Bir DDOS saldırısının hafifletilmesindeki temel sorun, saldırı trafiği ile normal trafik arasında ayrım yapamamaktır. Hangi trafik gerçek, hangi trafik saldırı ayırabilmek, DDOS saldırıları için temel bir sorundur.
Modern İnternette, DDoS trafiği birçok farklı biçimde karşımıza gelebilir. Çok vektörlü bir DDoS saldırısı, bir hedefi farklı şekillerde devre dışı bırakmak için birden fazla saldırı yolu kullanır. Bu durum da, potansiyel olarak hafifletme çabalarını zorlaştırmaktadır.
HTTP flood (katman 7) ile birleştirilmiş bir DNS amplifikasyonu (katman 3/4) aynı anda birçok protokol yığınının kullanır ve çok vektörlü DDoS saldırı örneği olarak gösterilebilir. Çok vektörlü bir DDoS saldırısını azaltmak, için etkili ve çeşitli stratejiler kullanmayı gerektirir.
Doğal olarak saldırı ne kadar karmaşıksa, saldırı trafiğinin normal trafikten ayrılması da o kadar zor olacaktır. Bu noktada saldırganın amacı, mümkün olduğunca çok vektörlü saldırı kullanarak saldırı azaltma çabalarını verimsiz hale getirmektir.
Trafiği ayrım gözetmeksizin düşürmeyi veya sınırlandırmayı içeren azaltma girişimleri ise maalesef ki kötü trafikle birlikte iyi trafiği de devre dışı bırakarak siber saldırganın amacına ulaşmasını sağlar.
Kara Delik Yönlendirme
Genel olarak tüm ağ yöneticilerinin kullandığı bir çözüm, kara delik rotası oluşturmaktır. Bu sayede trafik karadelik rotasına yönlendirilir ve sistemler ayakta kalır. Datacenterlar veya ISP’ler bu yöntemi sıklıkla kullanmaktadır. Elbette ki bu durum gerçek trafiğin de kara deliğe yönlenmesine sebep olur. Ancak aynı ağ içerisindeki diğer sistemlerin etkilenmemesi için sıklıkla kullanılmaktadır.
DDoS saldırısı yaşıyorsanız, İnternet servis sağlayıcısı (ISP), sitenin tüm trafiğini savunma amacıyla bir kara deliğe gönderebilir. Bu, saldırgana etkin bir şekilde istenen hedefi verdiğinden ideal bir çözüm değildir. Ancak ISP veya Datacenter diğer müşterilerini ve aynı ağda yer alan diğer sistemlerini korumak zorundadır.
Hız Sınırlayıcı
Bir sunucunun belirli bir zaman aralığında kabul edeceği isteklerin sayısını sınırlamak, hizmet reddi saldırılarını azaltmanın önemli bir yoludur. Hız sınırlama, web sıyırıcıların (Web scapper web sitelerinden bir bilgi çıkartma tekniğidir.) içeriği çalmasını yavaşlatmayı amaçlar. Diğer bir noktada güvenlik çözümü olarak kaba kuvvetle oturum açma girişimlerini azaltmak için yararlıdır. Ancak karmaşık bir DDoS saldırısını etkili bir şekilde ele almak için tek başına yeterli olmayacaktır.
Web Uygulaması Güvenlik Duvarı
Bir Web Uygulaması Güvenlik Duvarı (WAF), DDOS saldırılarını hafifletmek için yardımcı olan güvenlik uygulamasıdır. İnternet ile sunucu arasına WAF koyarak, hedeflenen sunucuyu belirli türdeki kötü niyetli trafikten koruyabilir.
DDoS araçlarını tanımlamak için kullanılan bir dizi kurala dayalı olarak istekleri filtrelemek, katman 7 saldırılarını engellenebilir. Etkili bir WAF’ın temel amaçlarından biri, bir saldırıya yanıt olarak özel kuralları hızlı bir şekilde uygulama yeteneğidir.
Anycast Ağ Difüzyonu
Bu azaltma yaklaşımı, saldırı trafiğini dağıtılmış sunuculardan oluşan bir ağ kullanarak absorbe edildiği noktaya dağıtmak için Anycast ağı kullanır. Bu yaklaşım dağıtılmış saldırı trafiğinin etkisini yönetilebilir hale geldiği noktaya yayar ve herhangi bir yıkıcılık yeteneği kalmaz.
Bir Anycast ağının DDoS saldırısını azaltmadaki güvenilirliği , saldırının boyutuna, ağın boyutuna ve verimliliğine bağlıdır.