Esistono diversi tipi di attacchi Distributed Denial of Service, le tecniche di mitigazione possono essere specifiche per ogni caso:
Attacchi volumetrici
Alcuni computer inviano una grande quantità di traffico, intasando la rete della vittima e impedendo a connessioni legittime di raggiungerla. In questa categoria possiamo vedere:
- Attacchi UDP: l'uso del protocollo UDP su porte casuali obbliga il server a controllare se c'è un'applicazione in ascolto su quella porta. Puoi attenuarlo con rigide regole del firewall.
- Floods ICMP: l'idea è di avviare una richiesta di eco e non completare mai l'handshake, facendo ciò abbastanza spesso da diversi host, la vittima non sarà in grado di rispondere alle richieste legittime. Le tecniche di mitigazione includono il blocco delle richieste di ping frammentate.
Livello applicazione
Gli attacchi più comuni di questo tipo sono rivolti ai servizi HTTP e DNS, in pratica si richiede una risorsa così tante volte che il server che elabora la richiesta utilizza tutte le risorse disponibili. A proposito di HTTP in particolare, questo è solitamente molto difficile da differenziare dalle normali richieste http, la mitigazione di solito consiste in un mix di reputazione IP, monitoraggio di attività anomale e talvolta richiesta l'esecuzione di javascript.
Esaurimento di stato
Ogni dispositivo ha una tabella che memorizza lo stato di ogni connessione (se esegui netstat
puoi vedere questa "tabella"), questo tipo di attacchi mira a usare ogni voce in quella tabella fino al punto in cui non ci sono nuove connessioni può essere aggiunto. (Vedi "slowloris" per un esempio di questo attacco). La mitigazione spesso include il timeout delle richieste non completate per liberare rapidamente le risorse.
Naturalmente ci sono servizi che aiutano a prevenire e mitigare questi tipi di attacchi, CloudFlare ha anche questo servizio gratuitamente ma sono sicuro che ce ne siano altri.
In generale, il concetto di difesa in profondità si applica qui, avendo diversi livelli di sicurezza che aiutano a ridurre il rischio associato agli attacchi DDoS, tuttavia tenete presente che stiamo parlando in termini di mitigazione , anche Github era DDoS-ed e con la loro enorme infrastruttura e grande esperienza hanno visto il loro servizio influenzato
Se attualmente sei sotto attacco vorrei contattare CloudFlare e chiedere loro quali opzioni possono offrirti, quindi iniziare a pianificare una strategia di prevenzione il prima possibile. In questo momento sembra che sei stato preso alla sprovvista, quindi buona fortuna
Ecco una grande risorsa da arbornetworks