DDoS zaštita: kako mreža prepoznaje napad i zaustavlja ga pre nego što sruši sajt?

DDoS zaštita je sistem koji prepoznaje zlonamerni napad koji se ogleda u povećanom saobraćaj iz većeg broja izvora i preusmerava ga van vašeg servera pre nego što sruši sajt. Zaštita se primenjuje u četiri faze: detekcija anomalija u saobraćaju, preusmeravanje sumnjivog traffic-a, čišćenje (scrubbing) i adaptacija na nove obrasce napada. Cilj je da legitimni korisnici nastave da koriste sajt dok napad traje.

Ovaj tekst govori o tome šta se dešava u prvih šezdeset sekundi napada i zašto klasičan firewall ne može sam da uradi posao.

Šta DDoS zaštita zapravo radi (i šta firewall ne može)

Klasičan firewall radi na nivou paketa: pregleda izvornu IP adresu, port, protokol, i odlučuje da li paket prolazi. To radi kod ciljanih napada na pojedinačne servise. Farewall pada čim saobraćaj počne da dolazi sa hiljada IP adresa istovremeno, jer i sam postaje usko grlo. DDoS napadi rade upravo to. Botnet od desetina hiljada uređaja šalje saobraćaj koji svaki paket pojedinačno izgleda legitimno, ali zbir prelazi stotine gigabita u sekundi.

DDoS zaštita ne pokušava da filtrira pakete na vašem serveru. Prepoznaje obrazac napada na nivou mreže, povlači sumnjivi saobraćaj iz osnovnog toka, i čisti ga u posebnoj infrastrukturi. To je deo šire cybersecurity strategije poslovne mreže, sa specifičnom ulogom: ne sprečava upade u sistem, već čuva dostupnost servisa.

Četiri faze: kako sistem prepoznaje napad u realnom vremenu

Mitigacija nije jedan korak nego lanac. Većina ozbiljnih provajdera DDoS zaštite (Cloudflare, Akamai, F5, Fortinet) opisuje istih četiri faze, sa različitim imenima.

Faza 1: detekcija (baseline i anomalije)

Pre nego što može da prepozna napad, sistem mora da zna šta je normalno. Stalno meri saobraćaj: koliko paketa u sekundi prolazi, sa kojih opsega adresa, prema kojim portovima, u kojim satima. Iz tog merenja gradi baseline. Mrežni uređaji koriste protokole NetFlow, sFlow ili IPFIX da bi slali meta podatke ka analitičkom sistemu.

Analitika traži anomalije: nagli skok paketa po sekundi, neuobičajen odnos SYN i ACK paketa, obrasce koji odudaraju od ponašanja u prethodnom periodu. Moderni sistemi koriste mašinsko učenje da bi razlikovali stvarni napad od legitimnog skoka u saobraćaju (na primer, kad pokrenete kampanju ili izađe vest o vašem proizvodu). Kvalitet detekcije meri se kroz vreme do otkrivanja i procenat lažnih pozitiva. Dobre platforme detektuju napad u roku od nekoliko sekundi.

Faza 2: preusmeravanje (BGP i DNS)

Kad alarm okine, sistem mora da odluči gde će sumnjivi saobraćaj otići. Cilj je da on više ne ide direktno ka vašem serveru. Postoje dva pristupa.

BGP preusmeravanje radi na nivou rutiranja. Provajder zaštite najavljuje vašu IP adresu kroz svoju mrežu, pa svetski ruteri počnu da šalju saobraćaj namenjen vama prema scrubbing centru umesto direktno. Brzo je (desetine sekundi do globalne propagacije) i pokriva sve protokole.

DNS preusmeravanje radi na nivou imena domena. Vaš DNS zapis se menja tako da pokazuje na adrese provajdera zaštite, koji prosleđuje samo očišćen saobraćaj ka vašem serveru. Jednostavnije za implementaciju, ali zavisi od TTL-a i pokriva uglavnom HTTP/HTTPS saobraćaj.

Detaljno tehničko poređenje BGP i DNS pristupa daje izveštaj CERT-a o zaštiti od DDoS napada.

Faza 3: scrubbing (čišćenje saobraćaja)

Scrubbing centar je infrastruktura kapaciteta većeg od pojedinačnog korisnika, obično se meri u stotinama gigabita ili terabitima u sekundi. U njega dolazi sav saobraćaj koji je sistem označio kao sumnjiv. Centar primenjuje više slojeva filtera.

