DDoS Protection: 14 Unique Ways to Protect Yourself from DDoS Attacks
1. Create an Action Plan in Advance
แผนสำคัญกว่าการลงมือทำ เพราะงั้นเริ่มจาก
– Setup Monitor + Alert เมื่อพบว่าเว็บไซต์ดาวน์
– เมื่อพบเหตุการ์ณผิดปกติ รีบตรวจสอบและเก็บ Log ทันที
– สอบถาม ISP ว่ามี Solution ป้องกัน DDoS หรือไม่ หากมีค่าใช้จ่ายเป็นอย่างไร
– ตรวจสอบระยะเวลาของ DNS TTL ตอบโจทย์กับธุรกิจของเราหรือไม่ หากไม่ก็ปรับให้สอดคล้องกัน เผื่อในกรณีจำเป็นต้องโยกทราฟฟิคไปใช้ Cloud DDoS Provider
– เตรียมคู่มือการทำงานให้ทีม Infrastructure พร้อมทั้ง Network Diagram และ Asset Inventory (ระบบที่อยู่ในข่ายป้องกัน)
– Purchase DDoS protection Products to mitigate
2.Monitor Traffic Levels
เรามักจะเรียกขั้นตอนนี้ว่า Baseline ซึ่งจะต้องประกอบไปด้วย
– bit per sec
– packet per sec
– ICMP probe << ตรวจสอบเรื่อง Host status แบบง่าย
– CPU/Memory usage
– Set Alert ด้วยนะ อย่าลืมล่ะ!
– เก็บ PCAP Traffic ของตัวเอง แล้วบันทึกลงใน baseline โดย parameter ที่ต้องเก็บคือ TCP/UDP Ports, Packet Length, DATA Field เป็นต้น
– Netflow, SIEM หากมีก็นำมาทำ baseline ได้เช่นกันครับ
** ควรจะจับทั้ง Uplink/Downlink/Access Port/Host Port เพื่อนำมาเปรียบเทียบ และหากเป็นไปได้ควรใช้ NMS 2 tools เป็นอย่างน้อย เช่น CACTI, Zabbix, Nagios, MRTG, NTOP เป็นต้น
3. Pay Attention to Connected Devices
Internet of things is the latest buzz and a growing topic of conversation both in the workplace and outside.
โดนกันเยอะนะครับ อย่างไรระวังกันด้วย โดนโจมตีจากหลังบ้านจะเจ็บไม่น้อย
4. Ensure You Have Extra Bandwidth
มองหา ISP ที่สามารถปล่อย Burstable Bandwidth ได้ (อยากทราบหลังไมค์ได้ว่ามีรายไหนบ้าง)
5.Train Your Customers On Security
สร้างความรู้ ความเข้าใจ และสำคัญคือ DDoS จะป้องกันได้สำเร็จต้องอาศัยความร่วมมือกับทุกฝ่าย
6. Set up Secured VPS Hosting
ขั้นตอนนี้จะอยู่ในขั้นตอนการคัดเลือกผู้ให้บริการล่ะ หากธุรกิจของท่านคือ Game Online, E-Comerce, Financial ก็ต้องถามอย่างจริงจังกันหน่อย เพราะมาแน่ๆ ไม่ช้าก็เร็ว
7.Drop Packets from Obvious Sources of Attack
หากเป็น Router/Switch Cisco สามารถ Enable Feature ที่สามารถบล๊อค well know DDoS ได้เช่น
no ip unreachable
no ip directed-broadcast
หรือหากมี IPS engine ก็จัดการได้เลยครับ
8.Purchase a Dedicated Server
สำหรับรายที่มีผลกระทบ เมื่อผู้อื่นถูกโจมตี ก็แบ่งแยกหรือออกมาเป็นอิสระ แล้วสอบถาม Provider เรื่องตำแหน่งและนโยบายจัดการ DDoS
9.Block Spoofed IP Addresses
10.Install Patches and Updates Frequently
11. Aggressively Monitor Half-Open Connections
12. Use Proxy Protection
www.snoc.co.th <<< มีให้จร้า แอบโฆษณานิสนึง
13.Set up RST Cookie
14.Filter UDP Traffic With Remote Black Holing
แต่ถ้าหากระบบของท่านเป็นระบบที่ต้องใช้ UDP คงต้องกลับไปดู baseline และมองหาระบบที่รองรับการ Filtering ในระดับ DATA Field
หรือจะเป็น Snoc Origin Protection ก็รองรับตรงนี้ได้เช่นกันครับ
