È possibile - in teoria - fermare 1 un attacco DDoS di qualsiasi dimensione? Molte persone sostengono che è impossibile fermare gli attacchi DDoS e dirmi che non dovrei fare casino con le persone sbagliate su Internet.
Ma cosa succede se, in circa 5 anni, tutti è in grado di noleggiare una botnet? Non dovremmo semplicemente ripensare a tutta l'architettura di internet?
1: by stop accetto anche di rimuovere gli effetti negativi aka mantenere attivo il servizio.
Immagina un centro commerciale. Per definizione, chiunque può entrare nel centro commerciale e quindi navigare nei negozi. È pubblico I negozi sono in attesa di persone che verranno, guardano gli schermi, forse entrano e poi comperano le cose.
Nel centro commerciale c'è un negoziante che vende, diciamo, computer. Chiamiamolo Jim. Vuole che le persone vengano e vedano i computer e siano indotti ad acquistarli. Jim è il bravo ragazzo della nostra storia.
Lascia che ci sia Bob. Bob è un nichilista insoddisfatto che odia Jim. Bob farebbe di tutto per rendere Jim infelice, ad es. perturbare gli affari di Jim. Bob non ha molti amici, ma è intelligente, a modo suo. Un giorno, Bob spende dei soldi per far pubblicare un annuncio sul giornale locale; l'annuncio afferma, con caratteri grandi e colori vividi, che Jim gestisce una grande promozione in occasione del decimo compleanno del suo negozio: i primi cento clienti che entrano nel negozio riceveranno un iPad gratuito . Per coprire le sue tracce, Bob esegue i suoi rapporti con il giornale sotto lo pseudonimo di "bob" (che è il suo nome, ma scritto all'indietro).
Il giorno dopo, ovviamente, il povero Jim è sommerso da persone che vogliono un iPad gratuito. La folla intasa il negozio di Jim ma anche una parte sostanziale del centro commerciale, che si riempie di persone deluse che iniziano a capire che non esiste un iPad gratuito. La loro negatività li rende improbabili da comprare qualcos'altro, e in ogni modo non possono muoversi a causa della stampa della folla, così gli affari nel centro commerciale si fermano del tutto. Jim diventa molto impopolare, con gli ex-ipnotizzanti, ma anche con i suoi colleghi negozianti. Bob ridacchia.
A questo punto, Jim contatta la direttrice del centro commerciale Sarah. Sarah decide di gestire l'emergenza chiamando i pompieri. I vigili del fuoco arrivano con i loro elmi scintillanti, camion lampeggianti, sirene urlanti e asce affilate, e presto convinceranno la folla a disperdersi. Quindi, Sarah chiama la sua amica Gunther. Gunther è un figlio di immigrati tedeschi, un prodotto puro del Melting Pot americano, ma soprattutto è un agente dell'FBI, responsabile del problema. Gunther è intelligente, nel suo modo contorto. Si mette in contatto con il giornale, ed è inizialmente perplesso, ma poi ha una rivelazione intuitiva: ah-HA! "bob" è solo "Bob" scritto all'indietro! Gunther procede prontamente ad arrestare Bob e mandarlo a incontrare il suo destino triste ma legale davanti al giudice della contea.
Infine, per evitare ulteriori problemi con altri nichilisti che non sarebbero sufficientemente scoraggiati dalla visione del cadavere smembrato di Bob messo in mostra davanti al centro commerciale, Sarah escogita una misura di attenuazione: assume Henry e Herbert, due - guarda giovani muscolosi e li pubblica alle entrate del centro commerciale. Henry e Herbert sono responsabili per il blocco dell'accesso nel caso in cui un gran numero di persone tenti di entrare, oltre una determinata soglia. Se un proto-Bob colpisce ancora, questo consentirà la gestione del problema su all'esterno , nel parcheggio, dove lo spazio non manca e il controllo della folla è molto più facile.
