Quanto sono simili i robot per quanto riguarda la loro richiesta HTTP GET?

5

Supponiamo che una botnet stia attaccando un sito Web da HTTP GET flooding. Per trovare i bot, l'unico modo sembra trovare le somiglianze delle richieste HTTP GET considerando i campi dell'URL e dell'intestazione, poiché le richieste vengono inviate da qualche script. È vero? L'URL potrebbe essere creato dal bot per contenere alcuni parametri con campi casuali. Le intestazioni sono: HOST, Referer, User-Agent, Accept, ...

Questa idea di misura della similarità funziona?

    
posta Yasser 02.01.2013 - 11:22
fonte

3 risposte

2

Sì, questo è generalmente il modo in cui gli attacchi di Application DDoS vengono mitigati.

Alcuni servizi anti-DDoS si baseranno solo sulla firma, ma i fornitori di protezione DDoS di alta qualità useranno una combinazione di metodi di identificazione basati su firma e comportamento e li combineranno con sfide (esecuzione JS, cookie, ecc.) per escludere e bloccare bot dannosi traffico e prevenire falsi positivi.

L'unica cosa che devo aggiungere qui è che dovrai usare un proxy, preferibilmente più di uno, se vuoi che funzioni correttamente.

Ovviamente, usare il tuo server principale per filtrare è ovviamente sconsigliato, poiché l'attacco DDoS esaurirà le risorse anche prima (e durante) il processo di filtraggio.

    
risposta data 03.01.2013 - 12:30
fonte
4

Se le richieste generate dalla rete bot hanno uno schema distinguibile dal traffico legittimo, è possibile scrivere manualmente le regole nel firewall o nel server Web per bloccare queste richieste. Un prodotto più avanzato potrebbe capire quei modelli e bloccarli automaticamente.

Il link è un modulo Apache che aiuta a negare il servizio consentendo di scrivere regole sull'HTTP intestazioni e circa la frequenza di quelle richieste.

La qualità dello strumento denial of service, ovvero quanto simula il traffico legittimo, renderebbe il rilevamento più facile o impossibile.

    
risposta data 02.01.2013 - 12:38
fonte
2

L'attacco può essere mitigato a diversi livelli. Se l'attacco proviene da membri bot conosciuti, il firewall può bloccarli. Se il modello di attacco è determinabile, potrebbe essere bloccato dai sistemi di prevenzione delle intrusioni o dall'applicazione stessa. Si noti che l'IP determinato dall'IPS / dall'applicazione può essere reimmesso nel firewall per aggiungere i trasgressori all'elenco dei blocchi. Se il modello di attacco non è determinabile e gli IP non validi non sono noti, è possibile che sia necessario eseguire una sorta di elenco per consentire alcuni sottogruppi noti del traffico valido.

Nota I servizi di mitigazione dei ddos di vendita dell'ISP e utilizzano tecniche più sofisticate oltre a quelle di cui sopra poiché possono osservare il traffico "a monte" del server delle vittime e possono comparare tra diverse vittime e bot in modo che i loro "scrubber" dedicati lavorino di più con. Quindi un ricorso è acquistare uno di questi servizi. È meglio farlo a priori - le cariche tendono ad essere più alte quando sei già sotto attacco.

    
risposta data 02.01.2013 - 13:30
fonte

Leggi altre domande sui tag