתרים, ספקי שרת VPS או כל דבר דומה, נסו מלהמנע מלאחסן אתרים שמיועדים להתקפות גדולות ובתדירות נפוצה, האתרים שהכי מועדים למתקפות הם אתרים בעלי רקע פוליטי ו\או דתי. זו גישה שחלק גדול מספקי האינטרנט בארץ צידדו בה במשך עשור בין השנים 2000 עד 2010.
2.הפרידו את הרשת שלכם - נסו להפריד את הרשת ככל שניתן, אל תחזיקו יותר מדי שרתים ברשת (segment) אחד על מנת שבמידה ותגיע התקפה היא תפגע בכמה שפחות שירותים ברשת שלכם.
3.ניטור ואחזקה שוטפת - תמיד תנטרו את הרשת וכל השרתים וההתקנים שבה, בדקו נתוני תעבורה, כמות חיבורים פתוחים, חיבורי SYN פתוחים, מספר בקשות לשניה ומדדים נוספים אשר משתנים ע"פ סוג השירות שהשרת מספק.
4.פיירוואל - אפילו אם ברמת תוכנה, תמיד יכול לעזור. דאגו לפיירוואל שמקונפג בצורה אופטימאלית לשירות שהשרת שלכם מספק, דאגו לחוקים בפיירוואל שיחסמו כתובת שמנסה להתחבר (אפילו ברמת SYN) יותר מאיקס חיבורים ב-Y שניות.
5.רוחב פס - גם אם שרת VPS משתמש ברוחב פס בנקודת שיא (peak) של 10 מגהביט, תמיד השאירו ספייר על מנת שרוחב הפס הנוסף יוכל לבלום התקפות DDOS שעלולות להגיע ובסיטואציות מסוימות, בהתאם לגודל ההתקפה, עלול להוות את ההבדל אם ההתקפה הצליחה והאתר שלכם הפסיק לעבוד או להשאיר אותו באוויר.
6.השתמשו בפתרונות כמו CloudFlare - אשר יאפשרו לכם להסתיר את כתובת הIP של השרת שלכם ובכל זאת להמשיך לספק את השירות שאתם רוצים, ככה שכשתגיע מתקפה היא תגיע לרשת של הספק CDN (לדוגמאת cloudflare) אשר מיועדת להתמודד עם התקפות ענק בקצבים של יותר מ65 גיגהביט לשניה.
7.שקלו אפשרות לרכוש מכשיר DDOS ייעודי - ולאחסן כל שרת VPS מאחורי המכשיר הייעודי הזה, שעלותו אומנם לא זולה אבל עוזר למנוע חלק גדול של המתקפות על ידי מאגר חתימות שנוצר מכל מתקפה ומתעדכן מהיצרן. ישנם מספר פתרונות בתחום לדוגמא radware defensepro, Cisco Guard, Arbor וכו'.
כל האפשרויות שמניתי יעזרו לכם להתמודד עם התקפות DDOS, אבל אף אחד מהם לא הבטיח %100 הצלחה. אישית, אני מצדד בכלל הראשון - בגלל שהטופוגרפיה של הרשת לא מאפשרת שום דרך חד משמעית להתמגן ממתקפות DDOS היא הכי רלוונטית בעיני.
בהצלחה!
אלעד