Recentemente ho acquistato un server con "protezione DDoS" e un uplink da 1 gbps.
Quello che non riesco a capire, è che sto soffrendo di alluvioni SYN. Non è la grande quantità di larghezza di banda disponibile a me dovrebbe essere in grado di annullare questi attacchi? C'è qualcosa che posso fare per bloccarli? Ho CSF e ho impostato le regole appropriate anche se so che i firewall software non fanno molto.
Gli attacchi DoS semplici consumano la larghezza di banda .
Ma attacchi più sofisticati utilizzano altre risorse come il tempo e la memoria della CPU. Un'alluvione SYN è mirata all'utilizzo della memoria (e in alcuni casi del tempo di CPU sui firewall hardware).
Per un utente malintenzionato, tuttavia, è più facile inondare una vittima con pacchetti SYN, se la vittima ha un'ampiezza di banda .
TCP utilizza una vibrazione a tre mani:
Client --------- SYN -------> Server
Client <------ SYN,ACK ------ Server
Client ------- ACK,... -----> Server
Il modo tradizionale di gestire la creazione di una connessione è questo:
Dopo che il server ha ricevuto un pacchetto SYN, deve allocare memoria per memorizzare le informazioni sulla connessione (ad esempio, IP client, porta client, IP server, porta server). Riconosce il pacchetto SYN inviando un SYN ACK all'indirizzo IP di origine specificato nel pacchetto iniziale.
Un flood SYN è composto da un sacco di pacchetti SYN per i quali il server deve allocare memoria. Il cliente può semplicemente inviarli e dimenticarsene . Inoltre, l'indirizzo IP di origine può essere impostato su qualsiasi cosa (a meno che l'ISP dell'aggressore non disponga di filtri).
Il server deve verificare che il mittente del pacchetto ACK nel passaggio 3 sia quello che ha inviato il pacchetto SYN e ha ricevuto il pacchetto SYN-ACK. Questo è il modo in cui il protocollo TCP ha cercato di proteggere da falsi indirizzi IP e iniezioni di pacchetti.
(La protezione non funziona contro un utente malintenzionato che ha accesso a un router attraverso il quale viaggiano i pacchetti).
Invece di allocare memoria e memorizzare le informazioni sulla connessione semiaperta, il server invia le informazioni richieste nel campo del numero di sequenza TCP in un modo di salvataggio crittografico.
Quindi, quando viene ricevuto il pacchetto finale ACK, può estrarre le informazioni richieste, verificarlo e stabilire la connessione.
Wikipedia ha un buon articolo sui cookie SYN .
I segni tipici di un attacco syn-flood includono abbondanti quantità di connessioni half-open syn-recieved (SYN_RECV). Inoltre, la maggior parte degli IPS rileverà e interromperà il syn-flooding.
Leggi la documentazione CSF prima di abilitare ciecamente! Ho visto a molte persone che usano CSF che non sapevano cosa stavano effettivamente facendo.
Dipende sempre dal setup, ma personalmente non permetterei più di un SYN cookie (qualsiasi forse un ben pensato filtro SYN a livello di firewall) a meno che la macchina non sia sotto attacco. È sempre bello essere preparati, ma non buttare la difesa prima della battaglia.
La protezione DDoS è un passo con un sacco di spin del marketing piuttosto che merito tecnico. La maggior parte dei fornitori di servizi e dei fornitori di prodotti offrirà un certo livello di protezione DDoS. Tuttavia, la sua efficacia potrebbe essere piuttosto limitata a seconda dell'implementazione. Ad esempio, i distributori WAF offrono protezione DDoS, ma la protezione è mirata più a prevenire i blocchi del server rispetto alla disponibilità del servizio.
Considerare che il DoS sia fondamentalmente una condizione in cui un servizio diventa o non è disponibile per gli utenti. Il DoS può essere causato da qualcosa di così semplice come il servizio non è in esecuzione (ad esempio, Apache è stato configurato in modo errato, quindi non si avvia automaticamente al riavvio) o forse un cavo di rete disconnesso. I professionisti della sicurezza spesso scherzano su situazioni di auto-DoS in cui gli amministratori causano inavvertitamente un rifiuto del servizio cambiando le password del servizio o creando qualsiasi condizione in cui il servizio diventa non disponibile.
Una negazione del servizio distribuita si riferisce generalmente a situazioni in cui la causa viene distribuita (cioè inondazioni di traffico di tutti i tipi). Le alluvioni SYN sono un tipo di DDoS. Detto ciò, la protezione DDoS può essere qualsiasi cosa semplice come un servizio volto a scaricare lo stack di rete in modo tale che un'applicazione / servizio / server non si guasti in caso di carico elevato o dopo aver ricevuto un pacchetto anomalo o altre situazioni simili. Ad esempio, una pipe da 1 Gbps potrebbe essere solo una pipe di rete a 1 Gbps. La protezione DDoS può essere un servizio aggiuntivo che identifica e blocca i pacchetti di traffico eccessivo a livello di rete. Ad esempio, se 10 host dell'Europa orientale iniziano a inviare un traffico non normale, la rete potrebbe avere la possibilità di rilasciare tali pacchetti prima che raggiungano il server. Tuttavia, ci sono situazioni in cui tale protezione potrebbe non essere sufficiente.
Termini semplici, una pipe da 1 Gbps è proprio questo. Se un utente malintenzionato è in grado di sopraffare la rete (ad esempio inviando 2 o 5 Gbps di traffico sostenuto), un simile attacco potrebbe facilmente sopraffare il limite di 1 Gbps. È simile a un ingorgo stradale in cui una strada a 10 corsie diventa un'autostrada a 5 corsie (o qualsiasi esperimento di fisica in cui p = FA). Il punto di squelch diventa il collo di bottiglia e il traffico tende a rallentare.
Ci sono fornitori di servizi che forniscono protezione DDoS (indipendentemente da quale sia il servizio chiamato (la protezione DDoS è diventata più di un termine di marketing rispetto a qualsiasi tecnologia pratica)) dove le limitazioni della larghezza di banda sono meno severe (un picco improvviso di traffico anomalo può non contare contro quota). Tali servizi non sono tecnicamente una implementazione di prodotto (o di sicurezza), ma piuttosto un servizio sotto forma di regole aziendali lassiste. Tali servizi solitamente includono un CDN (o routing anycast) ma l'implementazione della protezione è trasparente per il proprietario del servizio. In alternativa, molte aziende offrono protezione DDoS laddove l'implementazione tecnica non fornisce realmente una protezione utile contro attacchi sofisticati.
Per farla breve, 1 Gbps non è una grande quantità di traffico e gli attacchi DDoS possono sfruttare 2-10 Gbps di throughput continuo, il che potrebbe facilmente sopraffare il tuo SLA. Senza una protezione intelligente, i firewall (o qualsiasi prodotto di sicurezza) da soli non saranno di aiuto. Consiglio di chiedere alle aziende che offrono protezione DDoS le "domande difficili" incluso il "come" della loro implementazione. Dico questo perché non tutta la protezione DDoS è fatta allo stesso modo. Molte protezioni DDoS disponibili oggi fanno affidamento su ipotesi di architettura e ha senso capire quali sono le supposizioni che PM ha utilizzato nello sviluppo dei servizi e quanto sono applicabili alla vostra situazione. Suggerirei inoltre di espandere i vincoli di budget e di esaminare i fornitori di servizi che sono in grado di assorbire gli attacchi DDoS attraverso un'architettura intelligente. Tali servizi sono più costosi ma sono più efficaci nel garantire la continuità della disponibilità del servizio agli utenti finali.
HTH