DDoS támadások elleni védelem – megelőzés és kezelés

A DDoS (Distributed Denial of Service) támadások mára az internetes infrastruktúra egyik legsúlyosabb fenyegetésévé váltak. Egyetlen, rosszul időzített támadás képes percek alatt térdre kényszeríteni egy webáruházat, banki rendszert vagy akár egy kis- és közepes vállalkozás weboldalát – és a kiesés nemcsak bevételkiesést jelent, hanem ügyfélbizalom-vesztést is. Ebben a cikkben részletesen áttekintjük, milyen típusú DDoS támadások léteznek, hogyan lehet ellenük védekezni, és milyen szerepet játszik ebben a CDN és a WAF technológia.

Mi az a DDoS támadás?

A DDoS (elosztott szolgáltatásmegtagadási) támadás lényege, hogy a támadó sok ezer – olykor több millió – kompromittált eszközt (ún. botnet) használ fel arra, hogy egyidejűleg árasztja el forgalommal a célpont szerverét vagy hálózatát. A cél egyszerű: annyi kérést küldeni, amennyit a rendszer már nem tud kiszolgálni, így az legitim felhasználók számára elérhetetlenné válik.

A „distributed” (elosztott) jelző pontosan erre utal: a támadás nem egyetlen forrásból, hanem egyidejűleg több tízezer különböző IP-címről érkezik, ami a védekezést alapvetően megnehezíti.

A DDoS támadások főbb típusai

A védekezés tervezésekor elengedhetetlen megérteni, hogy milyen típusú támadásokkal kell számolni. Ezek három nagy kategóriába sorolhatók.

1. Volumetrikus támadások

Ezek a leggyakoribb DDoS-formák, és a cél a hálózati sávszélesség teljes feltöltése. A támadó rengeteg forgalmat generál – tipikusan UDP flood, ICMP flood, vagy DNS amplifikáció segítségével –, amelynek célja, hogy az internet-összeköttetés fizikai korlátait elérje. A mérésük gigabit per szekundumban (Gbps) vagy csomagok per másodpercben (Mpps) történik. A rekordméretű támadások napjainkban már 3-5 Tbps-t is elérnek.

2. Protokollszintű (State Exhaustion) támadások

Ezek a tűzfalakat, terheléselosztókat és más hálózati eszközöket célozzák. A legismertebb példa a SYN flood: a TCP kézfogás folyamatát kihasználva a támadó rengeteg félig nyitott kapcsolatot hoz létre, amelyek felfalják a szerver erőforrásait (connection table), míg legitim kapcsolatok nem tudnak létrejönni.

3. Alkalmazásréteg-támadások (Layer 7)

Ezek a legveszélyesebb és legnehezebben felismerhető típusok. A HTTP flood például normális webes kérések tömkelegével bombázza a szerver alkalmazásrétegét: minden egyes kérés látszólag legitim, mégis együtt képesek megbénítani egy weboldalt vagy API-t. Mivel a forgalom hasonlít a valódi felhasználói viselkedéshez, az egyszerű tűzfalak nem szűrik ki hatékonyan.

A fentiek kombinációja is előfordulhat: a multi-vector DDoS támadások egyszerre több réteget céloznak meg, ami a védekezést tovább nehezíti.

A védekezés rétegei

A hatékony DDoS-védelem nem egyetlen eszközből, hanem egymást kiegészítő rétegekből áll. Az alábbiakban végigmegyünk a legfontosabb komponenseken.

Hálózati szintű védelem

Az első védelmi vonal a hálózat szintjén helyezkedik el. Ide tartozik az anycast hálózat-alapú forgalomszórás, a BGP blackholing (amellyel a támadó forgalmat a „süllyesztőbe” irányítják), valamint a rate limiting és az IP-reputáció alapú szűrés.

A legtöbb tárhelyszolgáltató és ISP kínál alapszintű DDoS-védelmet, de komolyabb infrastruktúra esetén dedikált megoldásokra van szükség.

