In che modo un ISP combatte l'esaurimento dell'ampiezza di banda / DDoS di volume?

Naviga le tue risposte
6

Sebbene simile a questa domanda , Sto chiedendo in merito a un ambiente ISP tradizionale in cui si eseguono i propri elenchi di accesso al centro server e al firewall.

Con un attacco di esaurimento della larghezza di banda, il successo dell'attacco è semplicemente una misura della quantità di larghezza di banda che hanno acquistato, in confronto a quanto il data center di destinazione è disponibile.

Un attacco ben orchestrato verrà da più di un ISP, o anche da molti (DDoS), e l'indirizzo IP sorgente sarà randomizzato. Ciò rende più difficile per l'ISP ricevente bloccare il traffico prima di raggiungere il datacenter del cliente, ed elimina anche la semplice ritorsione come una soluzione possibile (sebbene indesiderabile).

  • Mi piacerebbe sapere qual è la procedura per minimizzare il successo di un simile attacco, al di là della semplice risposta all'acquisto di più larghezza di banda? Immagino di identificare l'origine e bloccare i pacchetti solo con l'ISP, e non c'è nulla che i proprietari dei data center possano fare da soli.

  • Se l'attacco proviene da altri ISP, è necessario che gli ISP originari collaborino per fermare l'attacco?

  • Quando l'attacco DDoS viene bloccato con successo, l'azione legale viene spesso perseguita? Presumo che l'autore dell'attacco possa facilmente avviare un nuovo account ed eseguire nuovamente gli attacchi altrimenti.

  • Questa è una connessione Internet a fibra ottica. A un certo livello di larghezza di banda, gli attacchi a distanza diventano meno efficaci? (presupponendo un numero limitato di fonti di attacco)

posta George Bailey 03.08.2016 - 16:28
fonte

1 risposta

4

La risposta alla tua domanda varia selvaggiamente in base all'ISP. Alcuni ISP sono molto capaci di gestire gli attacchi DDoS a monte, mentre altri non fanno assolutamente nulla per fermarli. Fondamentalmente, ci sono tre diversi modi in cui un ISP può gestirli:

  1. Compra larghezza di banda aggiuntiva e lascia passare qualsiasi attacco. Il più semplice e la soluzione peggiore.
  2. Avere sistemi di monitoraggio semplici per rilevare gli attacchi e blackhole traffico diretto verso l'IP di destinazione. Questo protegge la rete come un intero ma causa ancora un errore al cliente.
  3. Qualche forma di " scrubbing ". Questo è un processo, di solito terzo partito, di rilevare gli attacchi e iniziare l'ispezione dei pacchetti da provare e filtrare il traffico illegittimo. Una grande varietà di metodi sono utilizzato, dal filtrare il traffico proveniente da paesi stranieri per rilevare attacchi di amplificazione (come Amplificazione del DNS , come descritto all'interno di questo articolo US-CERT). Questo è il metodo preferito più i grandi fornitori stanno passando a, dal momento che consente al cliente di rimani online.

Ovviamente, indipendentemente da ciò che fa l'ISP, possono solo filtrare il traffico sul proprio confine di rete. Come nel caso dei i più grandi attacchi DDoS , la larghezza di banda che va al ISP stesso può essere sopraffatto. C'è poco che chiunque può fare in questa situazione.

Sfortunatamente, non c'è molto che gli utenti del database possano fare da soli. Come dici tu, in un attacco di esaurimento della larghezza di banda non importa se il proprietario del database può filtrare il traffico se non è in grado di ricevere alcun traffico.

Per quanto vorremmo che gli ISP cooperassero per fermare questi attacchi, molti provengono da paesi stranieri e dal cosiddetto " hosting a prova di proiettile" "fornitori che ignorano eventuali reclami di abuso.

L'azione legale non può quasi mai essere perseguita. Gli attaccanti sono molto bravi a nascondersi dietro botnet, e può essere molto difficile da trovare anche se qualcuno si preoccupa di indagare. Se vengono trovati, sono spesso in paesi stranieri che non hanno leggi che regolano questi attacchi. Quelli nei paesi più moderni si nascondono in aree legalmente grigie, facendo cose come l'offerta " stresser" servizi per "testare" il tuo sito web contro gli attacchi senza preoccuparti di controllare se possiedi davvero il sito web.

Le connessioni in fibra ottica non diminuiscono l'attacco in modo significativo nello stesso modo in cui non riducono il traffico legittimo.

    
risposta data 05.08.2016 - 17:55
fonte

Leggi altre domande sui tag

Qualsiasi scenario per l'utilizzo di entrambi, OpenID Connect e OAuth 2.0? Metodi per proteggere il telefono dall'hacking attraverso una rete wifi quando si viaggia