Hogyan lehet megkülönböztetni a DDoS támadást egy természetes forgalomnövekedéstől?

Mindkettő hirtelen kérelemszámbeli ugrásnak tűnik, ezért az a forgalom mintázata alapján lehet megkülönböztetni őket, nem csak a mennyisége alapján. A DDoS renormális, gépi mintázatokat mutat, amely üzleti oka nincs; az organikus igénybevétel valós felhasználókat követ és van egy konkrét oka.

Jelek arra, hogy DDoS támadás

• Egy végpont túlkoncentrációja — ezrek kérése egy drága útvonalat bombáz (pl. /search vagy /login) ahelyett, hogy szétterülne az oldalon.
• Furcsa földrajzi helyek és felhasználói ügynökök — forgalom olyan régióból, ahol nem szolgálsz ki, vagy egy egyetlen ismétlődő/üres/hamis User-Agent.
• Alacsony cache-hit arány — a támadók egyedi lekérdezési karakterláncokat hoznak létre a CDN megkerüléséhez és az origin közvetlen eléréshez.
• Helytelenül formázott vagy ismétlődő kérések — azonos terhelések, hiányzó fejlécek, nincsenek cookie-k, nincs referrer lánc.
• Nincs üzleti indok — nincs olyan kampány, indítás vagy referral, amely megmagyarázná az ugrást, és az azonnal megjelenik, nem pedig fokozatosan építkezik.

Jelek arra, hogy organikus igénybevétel

• Nyomozható oka van — egy marketing kampány, egy viral poszt, egy sajtómegemlítés, vagy egy ismert forrásból származó referral ugrás.
• Normális felhasználó útvonalak — a forgalom valós utakon halad végig (kezdőlap -> termék -> pénztár), tiszteletben tartja a cache-t, és cookie-kat és változatos felhasználói ügynököket hordoz.
• Természetes felépítés — a terhelés fokozatosan növekszik és csökken, ahelyett, hogy azonnal falhoz ütközne.

Hogyan lehet dönteni

Ne csak a nyers számokat szemlélgesd. Fenntartj alapszinteket a másodpercenkénti kérésekhez, a földrajzi összetételhez, a cache-hit arányhoz és a hibaaránhoz, majd futtass anomália detektálást az azok ellen.

# Correlate several signals before declaring an attack:
requests/sec       -> spiked 20x        (suspicious)
cache-hit ratio    -> dropped 95% -> 5%  (bypassing cache = suspicious)
top endpoint       -> 90% to /login      (concentrated = suspicious)
conversions/signups-> flat or zero        (no business value = attack)

A lényeg az korreláció: egy valós igénybevétel az üzleti metrikákat is megemeli; egy támadás megemeli a költséget, míg az átalakítások laposak maradnak.

Miért van ez jelentősége

A kettő félreolvasása mindkét irányban költséges. Ha egy indítási csúcsot támadásnak kezel és sebességkorlátot helyez el, azzal fizetős felhasználókat blokkolsz; ha egy támadást organikusnak kezel, az kimerítetheti az origined. Az alapszintek és korrelált metrikák lehetővé teszik a gyors és helyes reagálást, ami az érzékelés teljes lényege.