Moralità: un DDoS non può essere prevenuto, ma le sue conseguenze possono essere mitigate mettendo misure proattive, ei perpetratori potrebbero essere scoraggiati attraverso la solita esibizione di muscoli storicamente approvata dalle forze dell'ordine. Se le botnet diventano troppo facili da affittare, le conseguenze prevedibili includono un maggiore coinvolgimento della polizia, l'autenticazione proattiva degli utenti a livello di infrastruttura, la chiusura delle parti più disdicevoli della rete (in particolare l'accesso a Internet per i paesi meno cooperativi) e una strong dose di scontento e tristezza per la perdita di un passato, un'età più civilizzata.
Nonostante ciò che gli altri stanno dicendo, sì, puoi farlo.
Molte grandi aziende hanno soluzioni molto efficaci e persino la recente battaglia di Spamhaus, che utilizzava DNS DDoS a una scala che non era stata vista in precedenza, era coperta rapidamente dopo l'inserimento di CloudFlare.
Le soluzioni che ho testato sono molto efficaci nel trasferire il traffico DDoS, anche quando è un mirror di traffico reale e valido. Per alcuni di questi test, il cutover era inferiore al millisecondo e non aveva quasi alcun effetto misurabile sul traffico legittimo.
Funzionano con protocolli di reindirizzamento dinamico e, in linea di principio, potrebbero funzionare ovunque. Il motivo per cui vengono utilizzati solo dalle grandi aziende è che costano molto.
Una correzione sensata è che tutti gli ISP debbano distribuire il traffico in uscita e condividere gli elenchi di filtri, questo potrebbe impedire completamente gli attacchi DDoS. Richiederebbe semplicemente agli utenti e alle aziende di richiederlo dai loro ISP e di spostarsi da chi non ha fornito questo servizio. Alla fine qualsiasi ISP che non lo ha fornito sarebbe stato inserito nella lista nera.
No, non è possibile, in teoria o in pratica. Un attacco DDoS distribuito abbastanza bene è indistinguibile dal traffico legittimo.
Considera gli effetti "slashdot" o "reddit" o "digg", laddove il traffico legittimo effettivo abbatte i servizi di rete sul sito web di destinazione. In molti casi, pubblicare un link al sito Web di destinazione su slashdot è un DDoS efficace.
Bene, puoi ridimensionare l'infrastruttura per rendere più difficile per una botnet mantenere abbastanza traffico per disabilitare il servizio, ma alla fine, l'unico contatore se un DDoS utilizza il traffico legit in modo da causare problemi, tutto ciò che puoi fare è aumentare la larghezza di banda per essere superiore alla loro. Se riesci a identificare una fonte come "canaglia", puoi provare a impedire che il traffico venga elaborato dal tuo server (che ridurrà la CPU e il carico di memoria), ma dovrai comunque gestire il traffico che verrà lanciato da Internet .
Ci sono in via di principio dei modi per fermare un DDOS:
Il modo più semplice è quello di gettare più risorse su di esso. Buona fortuna cercando di smontare amazon.com o google.com. Combina una voce DNS round robin con tonnellate di server cloud e diventa davvero difficile da DDOS.
Non tutti possono permettersi risorse così immense, ma è a questo che servono servizi come CloudFlare. Se diventi il loro cliente, fornisce le risorse (proxy, larghezza di banda) e, appena ne hai bisogno, lo assegna a te. È come un'assicurazione, molte persone condividono l'investimento e ne beneficiano quando necessario.
Il traffico DDOS spesso è distinguibile dal traffico legittimo.:
Ultimo ma non meno importante, molto più potrebbe essere fatto con la collaborazione dell'ISP o dei fornitori di backbone. Se l'attacco è geograficamente concentrato, interrompe temporaneamente il routing dei dati da quella regione ai tuoi server. Presumo che questo tipo di strategie dovrà essere usato in modo più ampio in futuro.
