Det är lätt att se DDoS som ett rent volymproblem: för mycket trafik kommer samtidigt och tjänsten slutar svara.
I praktiken är bilden inte längre så enkel.
Det många organisationer möter idag är attacker som förändras medan de pågår. De skiftar metod, mål och intensitet beroende på hur försvarsmekanismerna reagerar – ibland inom minuter, ibland inom sekunder. Det gör dem betydligt svårare, inte bara att upptäcka, utan också att hantera på ett kontrollerat sätt.
När attacken inte beter sig som förväntat
En modern DDoS attack kan börja som en tydlig volymattack och sedan bli mer riktad. Den kan gå från att överbelasta bandbredd till att belasta specifika tjänster, applikationer eller infrastrukturskomponenter. Den kan pausa och återkomma i en annan form.
Detta blir allt mer normalt.
Utmaningen är att många skyddslösningar utvecklades utifrån antagandet att attacker är relativt statiska. I dagens miljö gäller inte det antagandet längre.
Trafik som kan se normal ut
En annan faktor som ofta underskattas är själva trafikens karaktär.
Med botnät byggda på osäkra IoT enheter och en ökad användning av bostadsproxys kan attacktrafik likna legitim användartrafik. Den kan komma från riktiga IP adresser spridda över stora geografiska områden, vilket gör enkel filtrering baserad på källa eller geografi mindre effektiv på egen hand.
I praktiken behöver organisationer förstå beteende, inte bara ursprung.
Varför traditionella metoder inte alltid räcker
Många traditionella skydd bygger på tröskelvärden eller tydliga avvikelser i trafikmönster. Dessa metoder har fortfarande ett värde, men de blir mindre effektiva när attacker är mindre, mer distribuerade och mer anpassningsbara än tidigare.
I dessa situationer kan systemen reagera för sent, eller för aggressivt och därmed påverka legitim trafik. Båda utfallen skapar problem – antingen för driftteam eller för slutanvändare.
Det är här många organisationer börjar känna att de tappar kontrollen.
Ett mer kontextbaserat arbetssätt
Att hantera detta kräver mer än att bara se att trafiken ökar.
Organisationer behöver förstå hur trafiken beter sig, hur normal trafik ser ut i den egna miljön och om nya mönster stämmer överens med bredare hotaktivitet. Denna utmaning är särskilt viktig i stora, distribuerade och verksamhetskritiska nätverk, där snabb upptäckt och träffsäker mitigering direkt påverkar tjänsternas tillgänglighet.
Det är här extern hotinformation blir en viktig del av helheten. Plattformar som Nokia Deepfield Secure Genome ger ett bredare perspektiv genom att sätta organisationens egen trafik i ett globalt sammanhang.
När detta kombineras med nätverksdata i realtid skapas en betydligt starkare grund för beslutsfattande.
nLogics perspektiv
Det vi ofta ser i praktiken är att DDoS inte är ett isolerat problem. Det påverkar flera delar av miljön samtidigt – från accessnät till kärnnät, från drift till kundupplevelse.
Därför fokuserar vi på helheten.
På nLogic hjälper vi kunder att förstå hur synlighet, analys och respons behöver fungera tillsammans och var förbättringar ger störst operativt värde. I kombination med Nokias nätverksmedvetna DDoS funktioner skapas ett starkare och mer motståndskraftigt försvar än vad isolerade skyddslösningar kan erbjuda.
I nästa artikel går vi från förståelse till implementation: vad som faktiskt krävs för att bygga ett DDoS försvar som fungerar i verkligheten.
Webinar: An Introduction to Nokia, Building More Robust and Scalable Networks
Bli med på webinar den 29 maj kl. 09.00–09.45 och få en introduktion till Nokia samt hur samarbetet mellan nLogic Group och Nokia skapar strategiska fördelar inom IP, optiska nätverk, datacenter och PON.
Kontakta oss för mer information.
