Supponiamo che una botnet stia attaccando un sito Web da HTTP GET flooding. Per trovare i bot, l'unico modo sembra trovare le somiglianze delle richieste HTTP GET considerando i campi dell'URL e dell'intestazione, poiché le richieste vengono inviate da qualche script. È vero? L'URL potrebbe essere creato dal bot per contenere alcuni parametri con campi casuali. Le intestazioni sono: HOST, Referer, User-Agent, Accept, ...
Questa idea di misura della similarità funziona?
Sì, questo è generalmente il modo in cui gli attacchi di Application DDoS vengono mitigati.
Alcuni servizi anti-DDoS si baseranno solo sulla firma, ma i fornitori di protezione DDoS di alta qualità useranno una combinazione di metodi di identificazione basati su firma e comportamento e li combineranno con sfide (esecuzione JS, cookie, ecc.) per escludere e bloccare bot dannosi traffico e prevenire falsi positivi.
L'unica cosa che devo aggiungere qui è che dovrai usare un proxy, preferibilmente più di uno, se vuoi che funzioni correttamente.
Ovviamente, usare il tuo server principale per filtrare è ovviamente sconsigliato, poiché l'attacco DDoS esaurirà le risorse anche prima (e durante) il processo di filtraggio.
Se le richieste generate dalla rete bot hanno uno schema distinguibile dal traffico legittimo, è possibile scrivere manualmente le regole nel firewall o nel server Web per bloccare queste richieste. Un prodotto più avanzato potrebbe capire quei modelli e bloccarli automaticamente.
Il link è un modulo Apache che aiuta a negare il servizio consentendo di scrivere regole sull'HTTP intestazioni e circa la frequenza di quelle richieste.
La qualità dello strumento denial of service, ovvero quanto simula il traffico legittimo, renderebbe il rilevamento più facile o impossibile.
L'attacco può essere mitigato a diversi livelli. Se l'attacco proviene da membri bot conosciuti, il firewall può bloccarli. Se il modello di attacco è determinabile, potrebbe essere bloccato dai sistemi di prevenzione delle intrusioni o dall'applicazione stessa. Si noti che l'IP determinato dall'IPS / dall'applicazione può essere reimmesso nel firewall per aggiungere i trasgressori all'elenco dei blocchi. Se il modello di attacco non è determinabile e gli IP non validi non sono noti, è possibile che sia necessario eseguire una sorta di elenco per consentire alcuni sottogruppi noti del traffico valido.
Nota I servizi di mitigazione dei ddos di vendita dell'ISP e utilizzano tecniche più sofisticate oltre a quelle di cui sopra poiché possono osservare il traffico "a monte" del server delle vittime e possono comparare tra diverse vittime e bot in modo che i loro "scrubber" dedicati lavorino di più con. Quindi un ricorso è acquistare uno di questi servizi. È meglio farlo a priori - le cariche tendono ad essere più alte quando sei già sotto attacco.