При DDoS атака настъпва паника. Наличието на план за смекчаване на DDoS атака ще помогне да се минимизират часовете или дните на хаоса в цялата организация. Организираната и навременна реакция ще допринесе за продължаване на обичайния работен процес. Специалистите препоръчват следните стъпки, за да разработите план за смекчаване на DDoS атака срещу организацията ви.
1. Определете единичните точки на отказ. DDoS нападателите ще се насочат към всяка потенциална точка на отказ като web сайтове, web приложения, приложни програмни интерфейси (APIs), domain name system (DNS), сървъри, центрове за данни и мрежова инфраструктура.
2. Проверете възможността на вашия доставчик на интернет услуги да смекчава DDoS атаки. Ако DDoS атаката към вашия сайт поставя под риск други клиенти на доставчика ви на интернет услуги, то той със сигурност ще спре (blackhole) вашия трафик и сайта ви ще остане недостъпен за неопределено време. Попитайте вашия доставчик на интернет услуги:
· Колко голяма DDoS атака ще се опита да смекчи, преди да спре (blackhole) целия трафик към сайта ви? И какви изисквания ще има преди да възстанови интернет услугата?
· Колко е наличния капацитет в мрежата отделена за вас, надвишаващ нормалния върхов трафик?
· Можете ли да декриптира TLS / SSL, за да инспектира DDoS атаки на приложно ниво, криптирани в SSL сесии?
· Ако мрежата ви е ударена с трафик от 10 Gbps в резултат на reflection DDoS атака от стотици източници, колко време ще отнеме да ги блокира, използвайки списък за контрол на достъпа (ACL)?
3. Не надценявайте инфраструктурата си. Вашият граничен мрежов хардуер може да ви служи добре при ежедневна употреба, но може да се провали бързо по време на DDoS атака, ако крайните мрежови устройства са с недостатъчен капацитет за злонамерено събитие. Обикновено DDoS атака генерира 0.5-4 Gbps, а върховият трафик може да надвиши 600 Gbps.
4. Определете какво трябва да защитите според въздействието върху основната ви дейност и загубите. Това може да включва web сайтове, web приложения, приложни програмни интерфейси (APIs), domain name system (DNS), сървъри, центрове за данни и мрежова инфраструктура. Какво е въздействието върху основната дейност и какви биха били оперативните, финансови, регулаторни загуби ? Как ще се отрази на репутацията на организацията ви?
5. Определете приемливото време за смекчаване на въздействието на DDoS атака. Колко бързо е необходимо да се активира услугата за защита от DDoS? Някои услуги за защита от DDoS са винаги включени, а други се активират при поискване, след заявка или автоматизирано при откриване на DDoS атака. Има два типа услуги за защита от DDoS:
· CDN(content delivery network) –базираните услугите за защита от DDoS, са винаги включени и се задействат мигновено, но не защитават центрове за данни или мрежова инфраструктура.
· DDoS scrubbing услугите обикновено са по заявка. Някои организации избират професионален мониторинг на трафика и директна, широколентова връзка, за да могат да направят промени толкова бързо, че да има малко или никакво въздействие върху наличността на сайта. Други организации избират да идентифицират DDoS атаката сами и да активират услугата ръчно.
6. Осигурете си услуга за защита от DDoS атака, преди да имате нужда от нея. Говорете с доставчиците на услуги за защита от DDoS преди атака и изберете услуга, преди да ви е необходима. Задавайте въпроси и се подгответе за всички възможни сценарии на DDoS атаки, на които вашата организация може да бъде подложена.
7. Разработете ръководство за реакция при DDoS атака. То ще позволи на организацията ви да реагира контролирано и последователно на атака. Ръководството трябва да включва процеси за реагиране при инциденти, пътища за ескалация, точки за контакт, роли и отговорности и вътрешни и външни комуникационни планове.
8. Дръжте ръководството за реакция при DDoS атака под ръка, за да гарантирате оперативна готовност. Провеждайте ежегодно тренировки по ръководството и правете преглед на сценариите за атака, за да се гарантира, че информацията в ръководството е документирана правилно и са следвани пътищата за ескалация, най-добрите практики и процедури.