(Nell'analogia di Tom Leek: Immagina che Bob abbia offerto il suo iPad gratuito solo a persone di colore / cinesi / indoeuropee / ... Ora assumi una guardia di sicurezza razzista.Ti fermerai l'ondata di clienti falsi, ma a un prezzo , ovvero che farai arrabbiare alcuni clienti legittimi. (Inutile dire che per favore non farlo nella realtà.))
Solo per completezza, se sai chi ti sta attaccando, puoi vendicarti. O legalmente chiamando le autorità, o pagandole di nuovo con la loro stessa moneta e attaccando i loro server (ma per favore non farlo!).
Ci sono cose che puoi fare ma non sarai mai protetto al 100%.
Mi è stato consigliato il firewall Fail2Ban per il mio sito su questo forum e questo mi ha aiutato. Fondamentalmente un fail2ban rileva un'attività simile x quantità di volte nei suoi file di registro che vieta quell'ip.
Anche il blocco di tutte le porte non utilizzate aiuta.
Credo che con un'architettura solo p2p potrebbe essere possibile ... Ma richiederebbe molti cambiamenti nel comportamento dei computer, e comporterebbe lentezza per molti piccoli siti web. È una buona domanda.
Quando hai un'architettura di rete che consente la centralizzazione, consentirà sempre DDOS. Per essere in grado di prevenirli, è necessario che l'intera infrastruttura di Internet diventi consapevole di DDOS, il che significa che tutte le richieste di un determinato IP verranno filtrate quando viene rilevato un collo di bottiglia. Sarebbe davvero molto costoso implementare tale funzionalità perché i router sono progettati per essere veloci e richiederebbero una "modalità di contenimento DDOS" che controlli gli indirizzi di destinazione dei pacchetti, il che sarebbe lento. Il sito Web continuerebbe a non rispondere o irraggiungibile, ma non si arresta in modo anomalo.
Un altro modo sarebbe quello di consentire al sito Web di disporre di una sorta di sistema mirror / broadcast per ripetere il contenuto. Broadcast significa che il contenuto viene automaticamente ripetuto dai router. Ma richiederebbe di non cambiare spesso, il che sarebbe un requisito severo, e non molti siti Web potrebbero permetterselo dato che è costoso.
Onestamente non considero davvero il DDOS un attacco o un problema di sicurezza. Le botnet sono.
Il modo più economico, più efficace e più semplice per bloccare un attacco DDoS:
Non appena il server riceve più richieste di quante ne possa gestire, si attiva una "Modalità protetta". In questa modalità, ogni indirizzo IP richiedente ottiene un sito HTML minimale, più piccolo è il migliore, costituito da un avviso di un attacco DDoS live e un prompt captcha:
GliindirizziIPcheimmettonoilcaptchacorrettovannoaunalistabiancacheconsentedinavigarenelsitocomealsolito.Dopochelerichiestesiabbassanodinuovo,la"Modalità sicura" si spegne
Sto amando la risposta del centro commerciale. Quindi ecco alcuni dettagli in più. Cosa succede quando il centro commerciale è protetto ma il parcheggio inizia a riempirsi?
Innanzitutto, no, non è possibile interrompere un attacco di qualsiasi dimensione con l'attuale architettura di Internet. Un grande ISP ben finanziato è in grado di fermare quelli piuttosto grandi però.
Ma (all'incirca) finché l'attacco è più piccolo della dimensione delle connessioni in entrata dei tuoi ISP, può fare di meglio per mantenere le cose in esecuzione. Ma hanno bisogno di una tecnologia sofisticata.
Le cose migliori che abbia mai avuto molto a che fare sono due fasi.
Il primo stadio identifica possibili picchi nel traffico causati dall'attività DDoS. Una società chiamata reti Arbor è specializzata in questo ( link )
Poi alla rete viene comandato di prendere tutto il traffico per la destinazione e re-indirizzarlo agli scrubber DDoS. Ogni scrubber è in grado di gestire una certa quantità di traffico e fa un buon lavoro nel raccogliere il traffico valido dal rumore.