• Rate limiting po IP adresi i opsegu: ako jedna adresa šalje deset puta više zahteva nego što je realistično, paketi iznad praga se odbacuju.
• Signature matching: prepoznavanje poznatih obrazaca napada (SYN flood, DNS amplifikacija, NTP refleksija). Katalozi potpisa se ažuriraju u realnom vremenu.
• Challenge-response: za TCP, server šalje SYN cookies koje legitiman klijent rešava, a botnet ne može. Za HTTP, šalje se JavaScript ili CAPTCHA izazov.
• GeoIP i reputacija: ako vaš biznis radi samo na Balkanu, saobraćaj sa udaljenih jurisdikcija u trenutku napada postaje očigledan kandidat za odbacivanje.

Posle filtera, samo „čist“ saobraćaj se vraća prema vašem serveru, obično preko enkriptovanog tunela. Vi nastavljate da radite, korisnici nastavljaju da koriste sajt, a napad u pozadini pravi pokušaje na spoljnom obodu aplikacije (perimetar) bez efekta.

Faza 4: adaptacija i povratak normalnog saobraćaja

Napadači menjaju taktiku kad vide da prva runda ne radi: prebacuju botnet, menjaju protokol, prelaze sa volumetrijskog na aplikativni napad. Sistem zaštite mora da prepozna promenu i prilagodi pravila u letu, bez prekida čišćenja. Kad napad prestane, sistem postepeno vraća saobraćaj u normalni tok, jer napadači često prekinu na kratko da bi videli reakciju, pa krenu ponovo. Posle nekoliko desetina minuta tihog stanja, BGP (Border Gateway Protocol) najave se povlače ili se DNS vraća na originalne zapise.

On-premise vs cloud DDoS zaštita: kada koristiti šta

DDoS zaštita može fizički da bude na dva mesta. On-premise rešenje je uređaj na vašoj lokaciji ili u vašem data centru. Cloud rešenje je servis u mreži provajdera, raspoređen kroz više scrubbing centara. Oba imaju legitimnu ulogu, ali ne pokrivaju iste scenarije.

On-premise uređaj rešava male i srednje napade lokalno, bez gubljenja milisekundi na rerouting. Pada čim napad pređe kapacitet vašeg uplink-a ka internetu, jer link puca pre uređaja. Cloud rešenje rešava taj problem, ali ne nudi najbržu reakciju za sitne L7 napade koji se mogu rešiti i lokalno.

Zato je hibridni pristup standard kod ozbiljnih operacija. Lokalni uređaj rešava brze i male incidente, a cloud preuzima čim volumen pređe lokalni kapacitet. DDoS zaštita Orion telekoma kombinuje upravo ova dva sloja: on-premise uređaj i cloud-based zaštitu za napade koji premašuju lokalni kapacitet.

Tipovi napada koje zaštita mora da pokrije

Različiti napadi traže različite filtere. Industrija ih deli u tri primarne kategorije, koje se često kombinuju u istoj kampanji.

Volumetrijski napadi

Cilj je da popune propusnost. Tipičan primer je DNS amplifikacija: botnet šalje upite otvorenim DNS serverima sa lažiranom izvornom adresom (vašom), pa odgovori, mnogo veći od upita, slete na vaš link.

Mitigacija: scrubbing centar sa kapacitetom većim od napada i BGP preusmeravanje.

Napadi protokola

Cilj je da iscrpe resurse mrežnih uređaja. SYN (synchronize) flood napad je najpoznatiji: napadač otvara hiljade TCP konekcija ali nikad ne završava handshake, pa server troši memoriju na poluotvorene veze dok ne padne.

Mitigacija: SYN cookies, ograničavanje stope zahteva po izvoru, signature napada na L3 i L4.

Aplikativni napadi (Layer 7)

Cilj je sama aplikacija. HTTP flood pogađa najskuplje rute (search ili checkout) sa malim brojem zahteva po klijentu, ali sa hiljadama klijenata. Saobraćaj često izgleda potpuno legitimno, što ovaj tip čini najtežim za detekciju.

Mitigacija: WAF, JavaScript challenge, behavioral analysis, ograničavanje stope zahteva po sesiji.

Volumetrijski napadi su najčešći, ali aplikativni napadi prave najveću štetu, jer prolaze kroz osnovnu mrežnu zaštitu i pogađaju biznis logiku.

