La mia esperienza di attacchi DoS e DDoS è basata sull'essere un ingegnere Cisco per un ISP e successivamente come Security Manager per un Global molto grande. Sulla base di questa esperienza, ho scoperto che per affrontare in modo efficace attacchi su larga scala e complessi è necessaria una buona collaborazione tra l'organizzazione sotto attacco e il loro partner di mitigazione ISP o DDoS (Sì, ci sono ora aziende dedicate a questo, in sostanza sono molto grande ISP a pieno titolo ma utilizzare la propria rete globale per assumere il traffico aggiuntivo generato durante un attacco).
Di seguito sono riportate alcune considerazioni se affronti un attacco che è al di fuori della tolleranza della larghezza di banda (ovvero il consumo di larghezza di banda) e hai bisogno di aiuto per rispondere.
Dove non esiste un partner di mitigazione:
Stabilire una relazione strong con il proprio ISP. Identifica i team e i contatti giusti che ti serviranno in caso di attacco.
Usa il tuo firewall (o altro dispositivo di registrazione) per ottenere prove dell'attacco (IP sorgente, protocollo, lunghezza del pacchetto, ecc.) in quanto queste informazioni possono essere estremamente preziose per l'ISP nel decidere come rispondere. Non è divertente cercare di intrappolare il traffico su un dispositivo di routing Cisco dalla linea di comando alle tre del mattino! Quindi ogni aiuto è apprezzato. : -)
Con questo approccio il tuo probabile approccio sarà filtrare il traffico all'interno del cloud dell'ISP. Se sei stato in grado di fornire informazioni sufficienti e il traffico è tale, l'ISP potrebbe essere in grado di filtrare il traffico dannoso e lasciare libero traffico di rete valido per accedere alla rete. Tuttavia, se si stanno causando problemi di latenza per l'ISP, è probabile che bucheranno l'intero percorso al loro gateway BGP e scompariranno dalla rete. Ulteriori filtri di routing causano il carico sui gateway, quindi non aspettarti che il tuo ISP aggiunga più filtri in quanto ciò potrebbe avere un impatto sugli altri utenti.
Utilizzo di un partner di mitigazione:
Posso solo parlare dell'esperienza di un fornitore per questo, quindi dovrai fare i compiti per decidere se hai bisogno di questo e, in caso affermativo, chi sarebbe la persona più adatta a fornire.
Il servizio era basato sulla pubblicità del percorso BGP e sul monitoraggio degli attacchi. Una volta identificato un attacco, il partner di mitigazione pubblicizza il percorso per passare attraverso la rete, dove i router principali vengono utilizzati per filtrare il traffico dannoso prima di passare all'organizzazione.
Il mio ruolo in tutto questo è stato quello di testare l'implementazione di un approccio collaborato alla mitigazione DDoS. Ciò ha comportato l'utilizzo di un team globale di ingegneri della sicurezza per generare abbastanza traffico da effettuare per un test valido. Stavamo testando sia la capacità di identificare un attacco e quindi di rispondere in modo efficace. Sulla base di ciò, siamo rimasti molto colpiti dal loro approccio generale e la soluzione ha funzionato.