Quando si rileva un attacco DDoS, lo si blocca con il firewall o lo si segnala ai provider di origine?

Non è proprio così, devi sempre segnalare tali incidenti per abusare degli ID di posta delle infrastrutture interessate.

Molte volte le macchine coinvolte in DDoS non sono note al proprietario della macchina, come ad esempio: -
1. persona ha ospitato il server DNS e inconsapevolmente l'ha lasciato aperto per il mondo (tipo open resolver di roba).
2. la macchina è sotto il controllo di RAT o TROJAN

Informare tali incidenti aiuterà tutti noi a ridurre in generale l'impatto del DDoS che è salito a 1 Tbps nel recente passato.

Inoltre puoi contribuire anche a repository centralizzati.

Nell'attacco DDoS, la maggior parte del traffico (nella maggior parte dei casi) è di UDP, che è un protocollo senza connessione. Connessi senza connessione, chiunque può spoofare qualcun altro indirizzo IP e può inviarti un pacchetto.

Ad esempio: posso inviare un pacchetto UDP verso il tuo server con un IP sorgente di google.com (o da qualsiasi altro IP).

Nel caso in cui si stia ricevendo una sessione TCP / traffico sul proprio server (traffico considerato come traffico malevolo), è possibile raccogliere i registri completi con i timestamp appropriati e inviare gli stessi all'ISP. < br>

Io lavoro per uno dei grandi ISP nella mia regione e generalmente utilizziamo per ricevere traffico indesiderato da tutto il mondo e segnaliamo lo stesso al mittente.

Le segnalazioni di traffico illecito sono fatte in modo citato di seguito -
Raccogliere i log del traffico dannoso e inviarlo al team di gestione degli abusi dell'indirizzo IP dell'originatore corrispondente. Puoi trovare facilmente i dettagli del team di gestione degli abusi nella sezione Team di risposta agli incidenti dei WHOIS dei dati dell'indirizzo IP di origine.

Per quanto riguarda la preoccupazione di avere molti indirizzi IP come origine del traffico dannoso, ci sono molti strumenti open source disponibili che possono analizzare i log, fare il whois e inviare una mail al mittente. E scrivere un codice per questo non è un compito importante; può anche essere fatto in casa.

Ora arriva l'ultima parte della tua query, sul luogo della lista nera in cui puoi inviare questi indirizzi IP; Non esiste un posto del genere, se parliamo in un linguaggio semplice e chiaro. Ma quello che puoi fare è chiedere al tuo provider Upstream di bloccare il traffico da quegli indirizzi IP verso la tua rete (se vuoi bloccare quegli indirizzi IP per la tua rete). Possono esserci anche effetti collaterali di questo approccio. quindi per favore pensa prima di bloccare completamente gli indirizzi.
Inoltre, puoi collaborare con le società di sicurezza IT per ulteriori analisi del traffico.

Spero che questo spieghi le cose !!!

Segnalare è abbastanza inutile. I "trasgressori" sono molto probabilmente parte di una botnet, quindi non si rendono nemmeno conto di essere parte dell'attacco.

In molte giurisdizioni, le leggi sulla privacy vietano agli ISP di guardare anche il traffico dei loro clienti senza un mandato di perquisizione, quindi non possono confermare la tua accusa. E inoltre, hanno cose migliori da fare che alienare i loro clienti paganti per te.