Quando si rileva un attacco DDoS, lo si blocca con il firewall o lo si segnala ai provider di origine?

8

Stiamo ricevendo un grande numero di connessioni, oltre 10 milioni al giorno, su più porte (80, 443, 8080, 8888 e 4072).

Questo sta succedendo da 4 giorni e non sembra che stia andando giù.

Il 99,9% di quelli sono bloccati nel nostro firewall, pochi vanno ad Apache. È difficile dire quanto del nostro sistema utilizzi, direi meno del 3%.

Ora sembra che l'attacco non si fermerà da solo a breve. Una volta protetto il tuo sistema, contatti generalmente gli ISP che "partecipano" all'attacco per chiedere loro di fermare i colpevoli?

L'attacco comprende oltre 2.000 indirizzi IP di diversi fornitori. Quindi sembra un compito piuttosto scoraggiante lavorare su un numero così grande di persone, specialmente perché generalmente sospettano di te piuttosto che gli aggressori / trasgressori ... (cioè forse sto cercando di fermare l'attività di un concorrente e non un di hacker.)

Ci sarebbe invece un posto nella lista nera se potessi fornire tutti gli indirizzi IP offensivi?

    
posta Alexis Wilke 19.10.2016 - 22:10
fonte

3 risposte

4

Non è proprio così, devi sempre segnalare tali incidenti per abusare degli ID di posta delle infrastrutture interessate.

Molte volte le macchine coinvolte in DDoS non sono note al proprietario della macchina, come ad esempio: -
1. persona ha ospitato il server DNS e inconsapevolmente l'ha lasciato aperto per il mondo (tipo open resolver di roba).
2. la macchina è sotto il controllo di RAT o TROJAN

Informare tali incidenti aiuterà tutti noi a ridurre in generale l'impatto del DDoS che è salito a 1 Tbps nel recente passato.

Inoltre puoi contribuire anche a repository centralizzati.

    
risposta data 20.10.2016 - 03:52
fonte
4

Nell'attacco DDoS, la maggior parte del traffico (nella maggior parte dei casi) è di UDP, che è un protocollo senza connessione. Connessi senza connessione, chiunque può spoofare qualcun altro indirizzo IP e può inviarti un pacchetto.

Ad esempio: posso inviare un pacchetto UDP verso il tuo server con un IP sorgente di google.com (o da qualsiasi altro IP).

Nel caso in cui si stia ricevendo una sessione TCP / traffico sul proprio server (traffico considerato come traffico malevolo), è possibile raccogliere i registri completi con i timestamp appropriati e inviare gli stessi all'ISP. < br>

Io lavoro per uno dei grandi ISP nella mia regione e generalmente utilizziamo per ricevere traffico indesiderato da tutto il mondo e segnaliamo lo stesso al mittente.

Le segnalazioni di traffico illecito sono fatte in modo citato di seguito -
Raccogliere i log del traffico dannoso e inviarlo al team di gestione degli abusi dell'indirizzo IP dell'originatore corrispondente. Puoi trovare facilmente i dettagli del team di gestione degli abusi nella sezione Team di risposta agli incidenti dei WHOIS dei dati dell'indirizzo IP di origine.

Per quanto riguarda la preoccupazione di avere molti indirizzi IP come origine del traffico dannoso, ci sono molti strumenti open source disponibili che possono analizzare i log, fare il whois e inviare una mail al mittente. E scrivere un codice per questo non è un compito importante; può anche essere fatto in casa.

Ora arriva l'ultima parte della tua query, sul luogo della lista nera in cui puoi inviare questi indirizzi IP; Non esiste un posto del genere, se parliamo in un linguaggio semplice e chiaro. Ma quello che puoi fare è chiedere al tuo provider Upstream di bloccare il traffico da quegli indirizzi IP verso la tua rete (se vuoi bloccare quegli indirizzi IP per la tua rete). Possono esserci anche effetti collaterali di questo approccio. quindi per favore pensa prima di bloccare completamente gli indirizzi.
Inoltre, puoi collaborare con le società di sicurezza IT per ulteriori analisi del traffico.

Spero che questo spieghi le cose !!!

    
risposta data 21.10.2016 - 10:56
fonte
-5

Segnalare è abbastanza inutile. I "trasgressori" sono molto probabilmente parte di una botnet, quindi non si rendono nemmeno conto di essere parte dell'attacco.

In molte giurisdizioni, le leggi sulla privacy vietano agli ISP di guardare anche il traffico dei loro clienti senza un mandato di perquisizione, quindi non possono confermare la tua accusa. E inoltre, hanno cose migliori da fare che alienare i loro clienti paganti per te.

    
risposta data 19.10.2016 - 23:21
fonte

Leggi altre domande sui tag