איך יעזרו מערכות ניקוז מי גשמים להגנה מפני מתקפות DDoS?

כדי להבין את הקשר בין מערכת ניקוז מי גשמים לבין הדרך הנכונה למניעת התקפות מניעת שירות (DDoS) על אתרי אינטרנט, מספיק להעיף מבט על מה שקורה בערים רבות בישראל בכל פעם שיש מערכת גשמים חזקה.

כמויות הגשם החריגות שאנחנו רואים מדי פעם בחורפים האחרונים, הביאו לכותרות ערים כמו נהריה והוד השרון, אשר הוצפו והפכו בעל כורחן לוונציה. נהריה והוד השרון הן רק שתי דוגמאות מיני רבות, של יישובים שמערכת הניקוז בשטחן אינה עומדת בכמויות הגשמים החזקים והרחובות הופכים לנהרות זורמים. מדוע מערכת ניקוז הגשמים בערים אלו גורמת להצפת הרחובות כל אימת שיש גשם חזק? האם ניתן למנוע את ההצפות? במידה שניתן, כיצד?

מערכת ניקוז טובה ויעילה היא מערכת המסוגלת לקלוט כמויות גדולות של מים בבת אחת. ככל שנחפור את תעלת הניקוז לעומק והיא תהיה רחבה יותר, כך קטן הסיכוי להצפות. דרכים אחרות למניעת הצפות הן בניית סכרים בנחלים, כדי למנוע את עליית המפלס, או הטיה של מי הנחל לכיוון אחר על מנת למנוע הצפות. כך, לדוגמה, בימים אלו נחפר באזור פארק אריאל שרון הסמוך לנחל האיילון מאגר מים אדיר בגודלו, שמטרתו להסיט את מימי נחל האיילון בעת ירידת גשמים רבים לכיוון האגם המלאכותי, ועל ידי כך למנוע מכמויות המים להגיע אל נתיבי איילון ולהציפם.

הצפת שרת האינטרנט, כמו הצפת מערכת הניקוז לגשמים. DDoS. צילום אילוסטרציה: BigStock

מהשיטות הללו למניעת הצפות ניתן להבין ביתר קלות גם את הדרכים למנוע מתקפות מניעת שירות (DDoS). בהתקפות מניעת שירות, התוקף לא מנסה לחדור למערכת או להוציא ממנה מידע, אלא להציף אותה ולהגיע למצב שבו אחד הרכיבים במערכת אינו יכול לעמוד בעומס וכתוצאה מכך הבקשות הלגיטימיות אינן מצליחות לקבל שירות כלל, או מקבלות שירות ברמה ירודה (לדוגמה – זמן טעינה ארוך של עמוד אינטרנט). למשל, אם נשלח תעבורת רשת בנפח של 2G אל ארגון, מערכת או אתר המחוברים לרשת ברוחב פס של 1G, הקישור יסתם ובקשות לגיטימיות לא יוכלו לעבור.

המכנה המשותף והחשוב ביותר המקשר בין אירועי DDoS והצפת מערכות ניקוז מי הגשמים הוא שב-99% מהמקרים ניתן להיערך ולהתגונן. עם זאת, הדבר כרוך במודעוּת, הכרת הסביבה והשקעה מראש בפתרונות במעלה הזרם, שידעו לקלוט את העודפים, בין אם מדובר בעודפי מים או מידע.

ישנן מספר נקודות משיקות בין טיפול בהצפות גשם, מהן ניתן ללמוד על טיפול והתמודדות עם התקפות DDoS:

עומס יתר – הפגיעה בשני המקרים נובעת מכך שמערכת מסוימת, בין אם מדובר במערכת ניקוז עירוני או מערכת מחשב, מועמסת מעבר ליכולת הטיפול או הספיקה שלה. כתוצאה מכך, היא מפסיקה לתפקד ולרוב משפיעה גם על מערכות משיקות (לדוגמה, הצפה שגורמת בתורה לחסימת כבישים).

הפתרון ודרכי הטיפול בבעיה – הדרך הנכונה לטפל בבעיה בשני המקרים היא להסיט את העודפים הצידה, לפני שהם מגיעים למערכת המוגבלת בקיבולת שלה. למשל, להסיט את המים למאגר ניקוז שמטרתו לטפל בעודפי מים. בדומה לכך, גם באינטרנט קיימים אמצעים, שירותים ומערכות שנועדו "לתפוס" את התעבורה העודפת בליבת האינטרנט, לפני שהיא מתקרבת ומשפיעה על מערכות רגישות. בין הפתרונות הללו ניתן לציין את אימפרבה (Imperva) ואת F5 נטוורקס.

השקעת משאבים מול רמת סיכון – בדומה להתמודדות עם הצפת גשמים, גם בהצפות מידע במתקפות מניעת שירות מדובר במשחק אינסופי של השקעת משאבים מול רמת סיכון, שכן קשה מאוד לצפות את היקפן וגודלן של מתקפות חריגות, בדיוק כפי שקשה לצפות היקף הצפה בחורף גשום בצורה קיצונית.

כפי שראינו בחורפים האחרונים, קשה לצפות מראש את היקפה של הסערה ואת כמויות הגשם החריגות, במיוחד של המערכה הצפויה לנו בהמשך השבוע. אך עם זאת, מסתבר שיש הרבה מאוד הקבלות שאפשר ללמוד מהן על התמודדות עם מתקפות מניעת שירות. בדומה לאמצעים להתמודדות עם שיטפונות כתוצאה מהצפת גשמים, אימוץ אסטרטגיות נכונות להסטת התנועה העצומה המגיעה לשרת האינטרנט ב-DDoS, היא הדרך הנכונה לטפל בבעיה, והיא זו שתפתור ותאפשר למנוע מתקפות מניעת שירות. 

הכותב הוא מנכ"ל אואזיס טכנולוגיות תקשורת