A CDN szerepe a DDoS-védelemben

A CDN (Content Delivery Network – tartalomkézbesítő hálózat) elsődlegesen a weboldal gyorsítására szolgál, de az egyik leghatékonyabb DDoS-védelmi eszköz is egyben. Hogyan működik ez a gyakorlatban?

1. Forgalomszórás: A CDN globális pontok hálózatán (PoP – Point of Presence) keresztül osztja el a beérkező forgalmat. Ha egy DDoS-támadás 500 Gbps-os áradatot zúdít a célpontra, azt egy nagy CDN-szolgáltató akár 100+ globális csomóponton osztja el, így egyetlen pont sem törik le.

2. IP-rejtés (Origin IP masking): A CDN mögé bújva a valódi szerver IP-címe rejtve marad a nyilvánosság elől. A támadók nem tudják közvetlenül megcélozni a szervert – a forgalmuk a CDN-en akad fenn.

3. Forgalomtisztítás (scrubbing): A fejlettebb CDN-megoldások (pl. Cloudflare, Akamai, AWS CloudFront) valós időben elemzik a beérkező forgalmat, és a gyanús vagy rosszindulatú csomagokat még mielőtt elérnék a szervert, kiszűrik.

4. Statikus tartalmak cache-elése: Még ha a támadás el is éri a CDN-t, a statikus tartalmak (képek, CSS, JS fájlok) kiszolgálása a cache-ből történik, ezzel levesz a terhelés nagy részét a backend szerverről.

Cloudflare, Akamai, Fastly és az AWS Shield + CloudFront kombináció a leggyakrabban alkalmazott CDN-alapú DDoS-védelmi megoldások.

WAF – webalkalmazás tűzfal

A WAF (Web Application Firewall) az alkalmazásréteg-támadások (Layer 7) ellen nyújt védelmet, amit a hagyományos tűzfalak nem tudnak hatékonyan kezelni.

Mit csinál pontosan a WAF?

• Megvizsgál minden egyes HTTP/HTTPS kérést, mielőtt az eléri a szervert
• Szűri az ismert támadási mintákat: SQL injection, XSS, CSRF, path traversal
• Azonosítja és blokkolja a botokat, crawlereket és automatizált eszközöket
• Geo-blocking: adott országokból érkező forgalmat blokkolhat
• Rate limiting szabályokkal korlátozhatja az egy IP-ről érkező kérések számát
• Challange-alapú ellenőrzéssel (pl. CAPTCHA, JS challenge) szűri a nem emberi forgalmat

A WAF szabályrendszere kétféleképpen működhet: pozitív biztonsági modell esetén csak az előre engedélyezett kérések jutnak át, negatív modell esetén az ismert támadási minták vannak blokklistán. A legtöbb modern WAF kombinálja a kettőt, és gépi tanulással egészíti ki a statikus szabályokat.

Főbb WAF-megoldások: Cloudflare WAF, AWS WAF, ModSecurity (nyílt forráskódú), Sucuri, Imperva.

Rate limiting és challenge-alapú védelem

A rate limiting az egyik legegyszerűbb, mégis hatékony eszköz: ha egy IP-cím meghatározott időn belül túl sok kérést küld, a rendszer lelassítja vagy blokkolja. Ez különösen hatékony a HTTP flood típusú támadásokkal szemben.

A challenge-alapú védelem (JavaScript challenge, CAPTCHA, puzzle megoldása) arra épít, hogy a botok általában nem tudják végrehajtani ezeket a feladatokat – így kiszűrhetők a legitim felhasználóktól.

Megelőzés: mit tehetsz előre?