Kako prepoznati da ste napadnuti

Ako još nemate dedikovanu DDoS zaštitu, prvi znaci napada često stignu kao niz simptoma koje je lako pomešati sa drugim problemima. Na šta gledati u logovima i monitoringu:

• Nagli skok saobraćaja sa istog opsega IP adresa, posebno iz regiona u kojima inače nemate korisnike.
• Sporo opadanje performansi koje ne odgovara dnevnom obrascu (server postaje spor utorkom u tri po podne, bez korelacije sa istorijskim load-om).
• Konekcije ka određenoj ruti (najčešće login, search ili checkout) eksplodiraju, dok ostatak sajta deluje normalno. To je znak L7 napada.
• Veliki broj poluotvorenih TCP konekcija na firewall-u ili load balanceru, vidljiv u netstat-u ili u monitoring panelu.
• Server je nedostupan spolja, ali interno radi. To znači da je problem u uplink-u ili u perimetru, ne u aplikaciji.

Prva reakcija ne bi trebalo da bude restart servera. To samo skraćuje mirno stanje između simptoma. Preporuka je da kontaktirate provajdera, proverite da li imate aktivnu DDoS zaštitu, i ako nemate, pokrenite je odmah.

Šta proveriti kod provajdera DDoS zaštite

Ako birate provajdera, sledećih šest stavki razlikuju ozbiljnu ponudu od kozmetičke.

• Kapacitet scrubbing centra (u Gbps ili Tbps). Ako je manji od potencijalne veličine napada na vašu industriju, to je teorijska zaštita.
• Vreme do mitigacije (TTM) od trenutka napada do aktivnog filtriranja. Dobre platforme rade u opsegu sekundi, ne minuta.
• 24/7 SOC tim sa stvarnim ljudima na smeni, ne samo automatizacija. Aplikativni napadi često traže ljudsku procenu.
• Podrška za on-premise i cloud u istoj ponudi. Hibridni pristup je standard, ne luksuz.
• Izveštavanje i transparentnost u realnom vremenu. Treba da vidite koji su vektori napada blokirani, koliko paketa je odbačeno, i koliko legitimnih korisnika je prošlo.
• Akcioni plan po klijentu definisan unapred. Različite industrije i različiti servisi traže različite protokole. Plan koji je napravljen tek kad napad počne nije plan.

Zaštita pre, ne posle prvog napada

Prosečan DDoS napad traje između šest i dvadeset četiri sata. Tokom tog vremena, e-commerce platforma gubi prodaju, SaaS proizvod gubi poverenje korisnika, fintech servis gubi i jedno i drugo. Reputacioni efekti se vuku duže od samog incidenta, jer kupci pamte sajt koji je bio nedostupan kad im je trebao.

Cena instalacije DDoS zaštite je predvidiva i mala u poređenju sa cenom jednog ozbiljnog incidenta. Cena saniranja raste sa svakim minutom downtime-a. Zatražite nam procenu DDoS zaštite i postavite zaštitu pre nego što vam zatreba.

Često postavljana pitanja

Koja je razlika između DoS i DDoS napada?

DoS napad dolazi sa jednog izvora i obično se zaustavlja blokiranjem tog izvora. DDoS napad dolazi sa hiljada ili miliona izvora istovremeno (botnet), pa pojedinačno blokiranje ne radi. Zaštita mora da identifikuje obrazac napada, ne pojedinačnog napadača.

Koliko obično traje DDoS napad?

Većina napada traje između nekoliko minuta i jednog dana. Tipičan opseg je šest do dvadeset četiri sata. Postoje i ciljane kampanje koje se ponavljaju u talasima tokom više dana, posebno u industriji gejminga, e-trgovine i finansija.

Da li mi je potreban i on-premise i cloud DDoS zaštita?

Za većinu malih biznisa cloud rešenje je dovoljno. Za biznise sa kritičnim uplink-om, telekomunikacionom infrastrukturom ili strogim zahtevom za niskom latencijom, hibrid (on-premise + cloud) je standard. On-premise rešava male incidente trenutno, cloud preuzima kad volumen pređe lokalni kapacitet.

Šta je scrubbing centar?

Scrubbing centar je infrastruktura velikog kapaciteta (stotine Gbps do nekoliko Tbps) koja prima preusmeren saobraćaj tokom napada, čisti ga kroz više slojeva filtera (rate limiting, signature matching, challenge-response, GeoIP), i vraća samo legitiman saobraćaj prema vašem serveru.

Kako da znam da je napad u toku ako još nemam DDoS zaštitu?

Tipični znaci: nagli skok saobraćaja sa istog opsega IP adresa, sporo opadanje performansi bez očiglednog razloga, eksplozija konekcija ka jednoj ruti (login, checkout), veliki broj poluotvorenih TCP konekcija, ili potpuna nedostupnost servera spolja iako interno radi. Ako vidite kombinaciju ovih simptoma, kontaktirajte provajdera odmah.