Lo scrubber inoltra quindi il traffico valido al sito originale.
La cosa principale che gli aggressori DDoS stanno sfruttando è una risorsa centralizzata che può sopraffare il traffico. Se si effettua l'applicazione in modo che sia altamente distribuita, gli attacchi DDoS non sono efficaci.
Esattamente questo è stato fatto con l'infrastruttura DNS e anycast. Il DNS di Google ad esempio è 8.8.8.8 ma usano anycast in modo che le attuali macchine che gestiscono le richieste a 8.8.8.8 siano disperse nei data center di tutto il mondo. Quindi anche gli attacchi DDoS diretti a 8.8.8.8 verranno suddivisi e distribuiti che non è l'obiettivo di un attacco DDoS. Per non dire che ciò rende impossibile ma molto, molto meno efficace.
Sfortunatamente tutte le applicazioni non sono progettate per funzionare dietro un ip anycast. Ma l'approccio generale è la migliore difesa. Rendi l'app molto distribuita e l'efficacia DDoS diminuisce.
In base. Se un DDoS della dimensione di appena 1 byte su metà di Internet viene lanciato sul resto, l'intera Internet sarà inattivo. Ma questo è quasi impossibile. L'attacco DDoS normale può essere assorbito ma non fermato. Nell'esempio sopra di Tom Leek, l'addetto alla sicurezza può gestire solo così tante persone, se il mondo intero viene inondato, non possono fare nulla. Lo stesso è con DDoS. Puoi pagare CloudFlare, Incapsula, ... per essere la guardia ma con abbastanza potenza, un DDoS li farà cadere.
Una soluzione comune a livello di megacorporazione: acquista abbastanza larghezza di banda / server per soddisfare sia gli utenti legittimi che i DDoS contemporaneamente.
Al di fuori dell'equipaggiamento di lancio del problema. l'unica altra soluzione è la costante vigilanza pubblica diffusa. Troppe persone sono sciatte con i loro computer e consentono loro di essere backdoor o maliziosamente telecomandati. Alcuni produttori di dispositivi sono anche sciatti con l'elettronica domestica abilitata a Internet, configurandoli male e lasciandoli vulnerabili agli hack.
Regola generale del pollice: bannare le connessioni in entrata quando non le usi. Se si imposta il computer per bloccare tutte le connessioni in entrata, nessuno può controllarlo a distanza (eccetto per le istanze estremamente degenerate di backdoor / "zombieware" che stabiliscono attivamente connessioni con i server per leggere i comandi da).
La maggior parte delle volte, l'utente medio del computer non dovrebbe aver bisogno di consentire le connessioni in entrata. Se è necessario, sblocca solo le porte / i programmi specifici che richiedono connessioni in entrata, quindi blocca nuovamente le connessioni in entrata una volta terminato con tali porte / programmi.
I dispositivi IOT sono un po 'più difficili. Non puoi semplicemente bloccare tutti i collegamenti in entrata perché sono progettati per essere controllati a distanza.
Esiste una ricerca sull'argomento e in teoria sembrano esserci modi per fermare gli attacchi DDOS.
Qui è un discorso di Adrian Perrig su SCION , un prototipo funzionante per una nuova architettura di rete. Questo dovrebbe essere l'articolo sulla parte del sistema che fa la mitigazione del DDOS. Ovviamente fanno ipotesi sull'attacco di botnet e simili.
Come altri hanno notato, se il tuo aggressore è abbastanza potente da rendere l'attacco DDOS simile al traffico legittimo, ti trovi essenzialmente nella stessa situazione in cui non disponi di risorse sufficienti per tutti i tuoi utenti. Pertanto, questo caso non può essere prevenuto.
Leggi altre domande sui tag server network ddos threat-mitigation