A reaktív védekezésnél mindig hatékonyabb, ha a rendszer eleve felkészített állapotban fogadja a támadásokat. Íme a legfontosabb megelőző lépések:

1. Forgalom megfigyelése (monitoring): Valós idejű hálózati monitoringgal gyorsan észlelhető a forgalom hirtelen megugrása. Érdemes riasztásokat beállítani, hogy a csapat azonnal értesüljön a rendhagyó mintákról. A szerver monitoring eszközök kiválasztásánál ezt az aspektust is érdemes figyelembe venni.
2. Redundáns infrastruktúra: Terheléselosztó (load balancer) alkalmazásával a forgalom több szerver között oszlik meg – egyetlen csomópont kiesése nem bénítja meg a teljes rendszert. A magas rendelkezésre állású infrastruktúra kialakítása ezért alapvető.
3. DDoS-védelmet kínáló tárhelyszolgáltató választása: Nem minden tárhely egyforma. Egy felügyelt felhő tárhely már alapból tartalmaz DDoS-védelmet és folyamatos monitoringot.
4. Biztonsági checklist rendszeres elvégzése: A szerver szintű keményítés (hardening) – nyitott portok bezárása, felesleges szolgáltatások leállítása, tűzfalszabályok karbantartása – csökkenti a támadási felületet. Részletes útmutatót talál a szerver biztonsági checklistünkben.
5. Incident response terv: Előre definiált eljárásrendeket kell készíteni arra az esetre, ha mégis bekövetkezik a támadás. Ki az, aki dönt? Mikor kell blackholing-ot alkalmazni? Mikor értesítik az ügyfeleket?
6. Anycast és többrégiós eloszlás: Ha kritikus az elérhetőség, érdemes több adatközpontban, több régióban üzemeltetni az infrastruktúrát – egy DDoS-támadás így csak az egyik régiót érinti, a többi továbbra is kiszolgálja a forgalmat.

Mit tegyünk támadás közben?

Hiába a legjobb megelőzés, előfordulhat, hogy mégis bekövetkezik a tényleges incidens. Ilyenkor a következő lépések ajánlottak:

1. Azonosítsd a támadás típusát – volumetrikus, protokoll vagy alkalmazásréteg? A naplók és a monitoring alapján ez meghatározható.
2. Aktiváld a DDoS-védelmi szolgáltatást – ha nincs automatikus aktiválás, manuálisan kell bekapcsolni a Cloudflare „Under Attack Mode”-ját vagy a hasonló megoldásokat.
3. Alkalmazz ideiglenes IP-blokkolást – ha azonosíthatók a forrás-IP-k vagy alhálózatok, azonnali blokkolást érdemes alkalmazni.
4. Emeld a rate limit küszöbértékeket – agresszívabb szűrési szabályok aktiválása.
5. Értesítsd a tárhelyszolgáltatót – ők akár hálózati szinten is tudnak segíteni, különösen ha felügyelt hosting megoldást használsz.
6. Kommunikálj az érintettekkel – ha az ügyfelek számára elérhetetlenné vált a szolgáltatás, proaktív kommunikáció csökkenti a bizalomvesztést.

Összefoglalás

A DDoS-védelem nem egyszeri beállítás, hanem folyamatos feladat – a támadási technikák folyamatosan fejlődnek, és a védelmi rétegeket is rendszeresen felül kell vizsgálni. A CDN és WAF együttes alkalmazása, a valós idejű monitoring, az előre megtervezett incident response eljárásrend és a megfelelő tárhely-infrastruktúra együttesen képeznek hatékony védelmet.

Ha szeretnéd felmérni, mennyire felkészült az infrastruktúrád egy ilyen támadásra, vagy segítségre van szükséged a védelmi rétegek kiépítésében, vedd fel velünk a kapcsolatot – örömmel segítünk.

Bővebben a témában:

• Cloudflare – DDoS tanulási anyag – a CDN/WAF rész mellé
• OWASP – Layer 7 támadások – az alkalmazásréteg-támadások fejezetéhez
• AWS Shield dokumentáció – a WAF/CDN megoldások felsorolásánál
• Imperva DDoS statisztikák – bevezető vagy statisztikai hivatkozásként